+ Responder ao Tópico



  1. #1

    Padrão bloqueio sem razão

    Olá pessoal, estou eu aqui de novo com o mesmo problema no servidor da empresa, o sistema é Debian rodando squid com firewall, e ele está bloqueando uns poucos sites sem razão aparente, são sites de algumas faculdades, já verifiquei o squid e não tem nada q possa bloquear o accesso a esses sites. Não consigo nem pingar. Alguma sugestão?
    Obrigado

  2. #2

    Padrão

    Citação Postado originalmente por fajo Ver Post
    Olá pessoal, estou eu aqui de novo com o mesmo problema no servidor da empresa, o sistema é Debian rodando squid com firewall, e ele está bloqueando uns poucos sites sem razão aparente, são sites de algumas faculdades, já verifiquei o squid e não tem nada q possa bloquear o accesso a esses sites. Não consigo nem pingar. Alguma sugestão?
    Obrigado
    Amigo, dá mais detalhes ai do problema...

    Posta ai as regras do squid.conf

  3. #3

    Padrão

    Bom, vou tentar ser mais detalhista,

    configurei um servidor que faz o papel de gateway, com proxy e firewall, e desde o ano passado alguns sites não são acessados, como "www.ceut.com.br, www.tce.gov.pi.br", nem do próprio servidor não consigo, estou usando os dns do opendns, 208.67.222.222 e 208.67.220.220, pq me disseram q poderia ser dns, se uso o comando host, host www.ceut.com.br ele me retorna:
    www.ceut.com.br is an alias for fireceut.ceut.com.br.
    fireceut.ceut.com.br has address 189.43.102.130
    se uso o "dig www.ceut.com.br @208.67.222.222" é retornado:
    ; <<>> DiG 9.3.4-P1.1 <<>> www.ceut.com.br @208.67.222.222
    ; (1 server found)
    ;; global options: printcmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16053
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;www.ceut.com.br IN A

    ;; ANSWER SECTION:
    www.ceut.com.br 83414 IN CNAME fireceut.ceut.com.br.
    fireceut.ceut.com.br. 83414 IN A 189.43.102.130

    ;; Query time: 212 msec
    ;; SERVER: 208.67.222.222#53(208.67.222.222)
    ;; WHEN: Thu Feb 5 20:34:23 2009
    ;; MSG SIZE rcvd: 72

    mas se eu tento acessar o site usado o lynx por exemplo:

    Procurando www.ceut.com.br primeiro.
    Procurando www.ceut.com.br
    Conectando com HTTP em www.ceut.com.br
    Alerta!: ImpossÃ*vel conectar ao servidor remoto.

    lynx: Não foi possÃ*vel acessar o arquivo principal www.ceut.com.br

    e é isso.

    Alguma sugestão?

    Obrigado
    Última edição por fajo; 05-02-2009 às 21:48.

  4. #4

    Padrão

    aparentemente o bloqueio é no seu (ou outro) firewall. Vamos tentar outra coisa:

    a partir de máquina qualquer:

    traceroute 189.43.102.130 (o tal fireceut.ceut.com.br) e informe o resultado.


    mas com isso pelo menos vc saberá - com o traceroute - ONDE está sendo detido o conjunto de pacotinhos

  5. #5

    Padrão

    Resultado:

    traceroute to 189.43.102.130 (189.43.102.130), 30 hops max, 40 byte packets
    1 189.43.19.130 (189.43.19.130) 3005.214 ms !H 3003.667 ms !H 3003.713 ms !H

    num sai nem daqui.

  6. #6

    Padrão

    pois bem.. é o seu firewall. Possivelmente usando iptables, então deve haver (pelo menos) uma regra (em algum lugar) dizendo
    ... -j REJECT

    o que será que vc colocou sendo rejeitado?

  7. #7

    Padrão

    o pior é q onte mesmo eu desabilitei o arquivo com as regras do firewall e reiniciei o servidor, ou seja sem nenhuma regra e mesmo assim não consigo acessar, então acho q não é o firewall. O que vc me diz? Mas se quiser, posso mandar o arquivo.

