Problemas de conexão [RESOLVIDO]

vchacal
(usa Debian)

Enviado em 04/12/2014 - 17:30h

buckminster,

Removi a linha contendo o DNS, deixando apenas no resolv.conf
Quanto ao allow-hotplug ... dei uma pesquisada e entendi que assim ele inicia a interface no momento que o kernel detecta um evento hotplug. Já o auto a interface inicia no arranque do sistema. Vou testar auto ...

Quanto ao firewall, existe alguma coisa que eu posso estar fazendo errado? Algo que justifique as quedas de internet ...

buckminster
(usa Debian)

Enviado em 04/12/2014 - 20:15h

Aparentemente tuas regras estão boas.

Aqui, deixe como está abaixo

#Liberar IP do squid proxy
#iptables -t nat -I PREROUTING -s 192.168.1.15 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i ethx -j DROP <<< coloque a interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i ethx -j DROP <<< coloque a interface de entrada da internet
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Modifique esta regra

iptables -I INPUT -s 192.168.1.254 -p tcp -m tcp --dport 5666 -j ACCEPT

deixando assim

iptables -I INPUT -s 192.168.1.254 -p tcp --dport 5666 -j ACCEPT <<< tire o -m tcp, não é necessário.

Lembre que as regras com -I serão colocadas no topo da chain. Aconselho a numerá-las, por exemplo,

iptables -I INPUT 1 -p tcp -m tcp --dport 5666 -j DROP
iptables -I INPUT 2 -s 192.168.1.254 -p tcp -m tcp --dport 5666 -j ACCEPT

Assim, se o número da regra é um, a regra ou as regras serão inseridas no topo da chain em sequência, independentemente da ordem de colocação no script. Se nenhum número de regra for especificado, as regras serão inseridas de acordo com a ordem de colocação no script. Lembrando que a numeração é de acordo com cada chain, uma regra na chain INPUT com o número 1 não conflita com uma regra na chain FORWARD com o número 1. Tu deves fazer a numeração para cada chain.

Esta regra

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

pode comentar ou deletar, a política padrão da chain OUTPUT tu deixastes como ACCEPT; as políticas padrões aconselho a deixar assim mesmo: INPUT e FORWARD como DROP e OUTPUT como ACCEPT, depois tu vai liberando o que tu queres nas chains INPUT e FORWARD.

Acredito que pelo fato de ter corrigido teu arquivo interfaces, principalmente tirando o DNS dele já deverá dar uma melhorada no teu problema.

Deixo uns links para tu ires lendo:

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=1

http://eriberto.pro.br/iptables/3.html

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=1

vchacal
(usa Debian)

Enviado em 07/12/2014 - 15:04h

buckminster,

Desculpe a demora, tive uma demanda que acabou me consumindo d+.

Gostei da boa pratica de numerar as regras, com os links que você deixou eu vou estudar melhor o iptables.

Assim que eu puder, farei alguns testes ... talvez irei alguns dias que não estiver ninguém na empresa só para substituir o servidor e analisar melhor se surtiu efeito.

Assim que eu tiver novidade eu posto aqui se foi solucionado ou se ainda persiste.
Desde já agradeço a ajuda de todos.

Abraços

vchacal
(usa Debian)

Enviado em 15/12/2014 - 11:52h

Fala aew galera,

Seguinte, tive o mesmo problema novamente ... mesmo formatando outra maquina e colocando a mesma como servidor.

Vou explicar um teste que eu fiz, pode ajudar a voces entenderem melhor.

1º - A operadora fez o monitoramento do link e esta OK.
2º - Deixei apenas o cabo da eth0 ligada ao roteador.

Obs.: O meu servidor, sem compartilhar a internet esta consumindo o link inteiro.

Alguém pode me ajudar?

Grato

buckminster
(usa Debian)

Enviado em 15/12/2014 - 12:15h

Bom, se é outra máquina diferente daquela que tu tinhas, então o problema está no roteador ou no cabeamento.
A não ser que tu tenhas feito alguma configuração estranha no servidor.

removido
(usa Nenhuma)

Enviado em 15/12/2014 - 12:20h

Defina o MTU da placa de rede para 1360 e teste se melhora.

vchacal
(usa Debian)

Enviado em 15/12/2014 - 12:20h

Então amigo, roteador e cabeamento não é também ... pois inseri uma maquina com Windows 7 Pro, compartilhei a internet e até o momento esta funcionando.

Mais essa maquina w7 é só quebra galho né.

vchacal
(usa Debian)

Enviado em 15/12/2014 - 12:24h

E aew Kyetoy,

Vou fazer um teste então, ai posto novamente ...

Se tiver mais alguma que eu possa fazer e ou verificar, me digam.
vlw

buckminster
(usa Debian)

Enviado em 15/12/2014 - 12:35h

Não creio que seja o MTU, mas por descargo de consciência faça esses testes antes de mudá-lo:

http://www.guiadopc.com.br/dicas/34468/dicas-linux-mudar-mtu-sites-mais-rapidos.html

vchacal
(usa Debian)

Enviado em 15/12/2014 - 13:08h

buckminster,

Eu também acho que não.
Mais farei o teste depois do expediente pra desencargo.

Sera que pode ser vírus e ou algum ataque?

buckminster
(usa Debian)

Enviado em 15/12/2014 - 13:13h

De repente estão usando teu link para mandar spam, isso consome banda.
Tu terias que verificar isso, talvez através do Wireshark.

vchacal
(usa Debian)

Enviado em 17/12/2014 - 08:57h

É bem por ai mesmo colega ...
Pra você ter uma ideia, notei algo estranho aqui ... quando ocorre a queda da internet, o servidor fica extremamente lento. Aew eu apenas tirei o cabo de rede da eth1 ... e na hora o servidor volta ao normal.

Estive passando o antivírus e combofix nas estações de trabalho, não terminei ainda pq são bastante maquinas pra eu fazer sozinho.

Agora estou tentando trabalhar em cima do firewall, acho que posso bloquear todas as portas e liberar apenas as que houver necessidade como 80, 22 entre outras. O que acha?

Fiz alguns teste mais não deu certo, acabei bloqueando tudo. Vou postar aqui meu script e se puder me ajudar eu agradeço mais uma vez.

#!/bin/sh

# Copyright (C) 2011



# RESETANDO E APLICANDO POLITICAS PADRAO



iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -F

iptables -F -t mangle

iptables -Z

iptables -X

iptables -F -t nat



modprobe ip_conntrack

modprobe ip_conntrack_ftp



# Setando roteamento

echo "1" > /proc/sys/net/ipv4/ip_forward



# Compartilhamento de internet

iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE



# Direcionamento da porta 80 para a parta do squid 3128

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



# Libera porta internet

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT