Problemas google ubuntu

3lson · 22 de Fevereiro de 2010, 16:44

Não sei se é só comigo que está acontecendo isso, mas vamos lá.
Tinha em minha empresa um servidor com proxy squid e firewall iptables rodando tudo bonitinho, quando derrepente, o google saiu do ar na empresa, justamente num dia que estava de folga.
No outro dia tentei resolver o problema de forma rápida mas nao obtive sucesso, retirei o servidor do ar e a rede ficou toda aberta, para a alegria da rapazeada...
Testei tudo o que estava ao meu alcance.. formatei, instalei novamente tudinho, revi as regras do firewall, as acls do squid e nada, atualizei o ubuntu e nada. hoje, cansado de tanto tentar e pesquisar na internet, venho solicitar alguima luz dos nossos amigos.

Resumindo. A internet funciona, ou seja, o roteamento está normal, mas paginas do google, yahoo nao abrem.
Sem contar que temos um sistema web na empresa que também apresenta problemas em script ajax na página quando estamos sobre o servidor.

Alguma dica amigos?

zekkerj · 22 de Fevereiro de 2010, 17:34

Você usa proxy transparente ou configurado?

Como está configurado o DNS no Squid? E no servidor?

Sem proxy, o servidor consegue resolver o nome do Google?

zekkerj · 23 de Fevereiro de 2010, 00:24

Citar## direciona requisicoes vindas pela porta 80 para o proxy squid
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp

Podia ter dito só "sim, uso proxy transparente".

Citar# libera acesso outlook
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p udp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p udp --sport 110 -j ACCEPT

Esse pedaço está mal-escrito. Fica melhor assim:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

/etc/init.d/squid restart
#/etc/init.d/rinetd stop

Esses comandos não deveriam estar aqui: há uma forma correta de iniciar o squid, no boot.

Aliás, eu não teria colocado nada disso no "rc.local"; ao contrário, teria criado um arquivo de firewall, e configurado ele como se fosse um serviço. Mas isso é lição avançada.

CitarLembrando que quando reinicio o computador o google funciona normalmente, mas ao passar alguns minutos ele pára. Nãop sei se é algum virus na rede ou o problema realmente é do servidor.

squid transparente depende do DNS da estação. Como está a definição de DNS nas estações? Na hora em que o google pára, você consegue executar um ping pra ele, a partir da estação?

3lson · 23 de Fevereiro de 2010, 09:23

Nas estações utilizo como dns preferencial o ip do servidor Active Directory e o alternativo o da telefonica: 200.204.0.10.

Coloquei tudo no rc.local pois quando resolvi montar este servidor aqui na empresa nao manjava quase nada de linux, e com algumas muitas pesquisas cheguei ao que está hoje e nos tutoriais e foruns que pesquisei eles mandavam colocar estes comandos do iptables no rc.local mesmo.

valeu pela dica da liberacao do outlook, eu já vou arrumar isso.

Postei todo o conteúdo do rc.local pois poderia ser que o erro estivesse em alguma regra dele e do squid a mesma coisa.
Ontem continuei pesquisando na net e li que talvez o cache do squid possa estar interferindo neste problema, hoje continuarei a fazer alguns testes aqui, tentarei aumentar o tamanho do cache para ver no que que dá.

Gostaria de agradecer desde já pelas dicas, até hoje vc foi o primeiro usuario deste forum que respondeu a algum tópico que postei.

Vlw.

zekkerj · 23 de Fevereiro de 2010, 10:15

Então no momento da falha, tente pingar o google pelo nome:

iniciar>>executar>>cmd

ping www.google.com

veja se consegue resolver o nome, pq nesse caso quem está com problema é seu DNS, não o Squid.

3lson · 24 de Fevereiro de 2010, 09:43

Fiz os testes que solicitou.
Cheguei cedo no trabalho e coloquei o servidor no ar novamente, com duas modificacoes apenas:

http_port 3128 transparent
visible_hostname Ubuntu

dns_nameservers 200.204.0.10

cache_mem 256 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log

e também aquela que sugeriu para liberação do outlook.
Bom, ontem fiz os testes com apenas uma máquina rodando sobre o servidor e foi beleza, funcionou por um longo tempo, mas hoje assim que os funcionários foram chegando e a utilização da internet se tornou mais intensa... tá lá denovo o problema. google, msn e yahoo nao abrem.
Fiz o que solicitou, da minha estação windows dei um ping para www.google.com.br e pingou normalmente.
Como pode perceber no meu squid.conf, aumentei o tamanho do cache. Reiniciei o squid e nada, limpei o cache e nada também.