  8. #8

    Padrão

    vamos tentar destrinchar isso:

    iptables -L diz o que pra vc? (poste aqui)

  9. #9

    Padrão

    Vamos lá, agora com as regras habilitadas, o resultado é:

    Chain INPUT (policy DROP)
    target prot opt source destination
    ACCEPT 0 -- anywhere anywhere
    ACCEPT 0 -- 192.168.0.0/24 anywhere
    ACCEPT 0 -- anywhere anywhere state RELATED,ESTAB LISHED
    ACCEPT tcp -- anywhere anywhere tcp dpt:3128
    ACCEPT tcp -- anywhere anywhere tcp dpt:2222
    ACCEPT tcp -- anywhere anywhere tcp dpt:domain
    DROP tcp -- anywhere anywhere tcp dpt:31337
    DROP udp -- anywhere anywhere udp dpt:31337
    DROP tcp -- anywhere anywhere tcp dpts:12345:1234 6
    DROP udp -- anywhere anywhere udp dpts:12345:1234 6
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,R ST,ACK/SYN

    Chain FORWARD (policy DROP)
    target prot opt source destination
    ACCEPT 0 -- 192.168.0.0/24 anywhere
    ACCEPT 0 -- anywhere 192.168.0.0/24
    ACCEPT tcp -- anywhere anywhere tcp dpt:www
    ACCEPT tcp -- 192.168.0.0/24 205.237.197.0/24 tcp dpt:www
    ACCEPT tcp -- anywhere anywhere tcp dpt:3389
    ACCEPT tcp -- anywhere anywhere tcp dpt:5900
    ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
    DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
    ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
    ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    DROP icmp -- anywhere anywhere state INVALID

  10. #10

    Padrão

    E ai galera, to precisando muito da ajuda de vcs.

    Irado, kd vc, vamos continuar, tava indo tão bem.

  11. #11

    Padrão

    regras demais - rss - me deixam confuso. Do jeito que está, só o magnun daria jeito, mas enquanto êle não aparece, vamos tentar:

    do que vi, suas regras não foram "limpas", há um monte de residuo, então vamos limpar direito:

    IPT="/sbin/iptables"

    $IPT -F -t filter
    $IPT -X -t filter
    $IPT -F -t nat
    $IPT -X -t nat
    $IPT -F -t mangle
    $IPT -X -t mangle

    DEPOIS que fizer isso, nos diga:

    iptables -Ln

    e também (tentando navegar) o que foi que aconteceu; isso aí limpou todas as suas regras então a gente vai saber que PELO MENOS não é interferencia do firewall.

  12. #12

    Padrão

    Então irado, fiz o q vc pediu, a respota foi essa:

    #iptables -Ln
    iptables: No chain/target/match by that name

    ao tentar acessar os sites:

    #lynx www.ceut.com.br

    Procurando www.ceut.com.br primeiro.
    Procurando www.ceut.com.br
    Conectando com HTTP em www.ceut.com.br.
    Alerta!: ImpossÃ*vel conectar ao servidor remoto.

    lynx: Não foi possÃ*vel acessar o arquivo principal www.ceut.com.br

    # lynx www.tce.pi.gov.br

    Procurando www.tce.pi.gov.br primeiro.
    Procurando www.tce.pi.gov.br
    Conectando com HTTP em www.tce.pi.gov.br.
    Alerta!: ImpossÃ*vel conectar ao servidor remoto.

    lynx: Não foi possÃ*vel acessar o arquivo principal www.tce.pi.gov.br

    o q vamos tentar agora?
    Última edição por fajo; 08-02-2009 às 14:32.

