Problemas de conexão [RESOLVIDO]

1. Problemas de conexão [RESOLVIDO]

Eduardo
vchacal

(usa Debian)

Enviado em 03/12/2014 - 15:30h

Olá pessoal,

Estou com sérios problemas na conexão de internet com o meu servidor. Pois a conexão fica caindo o tempo todo ...
Aqui tudo depende da conexão, sistema ERP (pois o datacenter é fora), pagamentos e etc ... então já viram né rsrs.

O servidor é um Debian 7 64x
Possui iptables + Squid e OpenVPN.

Obs.:
- Não vi nada nos logs do kernel, dmesg e etc ...
- Desativei o squid para testes.
- Mudei a placa para full duplex.
- Já verifiquei com a operadora o link e modem, está normal.
- Já troquei cabo de rede e placas de rede.

Quando começa a cair a conexão, já inseri o link em um notebook com windows ... e no windows não cai nenhuma vez.

Acredito que seja alguma configuração, pois começou o incidente com um CentOS, depois inseri o Debian 7 ... demorou alguns dias para ocorrer este problema ... mais depois tmb foi tenso, fiquei quase o dia todo sem conexão.

Alguém já teve este problema ou tem alguma dica que eu posso analisar??? Se ajudar eu posto o meu firewall aqui ...

Desde já agradeço.
Abraços.


  


2. MELHOR RESPOSTA

Buckminster
buckminster

(usa Debian)

Enviado em 17/12/2014 - 09:13h

#!/bin/sh
# Copyright (C) 2011

# RESETANDO E APLICANDO POLITICAS PADRAO

iptables -P INPUT DROP
iptables -P OUTPUT DROP <<< aqui coloque ACCEPT
iptables -P FORWARD DROP
iptables -F
iptables -F -t mangle
iptables -Z
iptables -X
iptables -F -t nat

modprobe ip_conntrack
modprobe ip_conntrack_ftp

# Setando roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward

# Compartilhamento de internet
iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE <<< aqui a interface é eno1?

# Direcionamento da porta 80 para a parta do squid 3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Libera porta internet
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

Faça a alteração, reinicie o Iptables e teste.

3. Re: Problemas de conexão [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 03/12/2014 - 16:02h

Isso tá me cheirando a MAC duplicado na rede. Vc já tentou trocar a placa de rede ou modificar o MAC da placa antes d ela subir? Faça o teste, inserindo esta linha no seu /etc/network/interfaces:


# The primary network interface
auto eth0
iface eth0 inet static
pre-up ifconfig eth0 hw ether 00:11:22:33:44:55
address 192.168.0.2
gateway 192.168.0.1
netmask 255.255.255.0


O código acima é só um exemplo onde vc pode colocar o pre-up, ok?


4. Re: Problemas de conexão [RESOLVIDO]

Eduardo
vchacal

(usa Debian)

Enviado em 03/12/2014 - 23:23h

renato_pacheco escreveu:

Isso tá me cheirando a MAC duplicado na rede. Vc já tentou trocar a placa de rede ou modificar o MAC da placa antes d ela subir? Faça o teste, inserindo esta linha no seu /etc/network/interfaces:


# The primary network interface
auto eth0
iface eth0 inet static
pre-up ifconfig eth0 hw ether 00:11:22:33:44:55
address 192.168.0.2
gateway 192.168.0.1
netmask 255.255.255.0


O código acima é só um exemplo onde vc pode colocar o pre-up, ok?


E aew renato_pacheco,
Vlw pelo retorno.

Depois do seu comentário analisei o DHCP da rede e o MAC da eth0 do servidor estava para o IP 192.168.1.4, porem esqueci de remover do DHCP. Mais eu deixei estático outro IP nesta eth0. Não sei se isso pode causar algum problema, devido a ele ser estático e usar IP externo ... mais já é algo pra corrigir e organizar né.

Quanto a troca das placas, troquei até o servidor ... de CentOS para Debian ... usando maquinas diferentes. Porem o mesmo problema ocorreu nos dois.

Obs: Não houve problema de imediato, ficou uns dois dias funcionando ... depois que ocorreu estas lentidões, percas de pacotes e perca da internet.

Hoje, com ajuda de um amigo esta funcionando uma maquina apenas com firewall simples e tudo liberado.

Mais eu queria saber se é algo que estou fazendo errado, alguma configuração do firewall, squid ou vpn.

