bloqueio sem razão

[fajo]

Olá pessoal, estou eu aqui de novo com o mesmo problema no servidor da empresa, o sistema é Debian rodando squid com firewall, e ele está bloqueando uns poucos sites sem razão aparente, são sites de algumas faculdades, já verifiquei o squid e não tem nada q possa bloquear o accesso a esses sites. Não consigo nem pingar. Alguma sugestão?
Obrigado

[rodrigorozario]

Olá pessoal, estou eu aqui de novo com o mesmo problema no servidor da empresa, o sistema é Debian rodando squid com firewall, e ele está bloqueando uns poucos sites sem razão aparente, são sites de algumas faculdades, já verifiquei o squid e não tem nada q possa bloquear o accesso a esses sites. Não consigo nem pingar. Alguma sugestão?
Obrigado

Amigo, dá mais detalhes ai do problema...

Posta ai as regras do squid.conf

[fajo]

Bom, vou tentar ser mais detalhista,

configurei um servidor que faz o papel de gateway, com proxy e firewall, e desde o ano passado alguns sites não são acessados, como "www.ceut.com.br, www.tce.gov.pi.br", nem do próprio servidor não consigo, estou usando os dns do opendns, 208.67.222.222 e 208.67.220.220, pq me disseram q poderia ser dns, se uso o comando host, host www.ceut.com.br ele me retorna:
www.ceut.com.br is an alias for fireceut.ceut.com.br.
fireceut.ceut.com.br has address 189.43.102.130
se uso o "dig www.ceut.com.br @208.67.222.222" é retornado:
; <<>> DiG 9.3.4-P1.1 <<>> www.ceut.com.br @208.67.222.222
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16053
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.ceut.com.br IN A

;; ANSWER SECTION:
www.ceut.com.br 83414 IN CNAME fireceut.ceut.com.br.
fireceut.ceut.com.br. 83414 IN A 189.43.102.130

;; Query time: 212 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Thu Feb 5 20:34:23 2009
;; MSG SIZE rcvd: 72

mas se eu tento acessar o site usado o lynx por exemplo:

Procurando www.ceut.com.br primeiro.
Procurando www.ceut.com.br
Conectando com HTTP em www.ceut.com.br
Alerta!: ImpossÃ*vel conectar ao servidor remoto.

lynx: Não foi possÃ*vel acessar o arquivo principal www.ceut.com.br

e é isso.

Alguma sugestão?

Obrigado

[irado]

aparentemente o bloqueio é no seu (ou outro) firewall. Vamos tentar outra coisa:

a partir de máquina qualquer:

traceroute 189.43.102.130 (o tal fireceut.ceut.com.br) e informe o resultado.


mas com isso pelo menos vc saberá - com o traceroute - ONDE está sendo detido o conjunto de pacotinhos

[fajo]

Resultado:

traceroute to 189.43.102.130 (189.43.102.130), 30 hops max, 40 byte packets
1 189.43.19.130 (189.43.19.130) 3005.214 ms !H 3003.667 ms !H 3003.713 ms !H

num sai nem daqui.

[irado]

pois bem.. é o seu firewall. Possivelmente usando iptables, então deve haver (pelo menos) uma regra (em algum lugar) dizendo
... -j REJECT

o que será que vc colocou sendo rejeitado?

[fajo]

o pior é q onte mesmo eu desabilitei o arquivo com as regras do firewall e reiniciei o servidor, ou seja sem nenhuma regra e mesmo assim não consigo acessar, então acho q não é o firewall. O que vc me diz? Mas se quiser, posso mandar o arquivo.

[irado]

vamos tentar destrinchar isso:

iptables -L diz o que pra vc? (poste aqui)

[fajo]

Vamos lá, agora com as regras habilitadas, o resultado é:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- 192.168.0.0/24 anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTAB LISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:3128
ACCEPT tcp -- anywhere anywhere tcp dpt:2222
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:31337
DROP udp -- anywhere anywhere udp dpt:31337
DROP tcp -- anywhere anywhere tcp dpts:12345:1234 6
DROP udp -- anywhere anywhere udp dpts:12345:1234 6
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,R ST,ACK/SYN

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT 0 -- 192.168.0.0/24 anywhere
ACCEPT 0 -- anywhere 192.168.0.0/24
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- 192.168.0.0/24 205.237.197.0/24 tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:5900
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere state INVALID

[fajo]

E ai galera, to precisando muito da ajuda de vcs.

Irado, kd vc, vamos continuar, tava indo tão bem.

[irado]

regras demais - rss - me deixam confuso. Do jeito que está, só o magnun daria jeito, mas enquanto êle não aparece, vamos tentar:

do que vi, suas regras não foram "limpas", há um monte de residuo, então vamos limpar direito:

IPT="/sbin/iptables"

$IPT -F -t filter
$IPT -X -t filter
$IPT -F -t nat
$IPT -X -t nat
$IPT -F -t mangle
$IPT -X -t mangle

DEPOIS que fizer isso, nos diga:

iptables -Ln

e também (tentando navegar) o que foi que aconteceu; isso aí limpou todas as suas regras então a gente vai saber que PELO MENOS não é interferencia do firewall.