  13. #13

    Padrão

    Usei o comanto traceroute em 2 sites e uma coisa me chamou a atenção:

    # traceroute www.google.com.br
    traceroute: Warning: www.google.com.br has multiple addresses; using 208.69.32.231
    traceroute to google.navigation.opendns.com (208.69.32.231), 30 hops max, 40 byt e packets
    1 189.43.19.129 (189.43.19.129) 0.755 ms 0.799 ms 0.822 ms
    2 embratel-S2-1-0-acc08.fla.embratel.net.br (189.23.94.113) 12.394 ms 12.194 ms 11.882 ms
    3 ebt-T0-0-5-0-21-tcore01.fla.embratel.net.br (200.244.169.15) 13.037 ms 12.714 ms 12.409 ms
    4 ebt-T0-5-0-0-tcore01.spo.embratel.net.br (200.230.251.14) 163.945 ms 163.900 ms 163.317 ms
    5 ebt-T0-0-3-0-intl03.mianap.embratel.net.br (200.230.251.26) 163.866 ms 163.278 ms 163.620 ms
    6 GigabitEthernet0-0-0.GW9.MIA4.ALTER.NET (63.65.191.89) 169.413 ms 167.604 ms 168.532 ms
    7 0.ge-5-3-0.XL3.MIA4.ALTER.NET (152.63.81.250) 168.320 ms 169.051 ms 168.410 ms
    8 0.so-5-2-0.XL3.IAD8.ALTER.NET (152.63.36.25) 193.926 ms 195.075 ms 194.578 ms
    9 POS6-0.GW5.IAD8.ALTER.NET (152.63.36.53) 201.318 ms 201.025 ms 197.907 ms
    10 63.65.187.230 (63.65.187.230) 210.683 ms 209.880 ms 210.012 ms
    11 * * *
    12 * * *
    13 * * *
    14 * * *
    15 *

    #traceroute www.ceut.com.br
    traceroute to fireceut.ceut.com.br (189.43.102.130), 30 hops max, 40 byte packets
    1 189.43.19.130 (189.43.19.130) 3002.694 ms !H 3003.640 ms !H 3003.678 ms !H


    a 1ª rota do google é o roteador da embratel, enquanto no ceut é no ip da máquina gateway e só.

  14. #14

    Padrão

    "a 1ª rota do google é o roteador da embratel, enquanto no ceut é no ip da máquina gateway e só."

    indica que não passou do gateway, mas o google passou.. estranho, né?

    bem.. eu digitei o comando errado, é:

    iptables -L

    o 'n' se infiltrou maldosamente, sabe cumé?

    então limpe DE NOVO as regras - como já mencionado - e digite como indicado e vamos ver..

  15. #15

    Padrão

    Tai:

    # iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    e agora?

  16. #16

  17. #17

    Padrão

    mano.. acho que chegou ao meu limite de incompetencia; tá faltando um dedinho do magnum aqui, caramba

    voltemos DE NOVO:
    a) Limpe todas as regras do firewall (odeio esta parte)
    b) a partir de máquina interna, dê um traceroute para esse site que tá rebelado

    "paste" o resultado aqui.

    se DE TODO não funcionar, te empresto minhas regras de iptables só pra testar - pelo menos é algo que conheço, fica mais facil (ou menos complicado) de entender.

  18. #18

    Padrão

    Oi Irado,

    desculpa tá enchendo teu saco, mas vc foi o único q se prontificou em ajudar, por isso, obrigado.

    Bom, hj tive q ir ao escritório e fiz um teste simples, peguei um pc, conectei o cabo de rede no switch q recebe o cabo de rede do modem da embratel, ou seja, não passa pelo servidor linux, configurei a placa de rede com um ip fixo da faixa fornecida pela embratel, e o gateway, claro, o ip do modem, o dns coloquei o do opendns e mesmo assim, não acessou os sites, dessa forma acredito eu q o problema não é do firewall e nem do proxy, ou seja, num tem nada haver com o servidor linux, concorda?

    Ai eu pergunto, existe alguma possibilidade de os sites estarem sendo barrados pelo modem ou pelo roteador da embratel, digo isso, pq já tive um amigo q tem um provedor rádio e um tempo me falou q seus clientes não conseguiam acessar um determinado site, ai então, trocou o equipamento da embratel, não sei se o modem ou roteador, e do nada os clientes voltaram a acessar o site antes bloqueado. Faz algum sentido?