Grato.


5. Re: Problemas de conexão [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/12/2014 - 01:11h

Cara, pode ser muita coisa, mas a q eu estou suspeitando é o squid. Se o disco encher por causa dos logs, por exemplo, a máquina pode deixar d responder. Se eu fosse vc, deixaria o squid rolando e analisaria o desempenho dele na rede. Sendo má configuração, vc posta o squid.conf q a gente v a melhor opção.


6. Re: Problemas de conexão [RESOLVIDO]

Eduardo
vchacal

(usa Debian)

Enviado em 04/12/2014 - 09:50h

renato_pacheco escreveu:

Cara, pode ser muita coisa, mas a q eu estou suspeitando é o squid. Se o disco encher por causa dos logs, por exemplo, a máquina pode deixar d responder. Se eu fosse vc, deixaria o squid rolando e analisaria o desempenho dele na rede. Sendo má configuração, vc posta o squid.conf q a gente v a melhor opção.


Então colega, também suspeitei disso de prima ... mais em dois dias os logs não encheriam tanto. Verifiquei com o comando df -h e não deu nem 2% de uso. Também comentei no firewall a linha que faz o redirecionamento para a porta do squid. E mesmo assim ... o problema persistiu, acredito que não seja o squid, porem não tenho certeza.

Estou com o pé atras achando que é firewall e ou vpn.


7. Re: Problemas de conexão [RESOLVIDO]

Buckminster
buckminster

(usa Debian)

Enviado em 04/12/2014 - 10:00h

"Depois do seu comentário analisei o DHCP da rede e o MAC da eth0 do servidor estava para o IP 192.168.1.4, porem esqueci de remover do DHCP. Mais eu deixei estático outro IP nesta eth0. Não sei se isso pode causar algum problema, devido a ele ser estático e usar IP externo ... mais já é algo pra corrigir e organizar né."

Não entendi essa parte aí em cima, explica melhor.

Tu tens mais de um DHCP na rede?





8. Re: Problemas de conexão [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/12/2014 - 10:19h

Sobre o espaço em disco, eu só dei um exemplo. Má configuração do squid tb pode ocasionar o problema. Tanto é q vc não tá usando o squid e tá funcionando normalmente, ou estou errado?


9. Re: Problemas de conexão [RESOLVIDO]

Eduardo
vchacal

(usa Debian)

Enviado em 04/12/2014 - 11:44h

buckminster escreveu:

"Depois do seu comentário analisei o DHCP da rede e o MAC da eth0 do servidor estava para o IP 192.168.1.4, porem esqueci de remover do DHCP. Mais eu deixei estático outro IP nesta eth0. Não sei se isso pode causar algum problema, devido a ele ser estático e usar IP externo ... mais já é algo pra corrigir e organizar né."

Não entendi essa parte aí em cima, explica melhor.

Tu tens mais de um DHCP na rede?




E aew buckminster,

Opa, vamos lah ...

Eu tinha uma maquina com CentOS sendo o servidor de internet com IP fixo 189.111.72.34 na eth0.
Este servidor começou apresentar estes problemas de lentidão, queda de pacotes e indisponibilidade da internet.

Eu tinha aqui também uma maquina com o Debian 7 para testes, cadastrada no DHCP recebendo o IP 192.168.1.4
Alterei o ip desta maquina para estático e inseri o IP 189.111.72.34 na eth0. E deixei ela como servidor de internet.

Apenas esqueci de alterar o DHCP depois, para manter organizado.

Tenho apenas um DHCP.




10. Re: Problemas de conexão [RESOLVIDO]

Buckminster
buckminster

(usa Debian)

Enviado em 04/12/2014 - 12:18h

Veja bem, se tu colocares IP estático na placa de rede do servidor é boa prática amarrar esse IP pelo MAC no servidor DHCP. Outra boa prática, imprescindível, é deixar os IPs dos servidores fora do range do DHCP, por exemplo:

vamos dizer que tu tenhas 3 servidores, 192.168.1.1, .2 e .3.;
no escopo do DHCP tu colocarias o range a partir de 192.168.1.4.

Posta aqui teu firewall e o conteúdo do arquivo /etc/network/interfaces.
Posta aqui o escopo do DHCP também.


11. Re: Problemas de conexão [RESOLVIDO]

Eduardo
vchacal

(usa Debian)

Enviado em 04/12/2014 - 13:53h

renato_pacheco escreveu:

Sobre o espaço em disco, eu só dei um exemplo. Má configuração do squid tb pode ocasionar o problema. Tanto é q vc não tá usando o squid e tá funcionando normalmente, ou estou errado?


Isso mesmo, no momento esta sem squid, vpn e o firewall esta bem simples ...


buckminster escreveu:

Veja bem, se tu colocares IP estático na placa de rede do servidor é boa prática amarrar esse IP pelo MAC no servidor DHCP. Outra boa prática, imprescindível, é deixar os IPs dos servidores fora do range do DHCP, por exemplo:

vamos dizer que tu tenhas 3 servidores, 192.168.1.1, .2 e .3.;
no escopo do DHCP tu colocarias o range a partir de 192.168.1.4.

Posta aqui teu firewall e o conteúdo do arquivo /etc/network/interfaces.
Posta aqui o escopo do DHCP também.


Sim, a placa eth1 esta amarrada, para organização e tal.
Eu uso um script para montar o DHCP, tenho uma lista onde insiro o MAC, IP, Nome e departamento ... e um parâmetro que ativado ele monta o dhcp. Então os servidores eu coloco nesta lista, mais deixo o parâmetro desativado. É interessante sakas ...

Firewall

#!/bin/sh
# Copyright (C) 2011

# RESETANDO E APLICANDO POLITICAS PADRAO

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -F
iptables -F -t mangle
iptables -Z
iptables -X
iptables -F -t nat


modprobe ip_conntrack
modprobe ip_conntrack_ftp

# Ativa roteamento no servidor
echo "1" > /proc/sys/net/ipv4/ip_forward

# Compartilha a internet da placa eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Direcionamento da porta 80 para a parta do squid 3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Liberar IP do squid proxy
#iptables -t nat -I PREROUTING -s 192.168.1.15 -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberacao de portas
iptables -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443,3128 -j ACCEPT
#iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

#OpenVPN
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT

#SolidWorks
iptables -A INPUT -p tcp --dport 25734 -j ACCEPT
iptables -A INPUT -p tcp --sport 25734 -j ACCEPT

#Openfire
iptables -A INPUT -p tcp --dport 9090 -j ACCEPT
iptables -A INPUT -p tcp --sport 9090 -j ACCEPT

#Mysql GLPI
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --sport 3306 -j ACCEPT

#Zabbix
iptables -A INPUT -p tcp --dport 10050 -j ACCEPT
iptables -A INPUT -p tcp --dport 10051 -j ACCEPT

#Spark
iptables -A INPUT -p tcp --dport 5222 -j ACCEPT
iptables -A INPUT -p tcp --sport 5222 -j ACCEPT

iptables -I INPUT -p tcp -m tcp --dport 5666 -j DROP
iptables -I INPUT -s 192.168.1.254 -p tcp -m tcp --dport 5666 -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 2/s -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Bloqueio Facebook e Youtube
#Para toda a rede 192.168.1.0/255.255.255.0
iptables -I FORWARD -s 192.168.1.0/24 -m string --algo kmp --string "facebook.com" -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -m string --algo kmp --string "youtube.com" -j DROP
#iptables -I FORWARD -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -m string --algo kmp --string "thepiratebay.sx" -j DROP



Interfaces

auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
allow-hotplug eth1

iface eth0 inet static
address 189.111.72.34 (Este IP não é verdadeiro ok)
netmask 255.255.255.0
network 189.111.72.32
broadcast 189.111.72.55
gateway 189.111.72.33
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.8.8

iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255




12. Re: Problemas de conexão [RESOLVIDO]

Buckminster
buckminster

(usa Debian)

Enviado em 04/12/2014 - 15:06h

Tire esta linha

dns-nameservers 8.8.8.8

do arquivo interfaces; não se coloca DNSs nesse arquivo, isso é função do arquivo resolv.conf.

Deixe assim teu interfaces:

auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 189.111.72.34 (Este IP não é verdadeiro ok)
netmask 255.255.255.0
network 189.111.72.32
broadcast 189.111.72.55
gateway 189.111.72.33

# The secondary network interface
allow-hotplug eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
#gateway 189.111.72.34 <<< se for preciso descomente essa linha

Apesar de que eu aconselharia a trocar allow-hotplug por auto. Pela minha experiência funciona melhor, mas não tenho dados técnicos para comprovar isso, pois não me detive a me aprofundar.



01 02 03



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts