+ Responder ao Tópico



  1. #1

    Padrão problemas com conexão pppoe

    pessoal estou com um server pppoe rodando no Slackware 11.0 + Mysql + Radius + CBQ, quando conecto no servidor ele esta rodando muito bem atribui o ip e faz o controle de banda corretamente mas o meu problema é que apos algum tempo de conexão, tipo uns 5 minutos a conexao fica muito lenta de mais tipo conecto com 512 k de down e 128 up, apos uns 5 ou 6 minutos ela cai consideravelmente para +- 130 a 100 de down e 100 de up mas se testo no proprio server esta sobrando banda, e tb testo em um outro server que roda Debian + Squid + Cqb e a banda esta normal navego com 512 muito bem sem problemas, oque pode estar acontecendo com a velocidade do serviço do pppoe..

  2. #2

    Padrão

    tenta abaixar o mss/mtu

    use 1452

  3. #3

    Padrão

    o meu mtu e mru estao com 1490 outra coisa que testei foi que quando eu dou start meu firewall acontece esse problema e quando eu para o firewall volta ao normal ...

  4. #4

    Padrão resolver

    Posta o que vc deseja que seu firewall faça e posta ele em seguida, vamos ver!

  5. #5

    Padrão

    meu problema antigo era que o firewall não deixava eu autenticar no servidor radius ai eu postei no forum me me disseram para abrir as portas 1812 e 1813 com a regra de INPUT em tcp e udp, funcionou legal consegui autenticar e até navegar mas logo apos um tempo a conexão fica muito lenta de mais, ele não cai fica conectado o dia todo se eu deixar, não sei oque pode ser meu firewall é este

    estou usando
    slackware 11.0
    FreeRadius
    CQB
    rp-pppe.3-5.8

    #!/bin/sh

    # Definindo as variaveis do sistema

    INTEXT="eth1"
    INTINT1="eth0"
    INTINT2="eth2"

    RED1="192.168.20.0/24"
    RED2="169.254.1.0/24"

    DNS1="200.200.200.200"
    DNS2="200.200.200.201"

    IPINT1="192.168.20.254"
    IPINT2="169.254.1.254"
    IPEXT="200.200.200.202"
    LHOST="127.0.0.1/8"
    IPTABLES="/usr/sbin/iptables"

    # Inicio do start no firewall

    case "$1" in

    start)

    echo " Iniciando o Firewall"


    $IPTABLES -F
    $IPTABLES -F -t nat
    $IPTABLES -F -t mangle

    #Bloqueio algumas portas

    $IPTABLES -A INPUT -p udp --dport 33435:33525 -j DROP

    $IPTABLES -A INPUT -s $RED1 -i $INTEXT -j DROP
    $IPTABLES -A INPUT -s $RED2 -i $INTEXT -j DROP

    # Navegaçao

    $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    # Log de conexoes

    $IPTABLES -A INPUT -s 0.0.0.0/0 -i $INTEXT -j LOG --log-prefix "Firewall Proibido INPUT"

    #Bloqeio Pings

    $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

    #Bloqueio os NetBios 137

    $IPTABLES -A FORWARD -o $INTINT1 -p tcp --dport 137 -j DROP
    $IPTABLES -A FORWARD -o $INTINT2 -p tcp --dport 137 -j DROP

    #Bloqueio os NetBios 138

    $IPTABLES -A FORWARD -o $INTINT1 -p tcp --dport 138 -j DROP
    $IPTABLES -A FORWARD -o $INTINT2 -p tcp --dport 138 -j DROP

    #Bloqueio os NetBios 139

    $IPTABLES -A FORWARD -o $INTINT1 -p tcp --dport 139 -j DROP
    $IPTABLES -A FORWARD -o $INTINT2 -p tcp --dport 139 -j DROP

    #Bloqueio os NetBios 139

    $IPTABLES -A FORWARD -o $INTINT1 -p tcp --dport 213 -j DROP
    $IPTABLES -A FORWARD -o $INTINT2 -p tcp --dport 213 -j DROP


    # Protege contra os "Ping of Death"
    $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Protege contra os ataques do tipo "Syn-flood, DoS, etc"
    $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Permitir repassamento (NAT,DNAT,SNAT) de pacotes etabilizados e os relatados ...
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Logar os pacotes mortos por inatividade ...
    $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG

    # Protege contra port scanners avançados (Ex.: nmap)
    $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Protege contra pacotes que podem procurar e obter informações da rede interna ...
    $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

    # Protege contra todos os pacotes danificados e ou suspeitos ...
    $IPTABLES -A FORWARD -m unclean -j DROP

    # Bloqueando tracertroute
    $IPTABLES -A INPUT -p udp -s 0/0 -i $INTEXT --dport 33435:33525 -j DROP

    # Protecoes contra ataques
    $IPTABLES -A INPUT -m state --state INVALID -j DROP

    # Performance - Setando acesso a web com delay minimo
    $IPTABLES -t mangle -A OUTPUT -o $INTEXT -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
    $IPTABLES -t mangle -A OUTPUT -o $INTEXT -p tcp --dport 80 -j TOS --set-tos Minimize-Delay

    # Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante
    $IPTABLES -A INPUT -i $INTEXT -p udp -s $DNS1 -j ACCEPT
    $IPTABLES -A INPUT -i $INTEXT -p udp -s $DNS2 -j ACCEPT
    $IPTABLES -A INPUT -i $INTEXT -p udp -j REJECT

    # Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
    $IPTABLES -A INPUT -i $INTEXT -p tcp --syn -j DROP

    # Mesmo assim fechar todas as portas abaixo de 32000
    $IPTABLES -A INPUT -i $INTEXT -p tcp --dport :32000 -j DROP

    # Responde pacotes icmp especificados e rejeita o restante
    $IPTABLES -A INPUT -i $INTEXT -p icmp --icmp-type host-unreachable -j ACCEPT
    $IPTABLES -A INPUT -i $INTEXT -p icmp --icmp-type source-quench -j ACCEPT
    $IPTABLES -A INPUT -i $INTEXT -p icmp -j REJECT --reject-with icmp-host-unreachable

    # libera acesso interno da rede
    #$IPTABLES -A INPUT -p tcp --syn -s $REDEINT -j ACCEPT
    #$IPTABLES -A OUTPUT -p tcp --syn -s $REDEINT -j ACCEPT
    #$IPTABLES -A FORWARD -p tcp --syn -s $REDEINT -j ACCEPT

    # libera o loopback

    $IPTABLES -A OUTPUT -p tcp --syn -s $LHOST -j ACCEPT

    # libera conexoes de fora pra dentro
    $IPTABLES -A INPUT -p tcp --destination-port 80 -j ACCEPT

    Este abaixo eu abrir para a passanem do servidor radius pois não estava fazendo autenticação..

    $IPTABLES -A INPUT -p tcp --destination-port 1812:1813 -j ACCEPT
    $IPTABLES -A INPUT -p udp --destination-port 1812:1813 -j ACCEPT

    $IPTABLES -A INPUT -p tcp --destination-port 22 -j ACCEPT

    #libera conexoes de dentro pra fora:

    $IPTABLES -A OUTPUT -p tcp --destination-port 22 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 3306 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 22 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 20 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 86 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --destination-port 443 -j ACCEPT

    # bloqueia o resto
    $IPTABLES -A INPUT -p tcp --syn -j DROP
    $IPTABLES -A OUTPUT -p tcp --syn -j DROP
    $IPTABLES -A FORWARD -p tcp --syn -j DROP

    # bloqueia ping
    echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    # ----------------------------------------------------------------

    echo "Firewall carregado ... "

  6. #6

    Padrão Firewall

    Ao meu parecer, seu firewall é uma zona.

    Retira essas regras "receita de bolo" pra impedir ataques de pacotes que resolve.
    Posta a intensão dele que te mostro como fazer direito.
    Última edição por PatrickBrandao; 04-07-2007 às 17:41. Razão: erro

  7. #7

    Padrão

    Valeu mesmo patrick pelo mesmo vc me falou a verdade. rsrs
    seja que vc pode me ajudar a deixar essa firewall decente ?
    eu preciso do seguinte.

    1 - Liberar as conexões pppoe
    2 - Lierar as conexões com o radius (mesma maquina)
    3 - Liberar conexões de forar para dentro nas as portas 80 e 22
    4 - Bloquear todo o resto

    nessa maquina os usuarios não vão poder se enxergar por no meu firewall tinha o bloqueio das portas de netbios, será que da pra deixar isso tb?
    outra coisa na minha rede tem uns espertinhos que gostam de ficar snifando a rede será que tem alguma coisa pra eu tentar resolver isso..
    Última edição por studioweb; 05-07-2007 às 07:56.

  8. #8

    Padrão firewall estruturado

    # limpar -------------
    for table in nat filter mangle; do
    for stage in PREROUTING POSTROUTING FORWARD INPUT OUTPUT; do
    iptables -t $table -P $stage ACCEPT 2>/dev/null
    done
    iptables -t $table -F
    iptables -t $table -Z
    iptables -t $table -X
    done


    # tabelas estruturadas para filtro
    iptables -N local
    iptables -N radius
    iptables -N services
    iptables -N conected

    # estrutura
    iptables -A INPUT -j locais
    iptables -A INPUT -j radius
    iptables -A INPUT -j services
    iptables -A INPUT -j conected


    # regras

    #permitir locais (libera radius se ele estiver apontando para 127.0.0.1:1812)
    iptables -A locais -i lo -j ACCEPT
    iptables -A locais -d 127.0.0.0/8 -j ACCEPT

    # permitir radius (resposta entra por INPUT caso o servidor seja remoto)
    iptables -A radius -p udp -m multiport --port 1812 -j ACCEPT
    iptables -A radius -p udp -m multiport --port 1813 -j ACCEPT

    # permitir serviços locais
    iptables -A services -p tcp --dport 80 -j ACCEPT
    iptables -A services -p tcp --dport 22 -j ACCEPT
    iptables -A services -p udp --dport 53 -j ACCEPT

    # permitir conexoes estabelecidas com o servidor local
    iptables -A conected -m state --state ESTABLISHED,RELATED -j ACCEPT

    # bloquear o resto
    iptables -P INPUT DROP


    # No FORWARD vc nao precisa fazer nada pois é puro trafego de clientes, dai
    # vc pode colocar somente o necessário, mas a principio deixe vazio
    #
    Última edição por PatrickBrandao; 05-07-2007 às 12:27. Razão: erro semantica

  9. #9

    Padrão

    patrick as regras estão funcionando legais mais apareceu este mensagem
    iptables: No chain/target/match by that name
    iptables: No chain/target/match by that name
    iptables: No chain/target/match by that name
    de resto esta conectando e navegando normalmente..

  10. #10

    Padrão

    Patrick já achei oque esta havendo no regra
    iptables -A INPUT -j locais

    ficou assim
    iptables -A INPUT -j local
    esta tudo em ordem agora

  11. #11
    UPLinux
    Visitante

    Talking Problema igual

    Cara estive com um problema pareceido com esse seu aí e eu atualizei o kernel e funcionou....
    Qual a versão do seu Kernel?