[fajo]

Então irado, fiz o q vc pediu, a respota foi essa:

#iptables -Ln
iptables: No chain/target/match by that name

ao tentar acessar os sites:

#lynx www.ceut.com.br

Procurando www.ceut.com.br primeiro.
Procurando www.ceut.com.br
Conectando com HTTP em www.ceut.com.br.
Alerta!: ImpossÃ*vel conectar ao servidor remoto.

lynx: Não foi possÃ*vel acessar o arquivo principal www.ceut.com.br

# lynx www.tce.pi.gov.br

Procurando www.tce.pi.gov.br primeiro.
Procurando www.tce.pi.gov.br
Conectando com HTTP em www.tce.pi.gov.br.
Alerta!: ImpossÃ*vel conectar ao servidor remoto.

lynx: Não foi possÃ*vel acessar o arquivo principal www.tce.pi.gov.br

o q vamos tentar agora?

[fajo]

Usei o comanto traceroute em 2 sites e uma coisa me chamou a atenção:

# traceroute www.google.com.br
traceroute: Warning: www.google.com.br has multiple addresses; using 208.69.32.231
traceroute to google.navigation.opendns.com (208.69.32.231), 30 hops max, 40 byt e packets
1 189.43.19.129 (189.43.19.129) 0.755 ms 0.799 ms 0.822 ms
2 embratel-S2-1-0-acc08.fla.embratel.net.br (189.23.94.113) 12.394 ms 12.194 ms 11.882 ms
3 ebt-T0-0-5-0-21-tcore01.fla.embratel.net.br (200.244.169.15) 13.037 ms 12.714 ms 12.409 ms
4 ebt-T0-5-0-0-tcore01.spo.embratel.net.br (200.230.251.14) 163.945 ms 163.900 ms 163.317 ms
5 ebt-T0-0-3-0-intl03.mianap.embratel.net.br (200.230.251.26) 163.866 ms 163.278 ms 163.620 ms
6 GigabitEthernet0-0-0.GW9.MIA4.ALTER.NET (63.65.191.89) 169.413 ms 167.604 ms 168.532 ms
7 0.ge-5-3-0.XL3.MIA4.ALTER.NET (152.63.81.250) 168.320 ms 169.051 ms 168.410 ms
8 0.so-5-2-0.XL3.IAD8.ALTER.NET (152.63.36.25) 193.926 ms 195.075 ms 194.578 ms
9 POS6-0.GW5.IAD8.ALTER.NET (152.63.36.53) 201.318 ms 201.025 ms 197.907 ms
10 63.65.187.230 (63.65.187.230) 210.683 ms 209.880 ms 210.012 ms
11 * * *
12 * * *
13 * * *
14 * * *
15 *

#traceroute www.ceut.com.br
traceroute to fireceut.ceut.com.br (189.43.102.130), 30 hops max, 40 byte packets
1 189.43.19.130 (189.43.19.130) 3002.694 ms !H 3003.640 ms !H 3003.678 ms !H


a 1ª rota do google é o roteador da embratel, enquanto no ceut é no ip da máquina gateway e só.

[irado]

"a 1ª rota do google é o roteador da embratel, enquanto no ceut é no ip da máquina gateway e só."

indica que não passou do gateway, mas o google passou.. estranho, né?

bem.. eu digitei o comando errado, é:

iptables -L

o 'n' se infiltrou maldosamente, sabe cumé?

então limpe DE NOVO as regras - como já mencionado - e digite como indicado e vamos ver..

[fajo]

Tai:

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

e agora?

[fajo]

E ai irado, vamos continuar?

[irado]

mano.. acho que chegou ao meu limite de incompetencia; tá faltando um dedinho do magnum aqui, caramba

voltemos DE NOVO:
a) Limpe todas as regras do firewall (odeio esta parte)
b) a partir de máquina interna, dê um traceroute para esse site que tá rebelado

"paste" o resultado aqui.

se DE TODO não funcionar, te empresto minhas regras de iptables só pra testar - pelo menos é algo que conheço, fica mais facil (ou menos complicado) de entender.

[fajo]

Oi Irado,

desculpa tá enchendo teu saco, mas vc foi o único q se prontificou em ajudar, por isso, obrigado.

Bom, hj tive q ir ao escritório e fiz um teste simples, peguei um pc, conectei o cabo de rede no switch q recebe o cabo de rede do modem da embratel, ou seja, não passa pelo servidor linux, configurei a placa de rede com um ip fixo da faixa fornecida pela embratel, e o gateway, claro, o ip do modem, o dns coloquei o do opendns e mesmo assim, não acessou os sites, dessa forma acredito eu q o problema não é do firewall e nem do proxy, ou seja, num tem nada haver com o servidor linux, concorda?

Ai eu pergunto, existe alguma possibilidade de os sites estarem sendo barrados pelo modem ou pelo roteador da embratel, digo isso, pq já tive um amigo q tem um provedor rádio e um tempo me falou q seus clientes não conseguiam acessar um determinado site, ai então, trocou o equipamento da embratel, não sei se o modem ou roteador, e do nada os clientes voltaram a acessar o site antes bloqueado. Faz algum sentido?