Estas páginas só voltam a funcionar caso eu reinicie o servidor, mas por um curto período.

Enquanto escrevi este post, o servidor, que acabara de ser reiniciado, voltou a apresentar o problema... que coisa.

3lson · 24 de Fevereiro de 2010, 10:01

outra coisa que achei no webmin foi este trecho sobre o firewall:

Não sei se tem a ver, mas a linha que coloquei em azul é referente a faixa de ip do google no momento em que pingo do meu pc. O resultado do meu ping traz o ip 74.125.47.103 por exemplo, sei que ele está sempre alterando, mas no momento é este que está mostrando, e aparentemente o firwall está dando um drop deste range de ip.

Arquivo de regras /etc/iptables.up.rules

segue linhas mostradas pelo webmin.

Webmin detectou 2 regras Iptables Firewall atualmente em uso, no qual não estão gravadas no arquivo /etc/iptables.up.rules. Estas regras estão provavelmente configuradas de um script, no qual o módulo não sabe como ler ou editar.

Se você quiser usar este módulo para gerenciar seu Iptables Firewall, clique neste botão abaixo para converter as regras existentes para um arquivo salvo, e então desative seu script firewall.

# Generated by iptables-save v1.4.4 on Wed Feb 24 09:52:12 2010
*mangle
:PREROUTING ACCEPT [2506:1473930]
:INPUT ACCEPT [880:347570]
:FORWARD ACCEPT [1626:1126360]
:OUTPUT ACCEPT [841:459921]
:POSTROUTING ACCEPT [2469:1586417]
COMMIT
# Completed on Wed Feb 24 09:52:12 2010
# Generated by iptables-save v1.4.4 on Wed Feb 24 09:52:12 2010
*nat
:PREROUTING ACCEPT [693:55878]
:POSTROUTING ACCEPT [26:5853]
:OUTPUT ACCEPT [1247:79281]
-A PREROUTING -d 189.126.116.172/32 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1510 -j DNAT --to-destination 192.168.0.101:5900
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1010 -j DNAT --to-destination 192.168.0.200:5223
-A PREROUTING -i eth1 -p tcp -m tcp --dport 1500 -j DNAT --to-destination 192.168.0.2:1500
-A PREROUTING -p tcp -m tcp --dport 1500 -j DNAT --to-destination 192.168.0.2:1500
-A PREROUTING -p tcp -m tcp --dport 3000 -j DNAT --to-destination 192.168.0.2:3000
-A PREROUTING -p tcp -m tcp --dport 3001 -j DNAT --to-destination 192.168.0.2:3001
-A PREROUTING -p tcp -m tcp --dport 3003 -j DNAT --to-destination 192.168.0.2:3003
-A PREROUTING -p udp -m udp --dport 3005 -j DNAT --to-destination 192.168.0.2:3005
-A PREROUTING -p tcp -m tcp --dport 3007 -j DNAT --to-destination 192.168.0.2:3007
-A PREROUTING -p tcp -m tcp --dport 4000 -j DNAT --to-destination 192.168.0.2:4000
-A PREROUTING -p tcp -m tcp --dport 8800 -j DNAT --to-destination 192.168.0.2:8800
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Feb 24 09:52:12 2010
# Generated by iptables-save v1.4.4 on Wed Feb 24 09:52:12 2010
*filter
:INPUT ACCEPT [16154:9938416]
:FORWARD ACCEPT [30962:20319164]
:OUTPUT ACCEPT [19203:11434900]
-A INPUT -s 216.151.192.0/19 -j DROP
-A INPUT -s 204.145.148.0/24 -j DROP
-A INPUT -s 82.182.39.0/24 -j DROP
-A INPUT -s 137.110.0.0/16 -j DROP
-A INPUT -s 66.150.117.0/24 -j DROP
-A INPUT -s 71.236.248.148/32 -j DROP
-A INPUT -s 209.191.64.0/18 -j DROP
-A INPUT -s 66.36.241.109/32 -j DROP
-A INPUT -s 216.145.0.0/19 -j DROP
-A INPUT -s 66.207.217.0/24 -j DROP
-A INPUT -s 217.160.226.0/24 -j DROP
-A INPUT -s 216.201.96.0/24 -j DROP
-A INPUT -s 72.71.167.0/24 -j DROP
-A INPUT -s 98.143.147.0/24 -j DROP
-A INPUT -s 66.60.64.241/32 -j DROP
-A INPUT -s 204.15.80.0/22 -j DROP
-A INPUT -s 216.168.0.0/19 -j DROP
-A INPUT -s 216.223.192.0/19 -j DROP
-A INPUT -s 198.209.0.0/16 -j DROP
-A INPUT -s 67.160.189.137/32 -j DROP
-A INPUT -s 216.127.64.0/19 -j DROP
-A INPUT -s 71.193.158.63/32 -j DROP
-A INPUT -s 194.159.72.0/23 -j DROP
-A INPUT -s 207.57.2.84/32 -j DROP
-A INPUT -s 194.109.217.0/24 -j DROP
-A INPUT -s 145.102.4.0/24 -j DROP
-A INPUT -s 63.134.192.0/18 -j DROP
-A INPUT -s 82.161.0.0/17 -j DROP
-A INPUT -s 216.114.192.0/18 -j DROP
-A INPUT -s 65.52.0.0/14 -j DROP
-A INPUT -s 64.4.0.0/18 -j DROP
-A INPUT -s 74.125.0.0/16 -j DROP
-A INPUT -s 213.46.134.0/24 -j DROP
-A INPUT -s 65.222.44.0/24 -j DROP
-A INPUT -s 71.111.122.112/32 -j DROP
-A INPUT -s 86.54.0.0/16 -j DROP
-A INPUT -s 85.10.192.0/18 -j DROP
-A INPUT -s 194.109.21.0/24 -j DROP
-A INPUT -s 199.184.245.0/24 -j DROP
-A INPUT -s 217.199.190.0/24 -j DROP
-A INPUT -s 213.46.64.0/18 -j DROP
-A INPUT -s 12.10.32.0/23 -j DROP
-A INPUT -s 12.14.114.0/23 -j DROP
-A INPUT -s 12.19.206.0/23 -j DROP
-A INPUT -s 12.22.152.0/22 -j DROP
-A INPUT -s 12.30.128.160/27 -j DROP
-A INPUT -s 12.63.233.56/29 -j DROP
-A INPUT -s 161.204.0.0/16 -j DROP
-A INPUT -s 192.77.159.0/24 -j DROP
-A INPUT -s 198.217.128.0/17 -j DROP
-A INPUT -s 198.241.128.0/17 -j DROP
-A INPUT -s 198.80.42.0/23 -j DROP
-A INPUT -s 203.127.46.240/28 -j DROP
-A INPUT -s 205.227.65.0/24 -j DROP
-A INPUT -s 207.25.86.0/24 -j DROP
-A INPUT -s 207.27.127.0/24 -j DROP
-A INPUT -s 209.232.32.0/23 -j DROP
-A INPUT -s 209.64.116.0/23 -j DROP
-A INPUT -s 209.64.210.0/24 -j DROP
-A INPUT -s 209.64.211.0/24 -j DROP
-A INPUT -s 209.79.153.0/24 -j DROP
-A INPUT -s 210.24.63.192/26 -j DROP
-A INPUT -s 149.101.0.0/16 -j DROP
-A INPUT -s 206.55.31.0/24 -j DROP
-A INPUT -s 153.31.0.0/16 -j DROP
-A INPUT -s 192.84.170.0/24 -j DROP
-A INPUT -s 205.197.138.0/23 -j DROP
-A INPUT -s 205.229.233.0/24 -j DROP
-A INPUT -s 12.18.36.0/23 -j DROP
-A INPUT -s 12.18.38.0/23 -j DROP
-A INPUT -s 12.32.216.0/24 -j DROP
-A INPUT -s 148.168.0.0/16 -j DROP
-A INPUT -s 168.224.0.0/16 -j DROP
-A INPUT -s 192.75.150.0/24 -j DROP
-A INPUT -s 194.117.120.106/32 -j DROP
-A INPUT -s 194.117.125.100/32 -j DROP
-A INPUT -s 194.165.111.0/24 -j DROP
-A INPUT -s 194.204.214.0/24 -j DROP
-A INPUT -s 194.73.53.0/24 -j DROP
-A INPUT -s 205.183.235.0/24 -j DROP
-A INPUT -s 206.157.50.0/23 -j DROP
-A INPUT -s 203.63.252.0/24 -j DROP
-A INPUT -s 194.117.101.92/32 -j DROP
-A INPUT -s 209.43.46.0/24 -j DROP
-A INPUT -s 207.158.23.0/24 -j DROP
-A INPUT -s 155.96.0.0/16 -j DROP
-A INPUT -s 198.77.181.0/24 -j DROP
-A INPUT -s 8.6.48.0/21 -j DROP
-A INPUT -s 63.84.190.224/27 -j DROP
-A INPUT -s 63.211.200.72/29 -j DROP
-A INPUT -s 64.68.80.0/21 -j DROP
-A INPUT -s 64.124.112.24/29 -j DROP
-A INPUT -s 64.124.229.168/29 -j DROP
-A INPUT -s 64.128.207.160/28 -j DROP
-A INPUT -s 64.154.178.208/28 -j DROP
-A INPUT -s 64.233.160.0/19 -j DROP
-A INPUT -s 65.196.235.32/28 -j DROP
-A INPUT -s 65.202.99.152/29 -j DROP
-A INPUT -s 65.210.56.208/28 -j DROP
-A INPUT -s 65.211.194.96/28 -j DROP
-A INPUT -s 65.214.112.96/27 -j DROP
-A INPUT -s 65.214.255.96/28 -j DROP
-A INPUT -s 65.221.133.176/28 -j DROP
-A INPUT -s 65.223.8.48/28 -j DROP
-A INPUT -s 65.245.24.8/29 -j DROP
-A INPUT -s 66.102.0.0/20 -j DROP
-A INPUT -s 66.192.134.32/28 -j DROP
-A INPUT -s 66.249.64.0/19 -j DROP
-A INPUT -s 67.69.26.16/29 -j DROP
-A INPUT -s 67.126.100.8/29 -j DROP
-A INPUT -s 69.95.163.0/24 -j DROP
-A INPUT -s 69.111.141.152/29 -j DROP
-A INPUT -s 69.111.141.160/29 -j DROP
-A INPUT -s 69.224.21.208/29 -j DROP
-A INPUT -s 69.224.31.88/29 -j DROP
-A INPUT -s 69.224.31.104/29 -j DROP
-A INPUT -s 69.228.70.216/29 -j DROP
-A INPUT -s 69.228.70.224/28 -j DROP
-A INPUT -s 69.228.70.248/29 -j DROP
-A INPUT -s 69.228.76.104/29 -j DROP
-A INPUT -s 69.236.33.64/29 -j DROP
-A INPUT -s 69.237.120.224/29 -j DROP
-A INPUT -s 71.130.34.224/28 -j DROP
-A INPUT -s 71.130.34.240/29 -j DROP
-A INPUT -s 71.130.103.8/29 -j DROP
-A INPUT -s 71.130.103.16/28 -j DROP
-A INPUT -s 71.130.103.32/28 -j DROP
-A INPUT -s 72.14.192.0/18 -j DROP
-A INPUT -s 72.14.224.0/21 -j DROP
-A INPUT -s 75.17.48.200/29 -j DROP
-A INPUT -s 75.23.57.184/29 -j DROP
-A INPUT -s 166.90.148.64/28 -j DROP
-A INPUT -s 206.186.136.192/26 -j DROP
-A INPUT -s 209.85.128.0/17 -j DROP
-A INPUT -s 209.245.184.136/29 -j DROP
-A INPUT -s 209.247.159.144/28 -j DROP
-A INPUT -s 209.249.73.64/29 -j DROP
-A INPUT -s 216.239.32.0/19 -j DROP
-A INPUT -s 63.176.159.0/24 -j DROP
-A INPUT -s 63.176.165.0/24 -j DROP
-A INPUT -s 63.176.171.0/24 -j DROP
-A INPUT -s 63.176.175.0/24 -j DROP
-A INPUT -s 64.160.129.200/29 -j DROP
-A INPUT -s 66.59.188.56/29 -j DROP
-A INPUT -s 66.185.128.0/24 -j DROP
-A INPUT -s 69.77.164.192/27 -j DROP
-A INPUT -s 198.69.67.0/24 -j DROP
-A INPUT -s 204.148.9.0/24 -j DROP
-A INPUT -s 204.148.8.0/24 -j DROP
