Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Dominum
    Olá, Humanos!

    Tipo, tenho um servidor proxy/firewall/DNS (squid/iptables/bind) redando em um Conectiva8.
    Este firewall está liberando somento o necessário, email, página, dentre outras coisinhas.
    O negócio é o seguinte:
    Quando ligo o servidor as estações conseguem baixar e enviar e-mail, mas não conseguem navegar. O browser dá aquela página de "Página não encontrada" (tá parecendo DNS :/ ). No servidor não dá nenhuma mensagem.

    Ai, se eu matar o PID do SQUID, carregar um firewall com regras totalmente livres (que não é o da inicialização) e em seguida startar o SQUID novamente, tudo funciona perfeitamente.
    E se, após o start do SQUID, eu carregar o mesmo firewall não funcionol na inicialização (que libera somente o necessário) tudo continua funcionando normalmente. A única coisa de diferente que aparece, é no arquivo CACHE.LOG do SQUID. A mensagem é a seguinte:

    Essa mensagem aparece constantemente
    ------------------
    comm_udp_sendto: FD 4, 192.168.0.100, port 53: (1) Operation not permitted
    idnsSendQuery: FD 4: sendto: (1) Operation not permitted
    ------------------

    e essa em alguns momentos:
    ------------------
    icmpSend: send: (1) Operation not permitted
    ------------------


    Caso alguém não entenda , pergunte.

  2. #2
    Dominum
    As regras no meu fírewall que tratam da porta 53 são as seguintes:

    # Aceita conexões, das redes internas, destinadas à porta 53 (DNS)
    iptables -t filter -A INPUT -i $LAN192_IF -p UDP --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -i $LAN172_IF -p UDP --dport 53 -j ACCEPT

    # Aceita conexões, das redes internas, destinadas à porta 53 (DNS)
    iptables -t filter -A FORWARD -i $LAN192_IF -p UDP --dport 53 -j ACCEPT
    iptables -t filter -A FORWARD -i $LAN172_IF -p UDP --dport 53 -j ACCEPT

    e nos dois chains tem estas, liberando o retorno dos pacote:

    # Aceita o retorno de conexões já estabelecidas ou de mensagens relacionadas a elas
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Aceita o retorno de conexões já estabelecidas ou de mensagens relacionadas a elas
    iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



  3. #3
    Danilo_Montagna
    comm_udp_sendto: FD 4, 192.168.0.100, port 53: (1) Operation not permitted

    idnsSendQuery: FD 4: sendto: (1) Operation not permitted
    ------------------

    e essa em alguns momentos:
    ------------------
    icmpSend: send: (1) Operation not permitted

    quem é a maquina 192.168.0.100??

    poe essas regras aqui no seu firewall

    iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
    iptables -A OUTPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT

  4. Olha, voce esta usando somente UDP na porta 53, libere tcp tambem, quando o query e muito grande ele usa tcp invez de udp se eu nao me engano.

    outra hora ele da erro de icmp, verifique se pode passar icmp na sua rede, verifique com um ping a principio,

    os icmp type sao 8 para icmp echo reply e o traceroute usa o 13

    entao se eu nao me engano fica assim

    iptables -A FORWARD -p icmp --icmp-code 8 -j ACCEPT

    ou algo do tipo, sinceramente nao sei a regra direito, voce vai ter que olhar no man do iptables <IMG SRC="images/forum/icons/icon_smile.gif"> ou simplesmente libere todos os ICMPs <IMG SRC="images/forum/icons/icon_smile.gif"> ai verifique se ainda ocorre o mesmo erro.



  5. #5
    Danilo_Montagna
    corrigindo..

    iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

    bom.. ja fiquei bastanet tempo em cima dessa porta tcp 53.. e posso garantir que a mesma so é usada para transferencias de zonas DNS.. pelo menos em todos os testes que eu fiz.. somente ouveram trafego de pacotes na porta 53 tcp em transferencias de zonas dns..






Tópicos Similares

  1. Erro VPN filial " Operation not permitted"
    Por sowbra no fórum Servidores de Rede
    Respostas: 2
    Último Post: 07-01-2011, 13:14
  2. named: capset failed: Operation not permitted
    Por tiagonux no fórum Servidores de Rede
    Respostas: 5
    Último Post: 27-12-2005, 07:08
  3. ping: sendmsg: Operation not permitted
    Por supercelso no fórum Servidores de Rede
    Respostas: 6
    Último Post: 11-05-2005, 08:06
  4. SSH (comand not found)???
    Por PedroNasc no fórum Servidores de Rede
    Respostas: 6
    Último Post: 05-12-2002, 10:49
  5. IPCHAINS - Protocol not available!
    Por NoiseMaster no fórum Servidores de Rede
    Respostas: 15
    Último Post: 12-11-2002, 15:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L