Nao Inicia servicos (resolvido)

joaotime · 20 de Dezembro de 2011, 15:51

Ola Pessoa estou com um erro estranho no linux esta tudo funcionando ate eu dar um reboot ai para ate de pingar na a rede externa ...
ai dou um reboot na mao ele volta a funcionar alguem ja passou por isto
tenho um firewall na rede
que esta em anexo

#!/bin/sh

#Declaração de variaveis
PATH=/sbin:/bin:/usr/sbin:/usr/bin
IPTABLES="/sbin/iptables"

PROGRAMA="/usr/local/bin/firewall"

PORTSLIB="/etc/configuracao/portlib"
PORTSBLO="/etc/configuracao/portblo"

#Interfaces de Rede
LAN=eth1
WAN=eth0
REDE="192.168.0.0/24"

# Os diversos módulos do iptables são chamdos através do modprobe
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK

case "$1" in
start)

$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -X

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

# ativar o redirecionamento no arquivo ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward

#habilitando o fluxo interno entre os processos
$IPTABLES -I INPUT -i lo -j ACCEPT
$IPTABLES -I OUTPUT -o lo -j ACCEPT

#liberar as portas principais do servidor
for i in `cat $PORTSLIB`; do
$IPTABLES -A INPUT -p tcp --dport $i -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport $i -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT
done

#Estabeliza coneção
$IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -I INPUT -m state --state RELATED -j ACCEPT
$IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT
$IPTABLES -I INPUT -p icmp -j ACCEPT

#Bloqueio ping da morte
#echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#$IPTABLES -N PING-MORTE
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE
#$IPTABLES -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN
#$IPTABLES -A PING-MORTE -j DROP

#bloquear ataque do tipo SYN-FLOOD
#echo "0" > /proc/sys/net/ipv4/tcp_syncookies
#$IPTABLES -N syn-flood
#$IPTABLES -A INPUT -i $WAN -p tcp --syn -j syn-flood
#$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
#$IPTABLES -A syn-flood -j DROP

#Bloqueio de ataque ssh de força bruta
$IPTABLES -N SSH-BRUT-FORCE
$IPTABLES -A INPUT -i $WAN -p tcp --dport 22 -j SSH-BRUT-FORCE
$IPTABLES -A SSH-BRUT-FORCE -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A SSH-BRUT-FORCE -j DROP

#Bloqueio de portas
for i in `cat $PORTSBLO`; do
$IPTABLES -A INPUT -p tcp -i $WAN --dport $i -j DROP
$IPTABLES -A INPUT -p udp -i $WAN --dport $i -j DROP
$IPTABLES -A FORWARD -p tcp --dport $i -j DROP
done

#bloqueio Anti-Spoofings
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $WAN -j DROP
$IPTABLES -A INPUT -s 127.0.0.0/8 -i $WAN -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $WAN -j DROP
$IPTABLES -A INPUT -s 192.168.1.0/16 -i $WAN -j DROP

#Bloqueio de scanners ocultos (Shealt Scan)
#$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK, FIN, -m limit --limit 1/s -j ACCEPT

#Libera POP3, SMTP, IMAP E FREEPOP
###############################################
#echo "Liberando POP3, SMTP, IMAP E FREEPOPs."
#echo "Liberando POP3, SMTP, IMAP E FREEPOPs." >> $LOGFILE
#$IPTABLES -t filter -A INPUT -i $WAN -p tcp -m multiport --dports 110,143,25,2000 -j ACCEPT
#$IPTABLES -t filter -A OUTPUT -p tcp -m multiport --dports 110,143,25,2000 -j ACCEPT

#Regra de teste para liberar msn
###############################################
#echo "Liberar msn 2011"
#$IPTABLES -I FORWARD -p tcp -s 192.168.0.3 --dport 1863 -j ACCEPT

#$IPTABLESs -t nat -A PREROUTING -d 200.200.200.200/32 -p tcp --dport 1433 -j DNAT --to 192.168.0.1:1433

#proxy transparente
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

# Liberando MSN
#$IPTABLES -A FORWARD -s 192.168.0.3 -p tcp --dport 1863 -j ACCEPT
#$IPATBLES -A FORWARD -s 192.168.0.3 -d loginnet.passport.com -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.3 -d 64.4.13.0/24 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.3 -d login.live.com -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.3 -d login.passport.com -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.3 -d gateway.messenger.hotmail.com -j ACCEPT

# ativar o mascaramento
$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE

echo "FIREWALL ATIVADO - SISTEMA PREPARADO"
;;

stop)
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -Z

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

echo "FIREWALL DESCARREGADO - SISTEMA LIBERADO"
;;

restart)
$PROGRAMA stop
$PROGRAMA start
;;
*)
echo "\033[01;31mATENÇÃO";tput sgr0
echo "Você não colocou nenhum argumento ou algum conhecido, então Por Padrão será dado em 5 segundos um restart no firewall automatico"
sleep 5
$PROGRAMA restart
exit 1
esac
exit 0

Obrigado
Joao

zekkerj · 21 de Dezembro de 2011, 09:02

Vc mistura "iptables -I" com "iptables -A"... é praticamente impossível prever o que seu firewall faz. No script vc deve usar apenas "iptables -A", pras regras ficarem na mesma ordem em que aparecem.

Mas... se o problema acontece ao reiniciar a máquina, é improvável que seja algo dentro do firewall.
O que vc chama de "reboot na mão"??

joaotime · 21 de Dezembro de 2011, 10:47

vamos la como eu peguei este firewall na net vc teria algum firewall de exemplo para eu ver

quando digo na nao estou atraves do putty quando renicio por ele o sistema para de pingar o ip exeterno
isto vem acontecendo de fez em quando nao sei por onde comecar?
hora vai hora nao
tem um modo de eu saber qual servico nao esta funcionando?

zekkerj · 21 de Dezembro de 2011, 11:09

joao, de que adianta vc pegar um firewall qualquer "na net", se vc não entende o que ele está fazendo?

Pra descobrir o motivo de qualquer coisa em sua máquina não estar funcionando, o primeiro lugar a consultar são os arquivos de log: /var/log/syslog, /var/log/messages, e o comando dmesg.

joaotime · 21 de Dezembro de 2011, 11:20

este log /var/log/messages nao tem o que pode ser
ate intendeu estou intendo o que faz vc tem algum tutorial para me passar ?

vou olhar os logs de erros e ver o que acho

joaotime · 21 de Dezembro de 2011, 11:27

em um pouco do log
Dec 21 11:26:04 srvlinux dhcpd: Dynamic and static leases present for 192.168.0.5.
Dec 21 11:26:04 srvlinux dhcpd: Remove host declaration srvdados or remove 192.168.0.5
Dec 21 11:26:04 srvlinux dhcpd: from the dynamic address pool for 192.168.0.0/24
Dec 21 11:26:04 srvlinux dhcpd: DHCPREQUEST for 192.168.0.5 from 00:22:b0:61:5e:3a via eth1
Dec 21 11:26:04 srvlinux dhcpd: DHCPACK on 192.168.0.5 to 00:22:b0:61:5e:3a via eth1
Dec 21 11:26:09 srvlinux dhcpd: uid lease 192.168.0.159 for client 00:a1:b0:69:5f:d3 is duplicate on 192.168.0.0/24
Dec 21 11:26:09 srvlinux dhcpd: DHCPREQUEST for 192.168.0.204 from 00:a1:b0:69:5f:d3 via eth1
Dec 21 11:26:09 srvlinux dhcpd: DHCPACK on 192.168.0.204 to 00:a1:b0:69:5f:d3 via eth1
Dec 21 11:26:13 srvlinux dhcpd: DHCPREQUEST for 192.168.0.165 from 00:c0:9f:d0:d1:af (Hostname Unsuitable for Printing) via eth1
Dec 21 11:26:13 srvlinux dhcpd: DHCPACK on 192.168.0.165 to 00:c0:9f:d0:d1:af (Hostname Unsuitable for Printing) via eth1
Dec 21 11:26:32 srvlinux dhcpd: uid lease 192.168.0.153 for client e0:cb:4e:ce:fe:6c is duplicate on 192.168.0.0/24
Dec 21 11:26:32 srvlinux dhcpd: DHCPREQUEST for 192.168.0.218 from e0:cb:4e:ce:fe:6c via eth1
Dec 21 11:26:32 srvlinux dhcpd: DHCPACK on 192.168.0.218 to e0:cb:4e:ce:fe:6c via eth1
Dec 21 11:26:37 srvlinux dhcpd: Dynamic and static leases present for 192.168.0.4.
Dec 21 11:26:37 srvlinux dhcpd: Remove host declaration srcamera or remove 192.168.0.4
Dec 21 11:26:37 srvlinux dhcpd: from the dynamic address pool for 192.168.0.0/24
Dec 21 11:26:37 srvlinux dhcpd: DHCPREQUEST for 192.168.0.4 from 00:22:15:ca:85:44 via eth1
Dec 21 11:26:37 srvlinux dhcpd: DHCPACK on 192.168.0.4 to 00:22:15:ca:85:44 via eth1
Dec 21 11:26:38 srvlinux dhcpd: uid lease 192.168.0.142 for client 00:22:b0:61:5a:86 is duplicate on 192.168.0.0/24
Dec 21 11:26:38 srvlinux dhcpd: DHCPREQUEST for 192.168.0.207 from 00:22:b0:61:5a:86 via eth1
Dec 21 11:26:38 srvlinux dhcpd: DHCPACK on 192.168.0.207 to 00:22:b0:61:5a:86 via eth1
Dec 21 11:27:04 srvlinux dhcpd: uid lease 192.168.0.150 for client 00:1a:80:4a:66:13 is duplicate on 192.168.0.0/24
Dec 21 11:27:04 srvlinux dhcpd: DHCPREQUEST for 192.168.0.213 from 00:1a:80:4a:66:13 via eth1
Dec 21 11:27:04 srvlinux dhcpd: DHCPACK on 192.168.0.213 to 00:1a:80:4a:66:13 via eth1
Dec 21 11:27:14 srvlinux dhcpd: uid lease 192.168.0.148 for client 00:26:18:e9:bf:b6 is duplicate on 192.168.0.0/24
Dec 21 11:27:14 srvlinux dhcpd: DHCPREQUEST for 192.168.0.211 from 00:26:18:e9:bf:b6 via eth1
Dec 21 11:27:14 srvlinux dhcpd: DHCPACK on 192.168.0.211 to 00:26:18:e9:bf:b6 via eth1

sera que tem problemas com dhcp?

zekkerj · 21 de Dezembro de 2011, 11:45

Não, isso é o funcionamento normal do dhcp. Vc tem que filtrar essas mensagens, pra poder ver as mensagens do resto do sistema.

Lembrei de outro log que pode te ajudar: /var/log/boot.log.

joaotime · 21 de Dezembro de 2011, 11:47

vou dar uma olhada nos logs
agora sobre o firewall se tem alguma coisa que eu possa ler

joaotime · 21 de Dezembro de 2011, 13:03

olha olhei nos logs e nada que possa dar chamar a atencao
outra coisa place de rede pode acasionar o que falaei?

zekkerj · 21 de Dezembro de 2011, 13:31

Pode. Mas qq falha no boot tem que aparecer nos logs.

joaotime · 21 de Dezembro de 2011, 14:16

no boot nao tem nada ha como eu monitoriar se é a placa de rede ?

zekkerj · 21 de Dezembro de 2011, 14:37

Há... pelos logs... ficamos num círculo vicioso aqui, não?

Resta tentar entender o que acontece na hora em que a máquina dá problema. Reinicie a máquina, e se voltar a dar problema, execute os comandos abaixo nela antes de reiniciá-la de novo.

ifconfig -a

route -n

sudo iptables -L -v -n

sudo iptables -t nat -L -v -n

joaotime · 21 de Dezembro de 2011, 15:04

vou tentar
e posto o resultado

joaotime · 21 de Dezembro de 2011, 17:45

exatamento quando deu o problemas
eth0 Link encap:Ethernet Endereço de HW 00:1d:60:1c:56:18
inet end.: XXXXXXXXX Bcast:XXXXXXXXXXX Masc:255.255.255.240
endereço inet6: fe80::21d:60ff:fe1c:5618/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:1602 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:7 erros:0 descartados:0 excesso:0 portadora:1
colisões:0 txqueuelen:1000
RX bytes:119849 (119.8 KB) TX bytes:510 (510.0 B)
Memória:dffc0000-e0000000

eth1 Link encap:Ethernet Endereço de HW 00:02:2a:d1:ae:f5
inet end.: 192.168.0.1 Bcast:192.168.0.255 Masc:255.255.255.0
endereço inet6: fe80::202:2aff:fed1:aef5/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:6388 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:11735 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:1000
RX bytes:544853 (544.8 KB) TX bytes:846995 (846.9 KB)
IRQ:17 Endereço de E/S:0xcc00

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACK RUNNING MTU:16436 Métrica:1
pacotes RX:1710 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:1710 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:0
RX bytes:171210 (171.2 KB) TX bytes:171210 (171.2 KB)

joaotime · 21 de Dezembro de 2011, 17:47

187.72.97.16 0.0.0.0 255.255.255.240 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 eth1
0.0.0.0 187.72.97.30 0.0.0.0 UG 100 0 0 eth0

pkts bytes target prot opt in out source destination
730 72254 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED
674 55451 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
2 144 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
88 4392 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1434
0 0 SSH-BRUT-FORCE tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 DROP all -- eth0 * 10.0.0.0/8 0.0.0.0/0
0 0 DROP all -- eth0 * 127.0.0.0/8 0.0.0.0/0
0 0 DROP all -- eth0 * 172.16.0.0/12 0.0.0.0/0
0 0 DROP all -- eth0 * 192.168.0.0/16 0.0.0.0/0

Chain FORWARD (policy ACCEPT 1811 packets, 118K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
90 4368 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1434

Chain OUTPUT (policy ACCEPT 2822 packets, 246K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0
612 64717 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:1863
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:21
63 10779 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443
402 94539 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:5900
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:8080
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:1433
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:1434

Chain SSH-BRUT-FORCE (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 4
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

0 0 DNAT tcp -- * * 0.0.0.0/0 187.72.97.29 tcp dpt:1433 to:192.168.0.5:1433
44 2148 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain INPUT (policy ACCEPT 290 packets, 27158 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 631 packets, 52301 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 1366 packets, 98139 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0