-A INPUT -s 206.47.170.32/27 -j DROP
-A INPUT -s 207.25.102.0/24 -j DROP
-A INPUT -s 209.202.101.48/29 -j DROP
-A INPUT -s 64.12.51.132/32 -j DROP
-A INPUT -s 205.188.157.232/32 -j DROP
-A INPUT -s 149.174.54.153/32 -j DROP
-A INPUT -s 64.236.1.107/32 -j DROP
-A INPUT -s 64.12.115.2/32 -j DROP
-A INPUT -s 216.92.131.0/24 -j DROP
-A INPUT -s 216.92.61.0/24 -j DROP
-A INPUT -s 216.185.111.0/24 -j DROP
-A INPUT -s 70.84.160.0/24 -j DROP
-A INPUT -s 69.56.222.0/24 -j DROP
-A INPUT -s 66.93.203.0/24 -j DROP
-A INPUT -s 192.33.14.0/24 -j DROP
-A INPUT -s 192.5.6.0/24 -j DROP
-A INPUT -s 192.26.92.0/24 -j DROP
-A INPUT -s 192.31.80.0/24 -j DROP
-A INPUT -s 192.35.51.0/24 -j DROP
-A INPUT -s 192.42.93.0/24 -j DROP
-A INPUT -s 192.41.162.0/24 -j DROP
-A INPUT -s 213.186.112.0/24 -j DROP
-A INPUT -s 213.186.114.0/24 -j DROP
-A INPUT -s 63.64.112.0/24 -j DROP
-A INPUT -s 63.194.155.0/24 -j DROP
-A INPUT -s 64.4.8.0/24 -j DROP
-A INPUT -s 64.4.59.0/24 -j DROP
-A INPUT -s 65.54.164.0/24 -j DROP
-A INPUT -s 65.54.165.0/24 -j DROP
-A INPUT -s 65.54.188.0/24 -j DROP
-A INPUT -s 65.54.189.0/24 -j DROP
-A INPUT -s 65.55.81.0/24 -j DROP
-A INPUT -s 65.55.104.0/24 -j DROP
-A INPUT -s 65.55.208.0/24 -j DROP
-A INPUT -s 65.55.209.0/24 -j DROP
-A INPUT -s 65.55.210.0/24 -j DROP
-A INPUT -s 65.55.212.0/24 -j DROP
-A INPUT -s 65.55.213.0/24 -j DROP
-A INPUT -s 65.55.214.0/24 -j DROP
-A INPUT -s 65.55.215.0/24 -j DROP
-A INPUT -s 65.55.216.0/24 -j DROP
-A INPUT -s 65.55.233.0/24 -j DROP
-A INPUT -s 65.55.235.0/24 -j DROP
-A INPUT -s 65.55.241.0/24 -j DROP
-A INPUT -s 65.55.246.0/24 -j DROP
-A INPUT -s 65.55.252.0/24 -j DROP
-A INPUT -s 68.55.252.0/24 -j DROP
-A INPUT -s 65.220.72.0/24 -j DROP
-A INPUT -s 65.215.1.0/24 -j DROP
-A INPUT -s 192.52.151.0/24 -j DROP
-A INPUT -s 207.46.98.0/24 -j DROP
-A INPUT -s 207.68.146.0/24 -j DROP
-A INPUT -s 207.68.154.0/24 -j DROP
-A INPUT -s 207.68.157.0/24 -j DROP
-A INPUT -s 207.68.188.0/24 -j DROP
-A INPUT -s 213.199.128.0/24 -j DROP
-A INPUT -s 219.142.53.0/24 -j DROP
-A INPUT -s 8.12.144.0/24 -j DROP
-A INPUT -s 64.41.224.0/24 -j DROP
-A INPUT -s 64.58.76.0/24 -j DROP
-A INPUT -s 64.156.215.0/24 -j DROP
-A INPUT -s 64.157.4.0/24 -j DROP
-A INPUT -s 64.209.232.0/24 -j DROP
-A INPUT -s 66.163.160.0/24 -j DROP
-A INPUT -s 62.172.199.0/24 -j DROP
-A INPUT -s 81.23.230.0/24 -j DROP
-A INPUT -s 192.115.106.0/24 -j DROP
-A INPUT -s 193.88.44.0/24 -j DROP
-A INPUT -s 202.43.223.0/24 -j DROP
-A INPUT -s 202.85.139.0/24 -j DROP
-A INPUT -s 202.165.104.0/24 -j DROP
-A INPUT -s 213.51.146.0/24 -j DROP
-A INPUT -s 213.216.143.0/24 -j DROP
-A INPUT -s 216.32.237.0/24 -j DROP
-A INPUT -s 216.239.193.0/24 -j DROP
-A INPUT -s 66.196.64.0/18 -j DROP
COMMIT
# Completed on Wed Feb 24 09:52:12 2010

zekkerj · 24 de Fevereiro de 2010, 12:02

CitarNão sei se tem a ver, mas a linha que coloquei em azul é referente a faixa de ip do google no momento em que pingo do meu pc. O resultado do meu ping traz o ip 74.125.47.103 por exemplo, sei que ele está sempre alterando, mas no momento é este que está mostrando, e aparentemente o firwall está dando um drop deste range de ip.

Tem tudo a ver.

Quem está criando essas regras? Você está bloqueando várias faixas, qual o motivo disso???

3lson · 24 de Fevereiro de 2010, 12:17

Nao sei se tem algo a ver, mas fuçando no webmin notei esta mensagem e resolvi clicar no botao para converter as regras em um arquivo salvo. Foi aberta uma tela de configuracoes e lá eu tinha a opcao de fazer o roteamento e outras coisas, nao sei o que fiz mas depois disso ele colocou algumas regras nesse arquivo iptables.up.rules e o google voltou a funcionar na hora.

Webmin detectou 2 regras Iptables Firewall atualmente em uso, no qual não estão gravadas no arquivo /etc/iptables.up.rules. Estas regras estão provavelmente configuradas de um script, no qual o módulo não sabe como ler ou editar.

Se você quiser usar este módulo para gerenciar seu Iptables Firewall, clique neste botão abaixo para converter as regras existentes para um arquivo salvo, e então desative seu script firewall.

####

Ainda estou fazendo alguns testes aqui, parece que encontrei uma irregularidade na linha que faz o redirecionamento para o squid:
## direciona requisicoes vindas pela porta 80 para o proxy squid:
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

Nao sei porque está aí mas tirei, reiniciei o servidor e vou ver no que dá.

Valeu.

zekkerj · 24 de Fevereiro de 2010, 12:22

Citar-p tcp -m tcp

"-m tcp" indica o carregamento do módulo "tcp".

"-p tcp" indica que a regra deve agir quando o pacote é do tipo TCP. Implica automaticamente o módulo "tcp", tornando a opção "-m tcp" desnecessária --- mas não inválida.

Vc sabe quem, ou qual programa, criou essas regras de firewall?

3lson · 24 de Fevereiro de 2010, 12:37

Como falei no inicio, eu comecei a pouco com linux e fui pesquisando em foruns e tutoriais na net até chegar a estas regras que satisfazessem as necessidades aqui da empresa.

Bom eu ia escrever que tudo estava funcionando beleza até o exato momento, mas resolvi dar uma verificada e notei que continua o problema.
Logo nao é este o problema.

