Alteração da distro no servidor

n4t4n
(usa Arch Linux)

Enviado em 04/07/2011 - 11:27h

Ao que tudo indica seu firewall não foi carregado, por isso que mesmo tendo alterado as interfaces adicionando o caminho no rc.local a internet não foi compartilhada.

Provavelmente você está sem firewall no momento. Se quiser verificar basta usar

iptables -nL
iptables -nL -t nat

e ver se existem regras. Na nat vai ter somente as que você adicionou manualmente, mas a filter não vai ter nada.

O arquivo que você salvou usa um formato diferente, portanto ele não pode ser usado como um script. O formato dele é lido pelo comando comando iptables-restore e o jeito correto de você carregá-lo é adicionar ao final do /etc/network/interfaces o seguinte comando

pre-up iptables-restore < /etc/rc.firewall


Depois que você restaurá-lo veja se o site do itaú volta a funcionar e posta

n4t4n
(usa Arch Linux)

Enviado em 04/07/2011 - 11:34h

Opa, lembrei de duas coisas.

1. Quando você restaurar suas configurações de firewall, provavelmente seu compartilhamento de internet já deve estar lá, então você terá que remover sua configuração manual, para não causar conflito de regras.

2. Como você usava squid na configuração anterior, então quando você restaurar suas regras de firewall, pode ser que seja necessário fazer alguma configuração manual para que sua internet funcione normalmente.
O recomendado nesse caso, é analisar regra a regra e ver quais são necessárias ou não à sua nova realidade, e ir deletando, alterando ou adicionando regras de acordo com sua nova configuração.

Também veja se você fez as devidas substituições no arquivo do firewall em relação às interfaces, para não bagunçar tudo.

Rafael Luz
(usa Ubuntu)

Enviado em 14/07/2011 - 09:26h

No dia seguinte o site do banco funcionou normalmente, por enquanto vou deixar assim e estudar mais sobre firewall e squid, pois terei que reconfigurá-lo, já que o mesmo não funcionava adequadamente.

Qq novidade postarei aqui.

Baixei um pdf do Urubatan, sabe se esse livro é bom?

Até +

Rafael Luz
(usa Ubuntu)

Enviado em 14/07/2011 - 09:28h

Como instalei o Webmin é mais fácil eu configurar o iptables por ele, ou via terminal?

n4t4n
(usa Arch Linux)

Enviado em 14/07/2011 - 11:09h

O livro do urubatan nunca li, portanto não sei te dizer a respeito, e quanto ao Webmin, ainda não cheguei a usá-lo, nem sei o que é possível fazer com ele. Por enquanto me ative a fazer configuracoes "na unha" para aprender mais sobre o sistema. Quando eu tiver uma base boa é que quero migrar para essas ferramentas que auxiliam e muito os administradores.

Rafael Luz
(usa Ubuntu)

Enviado em 15/07/2011 - 10:28h

Eu não entendi essa parte: "Por enquanto me ative a fazer configuracoes "na unha" para aprender mais sobre o sistema."

Rafael Luz
(usa Ubuntu)

Enviado em 15/07/2011 - 12:15h

Eu nao sei o que aconteceu...
Reiniciei o servidor e agora nao consigo acessar a internet nos PCs da rede, somente do servidor...

O iptables esta assim:

# Generated by iptables-save v1.4.8 on Fri Jul 15 12:13:28 2011
*mangle
:PREROUTING ACCEPT [50570:7130470]
:INPUT ACCEPT [23901:5649336]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20278:14747745]
:POSTROUTING ACCEPT [20579:14780295]
COMMIT
# Completed on Fri Jul 15 12:13:28 2011
# Generated by iptables-save v1.4.8 on Fri Jul 15 12:13:28 2011
*nat
:PREROUTING ACCEPT [27008:1519778]
:POSTROUTING ACCEPT [120:9456]
:OUTPUT ACCEPT [542:36250]
-A PREROUTING -p tcp -m tcp --dport 8008 -j DNAT --to-destination 192.168.2.8:8008
-A PREROUTING -p tcp -m tcp --dport 8007 -j DNAT --to-destination 192.168.2.7:8007
-A PREROUTING -p tcp -m tcp --dport 8006 -j DNAT --to-destination 192.168.2.6:8006
-A PREROUTING -p tcp -m tcp --dport 8005 -j DNAT --to-destination 192.168.2.5:8005
-A PREROUTING -p tcp -m tcp --dport 8004 -j DNAT --to-destination 192.168.2.4:8004
-A PREROUTING -p tcp -m tcp --dport 8003 -j DNAT --to-destination 192.168.2.3:8003
-A PREROUTING -p tcp -m tcp --dport 8002 -j DNAT --to-destination 192.168.2.2:8002
-A PREROUTING -p tcp -m tcp --dport 3558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 4558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 5558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 6558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 3557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 4557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 5557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 6557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 3556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 4556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 5556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 6556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 3555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 4555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 5555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 6555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 3554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 4554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 6554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 3553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 4553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 5553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 6553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 3552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 4552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 5552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 6552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 8008 -j DNAT --to-destination 192.168.2.8:8008
-A PREROUTING -p tcp -m tcp --dport 8007 -j DNAT --to-destination 192.168.2.7:8007
-A PREROUTING -p tcp -m tcp --dport 8006 -j DNAT --to-destination 192.168.2.6:8006
-A PREROUTING -p tcp -m tcp --dport 8005 -j DNAT --to-destination 192.168.2.5:8005
-A PREROUTING -p tcp -m tcp --dport 8004 -j DNAT --to-destination 192.168.2.4:8004
-A PREROUTING -p tcp -m tcp --dport 8003 -j DNAT --to-destination 192.168.2.3:8003
-A PREROUTING -p tcp -m tcp --dport 8002 -j DNAT --to-destination 192.168.2.2:8002
-A PREROUTING -p tcp -m tcp --dport 3558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 4558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 5558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 6558 -j DNAT --to-destination 192.168.2.8
-A PREROUTING -p tcp -m tcp --dport 3557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 4557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 5557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 6557 -j DNAT --to-destination 192.168.2.7
-A PREROUTING -p tcp -m tcp --dport 3556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 4556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 5556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 6556 -j DNAT --to-destination 192.168.2.6
-A PREROUTING -p tcp -m tcp --dport 3555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 4555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 5555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 6555 -j DNAT --to-destination 192.168.2.5
-A PREROUTING -p tcp -m tcp --dport 3554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 4554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 6554 -j DNAT --to-destination 192.168.2.4
-A PREROUTING -p tcp -m tcp --dport 3553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 4553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 5553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 6553 -j DNAT --to-destination 192.168.2.3
-A PREROUTING -p tcp -m tcp --dport 3552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 4552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 5552 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -p tcp -m tcp --dport 6552 -j DNAT --to-destination 192.168.2.2
-A POSTROUTING -s 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Jul 15 12:13:28 2011
# Generated by iptables-save v1.4.8 on Fri Jul 15 12:13:28 2011
*filter
:INPUT ACCEPT [23901:5649336]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20278:14747745]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m limit --limit 1/sec -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
COMMIT
# Completed on Fri Jul 15 12:13:28 2011

n4t4n
(usa Arch Linux)

Enviado em 15/07/2011 - 18:07h

Parece que o problema é porquê o comando do FORWARD não é salvo junto com o iptables e só funciona para a mesma sessão que você digita ele no terminal. Para conferir use um cat e veja se o resultado é igual a zero como no exemplo abaixo

cat /proc/sys/net/ipv4/ip_forward
0

Esse comando habilita (quando é igual a 1) a passagem de pacotes entre interfaces (FORWARD). Para habilitar basta usar

echo 1 > /proc/sys/net/ipv4/ip_forward

e ver se as máquinas voltam a acessar normalmente.

Para que fique permanente inclua isso no /etc/rc.local antes do exit 0, assim não vai precisar digitar isso toda vez que reinicializar.

Reinicie e teste se ficou mesmo.

n4t4n
(usa Arch Linux)

Enviado em 15/07/2011 - 18:13h

O que quiz dizer com fazer configuracoes "na unha" é que não uso ferramentas que fazem o trabalho duro por mim, como o webmin, swat, etc. Em vez disso, eu prefiro ir aos arquivos de configuracao do servico e editá-los manualmente.

Rafael Luz
(usa Ubuntu)

Enviado em 19/07/2011 - 10:59h

Vou ver se consigo fazer isso no final de semana.

Ah eu quis dizer aquela parte q você escreveu "me ative" (é pra mim dar acesso a vc?) na unha eu tinha entendido, rs.

Vlw

Até +

n4t4n
(usa Arch Linux)

Enviado em 19/07/2011 - 12:34h

Ah sim.

Ative do verbo Ater.
http://www.conjuga-me.net/verbo-ater

sf.: Aderir, conformar.

Quer dizer que eu me conformo em fazer tudo manualmente em vez de colocar coisas mais fáceis e automáticas.

Rafael Luz
(usa Ubuntu)

Enviado em 02/08/2011 - 09:28h

Uma das coisas q estão acontecendo também, é que quando reinicio o servidor o Webmin some, tenho que reinstalá-lo, e quando tento reiniciar a rede com o comando service network restart dá essa msg: network: unrecognized service. Pesquisei encontrei esse comando > /etc/init.d/networking restart, aparece essa msg:
Running /etc/init.d/networking restart is deprecated because it may not enable again some interfaces ... (warning).
Reconfiguring network interfaces...sort: fflush failed: standard output: No space left on device
sort: write error
sort: fflush failed: standard output: No space left on device
sort: write error
sort: fflush failed: standard output: No space left on device
sort: write error
done.

Quando envio o comando ifdown eth1 aparece> ifdown: interface eth1 not configured (funciona Ok).

Não deu pra mexer no firewall ainda, pq se o pessoal ficar sem net por um minuto, parece q acabou o mundo.. rs