Problema Outlook + bind/squid/iptables [RESOLVIDO]

1. Problema Outlook + bind/squid/iptables [RESOLVIDO]

zegon
(usa Fedora)

Enviado em 28/03/2013 - 13:58h

Boa tarde galera do VOL,
Sou iniciante no site e em linux também, e estou enfrentando um problema. Vou tentar explicar:
Tenho um servidor Fedora 17, com Samba, squid, bind configurados. Todas maquinas da rede acessam a internet normalmente. Ontem precisei reiniciar o servidor porque um serviço do banco de dados daqui da empresa deu problema, e precisei reiniciar. Bem, depois disso, todas maquinas da rede que utilizavam Microsoft Outlook, pararam de receber e mails; Já refiz o bind, ja testei sem o squid, reiniciei o servidor e nada. As maquinas não puxam os emails. O serviço de email é do locaweb (¬¬"). Meu iptables esta desligado, já rodei os comandos para liberar as Chains ,mas nada... nada funciona. Gostaria que se alguém pudesse me ajudar. Pelo menos uma luz, ler alguma coisa, sei la, como disse sou iniciante.

segue a configuração de todos serviços (nao reparem a bagunça... sabe como é lammer rsrs..sempre deixa sujeira por onde passa...)

-----squid

# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
access_log /var/log/squid/access.log squid
cache_store_log none
cache_mem 128 MB

#maximum_object_size_in_memory 128 KB
#maximum_object_size 1024 MB
#minimum_object_size 0 KB
#cache_swap_low 55
#cache_swap_high 70

#acl localhost src 127.0.0.1/32
acl our_networks src 192.168.0.0/24 # RFC1918 possible internal network
acl acesso_total src "/etc/squid/acesso_total.txt"
acl liberado url_regex -i "/etc/squid/liberado.txt"

#acl SSL_ports port 22 443
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 22 # ssh
acl Safe_ports port 25 #teste
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # email_Dap
acl Safe_ports port 587 # email_Dap
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 9002 # bradesco
acl Safe_ports port 4600
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow acesso_total
http_access allow liberado
http_access deny our_networks
http_access allow localhost manager
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

error_directory /usr/share/squid/errors/pt-br
http_reply_access allow all
icp_access allow all

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

------agora o bind (named.conf)

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
#listen-on port 53 { 127.0.0.1; 192.168.0.3; };
#listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";

listen-on { 127.0.0.1; 192.168.0.3/24; };
allow-query { 127.0.0.1; 192.168.0.0/24; };
allow-transfer { 127.0.0.1; 192.168.0.0/24; };
recursion yes;
allow-recursion { 127.0.0.1; 192.168.0.0/24; };

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

zone "dapdiag.com.br" {
type master;
file "dapdiag.com.br.zone";
allow-transfer { 192.168.0.3; };
};

zone "0.168.192.in-addr.arpa" {
type master;
file "dapdiag.com.br.rev";
allow-transfer { 192.168.0.3; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

----------zone / reverse

;
; Zone file for dominio.com.br
;
$TTL 86400
@ IN SOA ns1.dapdiag.com.br. hostmaster.dapdiag.com.br. (
2012010100 ; serial
7200 ; refresh
1800 ; retry
1209600 ; expire
300 ) ; minimum

NS ns1
; MX 5 mail
MX 5 dapdiag.com.br.
TXT "v=spf1 mx -all"
A 192.168.0.3

ns1 A 192.168.0.3
mail A 192.168.0.3
www CNAME @
ftp CNAME www
pop3 CNAME mail
smtp CNAME mail
~

-------reverse

; Reverse zone file for dominio.com.br
;
$TTL 86400
@ IN SOA ns1.dapdiag.com.br. hostmaster.dapdiag.com.br. (
2012010100 ; serial
7200 ; refresh
1800 ; retry
1209600 ; expire
300 ) ; minimum

NS ns1.dapdiag.com.br.

3 PTR dapdiag.com.br.
3 PTR ns1.dapdiag.com.br.
3 PTR mail.dapdiag.com.br.

--------------------------------

ah, tenho instalado nele o clamav tbm, nao sei se tem algum problema, já desinstalei tbm e testei e nada.

ah e outra coisa, tem outro servidor na rede tbm, com a "mesma" configuração copiei os conf e só alterei o necessario, lá funciona beleza, neste aqui nao vai. Há 2 dias atrás estava normal tbm.

mesmo que nas estações eu coloque outro dns (externo) nao funciona, o outlook apresenta o seguinte erro:

A tarefa 'email@terra.com.br - Recebendo' relatou um erro (0x800408FC) : 'O nome de servidor fornecido não foi encontrado na rede (talvez ele esteja temporariamente desativado). Verifique se você está online e se o nome do servidor está correto.'

Bem, ficaria grato se alguém pudesse me ajudar, já estou quase louco com isso, Obrigado.

0 0

Quote

2. Re: Problema Outlook + bind/squid/iptables [RESOLVIDO]

saitam
(usa Slackware)

Enviado em 28/03/2013 - 14:16h

zegon escreveu:

Boa tarde galera do VOL,
Sou iniciante no site e em linux também, e estou enfrentando um problema. Vou tentar explicar:
Tenho um servidor Fedora 17, com Samba, squid, bind configurados. Todas maquinas da rede acessam a internet normalmente. Ontem precisei reiniciar o servidor porque um serviço do banco de dados daqui da empresa deu problema, e precisei reiniciar. Bem, depois disso, todas maquinas da rede que utilizavam Microsoft Outlook, pararam de receber e mails; Já refiz o bind, ja testei sem o squid, reiniciei o servidor e nada. As maquinas não puxam os emails. O serviço de email é do locaweb (¬¬"). Meu iptables esta desligado, já rodei os comandos para liberar as Chains ,mas nada... nada funciona. Gostaria que se alguém pudesse me ajudar. Pelo menos uma luz, ler alguma coisa, sei la, como disse sou iniciante.

segue a configuração de todos serviços (nao reparem a bagunça... sabe como é lammer rsrs..sempre deixa sujeira por onde passa...)

-----squid

# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
access_log /var/log/squid/access.log squid
cache_store_log none
cache_mem 128 MB

#maximum_object_size_in_memory 128 KB
#maximum_object_size 1024 MB
#minimum_object_size 0 KB
#cache_swap_low 55
#cache_swap_high 70

#acl localhost src 127.0.0.1/32
acl our_networks src 192.168.0.0/24 # RFC1918 possible internal network
acl acesso_total src "/etc/squid/acesso_total.txt"
acl liberado url_regex -i "/etc/squid/liberado.txt"

#acl SSL_ports port 22 443
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 22 # ssh
acl Safe_ports port 25 #teste
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # email_Dap
acl Safe_ports port 587 # email_Dap
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 9002 # bradesco
acl Safe_ports port 4600
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow acesso_total
http_access allow liberado
http_access deny our_networks
http_access allow localhost manager
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

error_directory /usr/share/squid/errors/pt-br
http_reply_access allow all
icp_access allow all

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

------agora o bind (named.conf)

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
#listen-on port 53 { 127.0.0.1; 192.168.0.3; };
#listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";

listen-on { 127.0.0.1; 192.168.0.3/24; };
allow-query { 127.0.0.1; 192.168.0.0/24; };
allow-transfer { 127.0.0.1; 192.168.0.0/24; };
recursion yes;
allow-recursion { 127.0.0.1; 192.168.0.0/24; };

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

zone "dapdiag.com.br" {
type master;
file "dapdiag.com.br.zone";
allow-transfer { 192.168.0.3; };
};

zone "0.168.192.in-addr.arpa" {
type master;
file "dapdiag.com.br.rev";
allow-transfer { 192.168.0.3; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

----------zone / reverse

;
; Zone file for dominio.com.br
;
$TTL 86400
@ IN SOA ns1.dapdiag.com.br. hostmaster.dapdiag.com.br. (
2012010100 ; serial
7200 ; refresh
1800 ; retry
1209600 ; expire
300 ) ; minimum

NS ns1
; MX 5 mail
MX 5 dapdiag.com.br.
TXT "v=spf1 mx -all"
A 192.168.0.3

ns1 A 192.168.0.3
mail A 192.168.0.3
www CNAME @
ftp CNAME www
pop3 CNAME mail
smtp CNAME mail
~

-------reverse

; Reverse zone file for dominio.com.br
;
$TTL 86400
@ IN SOA ns1.dapdiag.com.br. hostmaster.dapdiag.com.br. (
2012010100 ; serial
7200 ; refresh
1800 ; retry
1209600 ; expire
300 ) ; minimum

NS ns1.dapdiag.com.br.

3 PTR dapdiag.com.br.
3 PTR ns1.dapdiag.com.br.
3 PTR mail.dapdiag.com.br.

--------------------------------

Bem, ficaria grato se alguém pudesse me ajudar, já estou quase louco com isso, Obrigado.

Esse servidor também atua como gateway ?

Se for não é recomendado usar samba+squid+bind+fw no gw.

0 0

Quote

3. Re: Problema Outlook + bind/squid/iptables [RESOLVIDO]

zegon
(usa Fedora)

Enviado em 28/03/2013 - 14:17h

sim é gw, mas nao uso fw nele, é tudo desligado, só usa o Squid, samba e Bind

Obs: aqui é um laboratorio, nao é muito grande o volume de dados, temos em torno de 30 maquinas, apenas umas 7 usa email

0 0

Quote

4. Re: Problema Outlook + bind/squid/iptables [RESOLVIDO]

zegon
(usa Fedora)

Enviado em 28/03/2013 - 15:19h

é.. pelo visto sabadao é eu e Deus aqui refazendo o server...

0 0

Quote

5. Re: Problema Outlook + bind/squid/iptables [RESOLVIDO]

zegon
(usa Fedora)

Enviado em 28/03/2013 - 20:25h

Bem, depois de muito stress consegui resolver. Era a coisa mais besta do mundo.
mesmo reiniciando o server, o comando de compartilhamento de internet bugou.Nao sei como. Rodei o comando, voltou ao normal. Muito estranho pq estava funcioando a internet, apenas o outlook nao.
Bem o comando é este:
echo 1 > /proc/sys/net/ipv4/ip_forward

Obrigado ao (saitam) pela atenção e aos que ignoraram o post.
Sucesso à todos.

0 0

Quote