Lembro que vc mensionou que estas regras nao deveriam estar no rc.local, vc nao teria por acaso um link de onde encontro uma solucao para meu firewall, como escrevê-lo de forma coreta?

Outra coisa, vc está dando a maior força, mas nao sei como me reportar a vc, pode ser zekkerj mesmo?

zekkerj · 24 de Fevereiro de 2010, 17:03

Zekke tá bom

Dependendo do dia, até "psiu" eu respondo.

O que está me intrigando são essas regras de bloqueio nas faixas de endereço; veja que elas estão sendo inseridas, e de vez em quando aparecem faixas novas bloqueadas, tanto que nas duas vezes que você as postou, o webmin reclamou que havia regras no Iptables que não estavam gravadas no arquivo de controle --- ou seja, foram inseridas após o último salvamento.

Então alguém ou algum programa as está inserindo; é isso que a gente tem que descobrir.

Você algum programa de controle de firewall, como o shorewall, o firestarter, etc? Ou algum IDS? (se não sabe o que é um IDS, provavelmente vc não o usa)

3lson · 24 de Fevereiro de 2010, 17:44

Até o firestarter eu instalei, mas isso depois de postar estes erros pra ti. Instalei para fazer um teste mas achei muito brega e logo desinstalei.
Esse tal de ids realmente eu nao sei do que se trata, mas assim que possível pesquiso no google pra me informar a respeito.

Quero tirar as regras do iptables do rc.local e colocar em algum script para ver no que dá.
Estou tambme com a suspeita de que pode ser no squid, pois quando ativei o firewall do webim, foi como se ele zerasse as regras do firewall e lá eu só encontrei uma opcao de fazer nat indicando minha ethx, entao reiniciei o firewall por ele e o google funcionou, mas tenho certeza que ele estava funcionando sem o squid. Até pensei em mandar um print da tela do webmim mas nao achei a forma de colocar imagem aqui no forum.

zekkerj · 24 de Fevereiro de 2010, 23:34

Pra postar uma imagem, vc primeiro tem que hospedá-la num site como o ImageShack.

3lson · 25 de Fevereiro de 2010, 09:14

Caro Zekke, hoje cedo tentei o seguinte:
deixei meu firewall apenas fazendo o nat sem bloquear nenhuma porta e apenas direcionando para o squid. Quando levantei o servidor funcionou tudo beleza, como sempre e depois de alguns minutos o google parou novamente. Fui ao console e removi a regra que redireciona para o squid e o google voltou a funcionar. Ainda acho que o problema pode estar no squid e nao no firewall.

Deixei o rc.local desta forma:

#! /bin/sh -e
# rc.local

# Bloqueia o acesso Ã web a partir de um determinado IP
#iptables -A FORWARD -p tcp -s 192.168.0.77 -j REJECT

# Compartilha a conexÃ£o
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#direciona requisicoes vindas pela porta 80 para o proxy squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#libera acesso outlook
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

exit 0

Lembrando que a unica alteração que fiz para que o google voltasse a funcionar foi tirar o redirecionamento para o squid, ou seja, estou apenas fazendo o nat.

Meu squid.conf

http_port 3128 transparent
visible_hostname Ubuntu

dns_nameservers 200.204.0.10 #dns da sua operadora

cache_mem 256 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log

acl sistema url_regex -i www.terra.com.br
no_cache deny sistema

#http://189.126.116.172/dflcorp

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 280 443 488 8081 3389 1433 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Regra para bloquear acesso a determinados ip's
acl acessototal src "/etc/squid/acessototal"
acl nomesproibidos url_regex -i "/etc/squid/nomesproibidos"
acl nomesliberados url_regex -i "/etc/squid/nomesliberados"
acl bloqueio_orkut url_regex -i "/etc/squid/bloqueio_orkut"
acl restritos src "/etc/squid/restritos"
acl pode_orkut src "/etc/squid/pode_orkut"
acl bloqueados src "/etc/squid/bloqueados"

acl fim_expediente time 09:00-18:20

http_access allow acessototal
http_access deny bloqueados
http_access allow nomesliberados
http_access deny nomesproibidos
http_access deny bloqueio_orkut !pode_orkut fim_expediente
http_access allow restritos

acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all