LEIAM e postem alguma coisa...

adircastro
(usa Debian)

Enviado em 09/09/2007 - 19:04h

Olá,

Pessoal, eu sei que vocês sabem alguma coisa a respeito desse meu problema.

Leiam e postem alguma coisa. Qualquer coisa pode me ajudar na solução desse problema.

Tenho dois links no mesmo servidor. Quando retiro o link principal e deixo o secundário, os pings desaparecem e dão lugar para a mensagem mostrada abaixo.

Disparando contra globo.com [201.7.176.59] com 0 bytes de dados:
Resposta de 172.16.130.218: Host de destino inacessível
Resposta de 172.16.130.218: Host de destino inacessível

DETALHE: esse ping é feito a partir da estação. De dentro do servidor ele pinga normal.

NOTEM QUE A RESPOSTA AO PING FAZ REFERÊNCIA AO IP DO LINK PRINCIPAL (172.16.130.218). É COMO ELE TIVESSE USANDO OU TENTANDO USAR ESSA ROTA. SÓ QUE O CABO DE REDE DO LINK PRINCIPAL ESTÁ DESCONECTADO. ESTOU FAZENDO TESTES...

Estranhamente navego normal em todas as páginas. Algumas contas de e-mail ficam deformadas, mas que dá pra trabalhar dentro delas. Somente na sala de bate papo da uol é que não tem jeito.

MINHAS INTERFACES ESTÃO CONFIGURADAS ASSIM?

A eth0 é da rede local.

auto eth1
iface eth1 inet static
address 10.10.0.186
netmask 255.255.255.252
broadcast 10.10.0.255
network 10.10.0.184
gateway 10.10.0.185
#
# Internet
auto eth2
iface eth2 inet static
address 172.16.130.218
netmask 255.255.255.252
broadcast 172.16.130.255
network 172.16.130.184
gateway 172.16.130.217

OBSERVAÇÃO: já fiz a inversão das interfaces... aí o problema passou a acontecer com o link principal, e o link reserva ficou bom em todos os sentidos.

MEU RESOLV.CONF
server:/etc/init.d# cat /etc/resolv.conf
search cyber.com.br
nameserver 192.168.100.100
nameserver 200.241.247.1 (DNS do link primário)
nameserver 200.228.94.130 (DNS do link secundário)

MEU IPTABLES
#!/bin/sh
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (aponta no squid) na interface ethx - rede local
#
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#
# Compartilhando a internet nas interfaces ethx - rede externa
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
#
# Ativa roteamento no kernel
echo "1" > /proc/sys/net/ipv4/ip_forward

FireBird
(usa Debian)

Enviado em 09/09/2007 - 19:28h

tu consegue pingar seu servidor direto?

Lista as regras de iptables que tem ai pra vc...

da um iptables -L e um itables -t nat -L...pode ter algo bloqueando...

ou entao coloca ai:

iptables -t nat -I PREROUTING -s <sua rede interna> -p icmp -d <ip do teu server> -j ACCEPT

e

iptables -t nat -I PREROUTING -s <sua rede interna> -p icmp -d 0/0 -j ACCEPT -> assim tu ta liberando ping pra fora do seu server

dependendo do jeito que ta seu firewall ou o squid, ele ta bloqueando ping até o seu servidor e , logicamente através dele tb...

espero ter ajudado...rs... ja to vendo que tu ta quase se desesperando... se nao der, posta ai que a gente tenta ajudar

adircastro
(usa Debian)

Enviado em 09/09/2007 - 19:34h

Obrigado FireBird,

Veja aí o resultado do iptables -L:
------------------------------------
Chain INPUT (policy ACCEPT)
target prot opt source destination
LOG tcp -- anywhere anywhere tcp dpt:ftp LOG level warning prefix `Servico FTP'
LOG tcp -- anywhere anywhere tcp dpt:5042 LOG level warning prefix `Servico Wincrash'
LOG tcp -- anywhere anywhere tcp dpt:12345 LOG level warning prefix `Servico BackOrifice'

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
DROP 0 -- anywhere 208.65.153.253
DROP 0 -- anywhere 208.65.153.238
DROP 0 -- anywhere 208.65.153.251

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP 0 -- anywhere 208.65.153.238
DROP 0 -- anywhere 208.65.153.251
DROP 0 -- anywhere 208.65.153.253

adircastro
(usa Debian)

Enviado em 09/09/2007 - 19:38h

FireBird,

Veja o resultado de iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE 0 -- anywhere anywhere
MASQUERADE 0 -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

FireBird
(usa Debian)

Enviado em 09/09/2007 - 19:40h

so uam dica cara... ja apanhei demais da conta fazendo firewall ate aprender a fazer um decente... qualquer firewall que se preze, vc tem de fazer é o contrário do que ta fazendo... deve BLOQUEAR tudo... DROP OU REJECT nas políticas(iptables -P DROP, por exemplo) e depois ir liberando...

qto as regras... tem um treco aqui oh:

ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5

vc deve saber o q essa regra faz entao nao vou te incomodar... nao tem pq ela estar causando isso, mas tenta remover ela(ja vi coisas MUITO ESTRANHAS ACONTECEREM DEPENDENDO DA FORMA COMO AS REGRAS SAO ESCRITAS)... ou melhor ainda... quer saber? LIMPA AS REGRAS TODAS... so compartilha internet, libera tudo e direciona o que vc tiver de direcionar ai... e poe tb akela regrinha de icmp que eu te falei mais cedo e tenta ai

adircastro
(usa Debian)

Enviado em 09/09/2007 - 19:41h

Resultado do ip route list

ip route list
10.10.0.184/30 dev eth1 proto kernel scope link src 10.10.0.186
172.16.130.216/30 dev eth2 proto kernel scope link src 172.16.130.218
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.100
default via 172.16.130.217 dev eth2
default via 10.10.0.185 dev eth1

RESTULADO DO traceroute com o link secundário em uso:

traceroute globo.com
traceroute to globo.com (201.7.176.59), 30 hops max, 40 byte packets
1 10.10.0.185 (10.10.0.185) 35.218 ms 53.861 ms 24.379 ms
2 * * *
3 gateway.leolar.com.br (200.228.94.129) 17.108 ms 13.038 ms 14.018 ms

adircastro
(usa Debian)

Enviado em 09/09/2007 - 19:52h

FireBird,

Fiz assim no iptables:
# Compartilhando a internet na interface ethx - rede externa
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -I PREROUTING -s 192.168.100.0 -p icmp -d 192.168.100.100 -j ACCEPT
iptables -t nat -I PREROUTING -s 192.168.100.100 -p icmp -d 0/0 -j ACCEPT

A sala de bate papo continua "bichada" e da estação continua sem fazer ping pra fora.

Depois comentei as duas primeiras linhas e nada alterou.

Com o link primário, nada disso ocorre. E não posso deixar o secundário na rede, senão perco a clientela que gosta do bate papo... sem contar os que irão ler seus e-mails.

Creio que o problema está entre as configurações da interface e o resolv.conf, mas não consigo ver nada de anormal.

adircastro
(usa Debian)

Enviado em 09/09/2007 - 20:01h

Veja minha tabela de roteamento:

Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.10.0.184 * 255.255.255.252 U 0 0 0 eth1
172.16.130.216 * 255.255.255.252 U 0 0 0 eth2
localnet * 255.255.255.0 U 0 0 0 eth0
default 172.16.130.217 0.0.0.0 UG 0 0 0 eth2
default 10.10.0.185 0.0.0.0 UG 0 0 0 eth1

adircastro
(usa Debian)

Enviado em 09/09/2007 - 20:03h

FireBird,

Como limpo em definitivo as regras?

Outra coisa: não sei o que essa regra faz.
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5

Sinceramente...

adircastro
(usa Debian)

Enviado em 09/09/2007 - 20:06h

Veja aí as regras limpas:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

adircastro
(usa Debian)

Enviado em 09/09/2007 - 20:09h

FireBird,

Limpo as regras e elas somem... quando restarto o iptables aparece isso:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere
DROP 0 -- anywhere 208.65.153.238
DROP 0 -- anywhere 208.65.153.251
DROP 0 -- anywhere 208.65.153.253

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP 0 -- anywhere 208.65.153.251
DROP 0 -- anywhere 208.65.153.253
DROP 0 -- anywhere 208.65.153.238

FireBird
(usa Debian)

Enviado em 09/09/2007 - 20:49h

tva no banho... foi mal... akela regra so deixa seu erver responder pings nom aximo de 1 segundo...ele evita o "temido" ping da morte...

cara... sala de bate papo tem um detalhe: se vc fizer algo de errado, ela(a sala) bloqueia seu ip... ai demora uns 3 dias ate liberar denovo... meus erver da isso direto...rs... tenho de constantemente mudar o ip válido da minha maquina...pode ser isso ta(a sala de bat pápo bloqueou teu ip valido)?

agora...

vc limpa as regras com iptables -F e iptables -t nat -F...

ai elas vao ficar em accept pra tudo...

no seu server, faz o compartilhamento(aquela regra de postrouting e masquerade que tem no seu script)...

a regra que tem la o icmp que eu citei, ele libera o ping(protocolo icmp) para o seu server e para fora do seu server...

entao... faz assi oh:

iptables -F
##limpa tabela filter...
iptables -t nat -F
##limpa tabela nat
iptables -t nat -I POSTROUTING -s <rede interna> -o <interface que ta saindo pra internet(eth1, talvez)> -j MASQUERADE
##ativa o compartilhamento para sua rede interna que nao me lembro o ip...rs... por isso coloquei desse jeito...

verifica se as maquias clientes estao navegando...tipo...com links ou navegador mesmo... tto faz... se nao estiverem, me fala
ah..
dessa forma cara, seu server so ta compartilhando... nem o squid vai funfar...entao desativa o maldito pras maquinas da rede funfarem...
CONFIRMA O GATEWAY DO SEU SERVER...pode ser que ele esteja errado... confirma se seu server ta navegando depois de limpar as regras e tudo que falei acima...


nesse exato momento, verifica se vc consegue pingar seu server(no caso, o gateway das maquinas da rede interna)...

se nao der, digite:

iptables -I INPUT -p icmp -s <ip da sua rede internar(pode ser um so ou todos(/24))> -j ACCEPT

se nao der, me fala... mas nao tem pq nao dar certo...

agora vc vai liberar ping das maquinas clientes pra FORA DO SEU SERVER(TEORICAMENTE nao precisaria fazer isso pq como vc nao ta bloqueando nada(lembre-se de ter certeza de que limpou as regras, e parou o squi como falei acima), o icmp ta liberado tn...)

iptables -t nat -I PREROUTING -s <ip da rede internar(pode ser um so ou /24)> -p icmp(protocolo de PING) -s 0/0(INTERNET) -j ACCEPT

agora ta liberado ping...testanos clientes e ve se deu certo... se nao, avisa tb...

qual distro tu ta usando? ja fez isso antes?

cara... ja cansei de fazer servers funcionarem so com isso que te passei... se nao der, nao posso fazer mais nada a nao ser acessar sua maquia por ssh e tentar ver no que dá... ou entao vc entra na minha aqui e ve como tao as regras...