+ Responder ao Tópico



  1. #1
    Dominum
    Visitante

    Padrão Operation not permitted

    Olá, Humanos!

    Tipo, tenho um servidor proxy/firewall/DNS (squid/iptables/bind) redando em um Conectiva8.
    Este firewall está liberando somento o necessário, email, página, dentre outras coisinhas.
    O negócio é o seguinte:
    Quando ligo o servidor as estações conseguem baixar e enviar e-mail, mas não conseguem navegar. O browser dá aquela página de "Página não encontrada" (tá parecendo DNS :/ ). No servidor não dá nenhuma mensagem.

    Ai, se eu matar o PID do SQUID, carregar um firewall com regras totalmente livres (que não é o da inicialização) e em seguida startar o SQUID novamente, tudo funciona perfeitamente.
    E se, após o start do SQUID, eu carregar o mesmo firewall não funcionol na inicialização (que libera somente o necessário) tudo continua funcionando normalmente. A única coisa de diferente que aparece, é no arquivo CACHE.LOG do SQUID. A mensagem é a seguinte:

    Essa mensagem aparece constantemente
    ------------------
    comm_udp_sendto: FD 4, 192.168.0.100, port 53: (1) Operation not permitted
    idnsSendQuery: FD 4: sendto: (1) Operation not permitted
    ------------------

    e essa em alguns momentos:
    ------------------
    icmpSend: send: (1) Operation not permitted
    ------------------


    Caso alguém não entenda , pergunte.

  2. #2
    Dominum
    Visitante

    Padrão Operation not permitted

    As regras no meu fírewall que tratam da porta 53 são as seguintes:

    # Aceita conexões, das redes internas, destinadas à porta 53 (DNS)
    iptables -t filter -A INPUT -i $LAN192_IF -p UDP --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -i $LAN172_IF -p UDP --dport 53 -j ACCEPT

    # Aceita conexões, das redes internas, destinadas à porta 53 (DNS)
    iptables -t filter -A FORWARD -i $LAN192_IF -p UDP --dport 53 -j ACCEPT
    iptables -t filter -A FORWARD -i $LAN172_IF -p UDP --dport 53 -j ACCEPT

    e nos dois chains tem estas, liberando o retorno dos pacote:

    # Aceita o retorno de conexões já estabelecidas ou de mensagens relacionadas a elas
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Aceita o retorno de conexões já estabelecidas ou de mensagens relacionadas a elas
    iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



  3. #3
    Danilo_Montagna
    Visitante

    Padrão Operation not permitted

    comm_udp_sendto: FD 4, 192.168.0.100, port 53: (1) Operation not permitted

    idnsSendQuery: FD 4: sendto: (1) Operation not permitted
    ------------------

    e essa em alguns momentos:
    ------------------
    icmpSend: send: (1) Operation not permitted

    quem é a maquina 192.168.0.100??

    poe essas regras aqui no seu firewall

    iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
    iptables -A OUTPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT

  4. #4

    Padrão Operation not permitted

    Olha, voce esta usando somente UDP na porta 53, libere tcp tambem, quando o query e muito grande ele usa tcp invez de udp se eu nao me engano.

    outra hora ele da erro de icmp, verifique se pode passar icmp na sua rede, verifique com um ping a principio,

    os icmp type sao 8 para icmp echo reply e o traceroute usa o 13

    entao se eu nao me engano fica assim

    iptables -A FORWARD -p icmp --icmp-code 8 -j ACCEPT

    ou algo do tipo, sinceramente nao sei a regra direito, voce vai ter que olhar no man do iptables <IMG SRC="images/forum/icons/icon_smile.gif"> ou simplesmente libere todos os ICMPs <IMG SRC="images/forum/icons/icon_smile.gif"> ai verifique se ainda ocorre o mesmo erro.



  5. #5
    Danilo_Montagna
    Visitante

    Padrão Operation not permitted

    corrigindo..

    iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

    bom.. ja fiquei bastanet tempo em cima dessa porta tcp 53.. e posso garantir que a mesma so é usada para transferencias de zonas DNS.. pelo menos em todos os testes que eu fiz.. somente ouveram trafego de pacotes na porta 53 tcp em transferencias de zonas dns..

  6. #6
    Dominum
    Visitante

    Padrão Operation not permitted

    Olá!

    Desculpa não ter mencionado, mas 192.168.0.100 é o meu servidor e todas as estações estão com seus gateways configurados para este IP.

    então, por via das dúvidas eu coloquei as seguintes regras no firewall:

    iptables -A INPUT -p UDP -s 192.168.0.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p UDP -s 172.16.0.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p TCP -s 172.16.0.0/24 --dport 53 -j ACCEPT

    Isso foi colocado para os três chains INPUT, FORWARD e OUTPUT (embora o este último esteja ACCEPT hehe, redundante) o que foi trocado, evidentemente, foi apenas os "appends" (-A) das regras.

    E mesmo assim aquela mensagem continua aparecendo...
    estou esperando dar 18:00hs para que eu possa restartar o SQUID para ver se vai parar tudo, como estava acontecendo...
    Eu executei o firewall totalmente aberto, e as mensagens do SQUID pararam de aparecer.. logo o problema está no firewall...
    O servidor estava rodando beleza.. isso só começou a acontecer depois que reformulei minhas regras.

    Ah!
    eu tenho uma regra, tanto no INPUT quanto no FORWARD que trata dos pacotes ICMP

    iptables -A INPUT -p ICMP -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p ICMP -m limit --limit 1/s -j ACCEPT

    por isso acho que o problema não é com a regra de ICMP. Acho que alguém tentou dar um ping com resolução de nome, por isso apareceu no CACHE.LOG... (até agora a mensagem não apareceu mais)

    Caso alguém tenha mais alguma dica...
    enquanto isso vou testando por tentativa e erro...hehe



  7. #7
    Dominum
    Visitante

    Padrão Operation not permitted

    Resumo da Obra!

    "Restartei" o SQUID de um modo menos traumático (squid -k reconfigure), e a navegação em páginas parou novamente. Aí fiz o mesmo procedimento descrito na primeira mensagem (mateio o PID do SQUID.....)
    Aí o servidor voltou a funcionar, mas aparecendo aquela mensagem legal...

    É isso aí... vou tentando descobrir o que é isso...(acho que vou pedir uma pizza)
    Se alguém puder ajudar, eu agradeço.