[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: problemas com bind e ntp

luis@servidor:~$ dig debian.org @208.67.222.222 +short
5.153.231.4
128.31.0.62
130.89.148.14
140.211.15.34
149.20.20.22
luis@servidor:~$ dig debian.org @127.0.0.1 +short
149.20.20.22
5.153.231.4
128.31.0.62
130.89.148.14
140.211.15.34





att.
Luis Teixeira

.ºvº. | Linux, porque eu amo a liberdade!   
/(L)\Linux User: #420124 
.^.^.| Socialmente justo, economicamente viável e tecnologicamente sustentável

ICQ: 200-860-628 - Whatsapp: 91 9253-2087 - Skype: luisteixeira25

Em 19 de maio de 2016 20:15, Luis Augusto Teixeira <luisteixeira25@gmail.com> escreveu:
boa noite amigos,

segue abaixo o log, meu firewal é bem simples basicamente compartilha conexão, segue também abaixo.


resultado do comando tail -f /var/log/syslog | grep named

May 19 19:04:16 servidor named[10284]: validating @0xb43cf0f8: cdnjs.cloudflare.com AAAA: got insecure response; parent indicates it should be secure
May 19 19:04:16 servidor named[10284]: error (insecurity proof failed) resolving 'cdnjs.cloudflare.com/AAAA/IN': 208.67.220.220#53
May 19 19:04:17 servidor named[10284]: validating @0xb4003160: cdnjs.cloudflare.com AAAA: got insecure response; parent indicates it should be secure
May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) resolving 'cdnjs.cloudflare.com/AAAA/IN': 208.67.222.222#53
May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure
May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.220.220#53
May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure
May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.222.222#53
May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure
May 19 19:04:18 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.222.222#53
May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure
May 19 19:04:18 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.220.220#53
May 19 19:04:18 servidor named[10284]:   validating @0xb33c0030: com SOA: got insecure response; parent indicates it should be secure
May 19 19:04:18 servidor named[10284]: error (no valid RRSIG) resolving 'createjs.com/DS/IN': 208.67.220.220#53
May 19 19:04:19 servidor named[10284]:   validating @0xb3ac0030: com SOA: got insecure response; parent indicates it should be secure
May 19 19:04:19 servidor named[10284]: error (no valid RRSIG) resolving 'newrelic.com/DS/IN': 208.67.220.220#53
May 19 19:04:19 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure

arquivo /etc/init.d/firewall

echo "Carregando o firewall..."

# Abre para uma faixa de endereços da rede local
iptables -A INPUT -p tcp --syn -s 192.168.13.0/255.255.255.0 -j ACCEPT

# Abre para a rede local
#iptables -A INPUT -s 192.168.13.0/255.255.255.0 -j ACCEPT

# Fecha as portas 53/UDP e 53/TCP para os demais:
#iptables -A INPUT -p udp --dport 53 -j DROP
#iptables -A INPUT -p tcp --dport 53 -j DROP

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

# Portas ntp
iptables -A INPUT -p udp --dport 123 -j ACCEPT

# abre porta do proxy
#iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT

# Ignora pings
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCE$
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -$
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

# Abre para a interface de loopback.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# Compartilha a conexão
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos que espe$
iptables -A INPUT -p tcp --syn -j DROP

echo "Firewall carregado..."






att.
Luis Teixeira

.ºvº. | Linux, porque eu amo a liberdade!   
/(L)\Linux User: #420124 
.^.^.| Socialmente justo, economicamente viável e tecnologicamente sustentável

ICQ: 200-860-628 - Whatsapp: 91 9253-2087 - Skype: luisteixeira25

Em 19 de maio de 2016 01:26, Lucas Castro <lucascastroborges@gmail.com> escreveu:
Por favor,
Colocar parte relevante do log (| grep named?), use o http://paste.debian.net/ ou outro.
verifique se a hora e fusorarios  estão corretos.

veja o que retora em
  'dig debian.org @208.67.222.222 +short' e

  'dig debian.org @127.0.0.1 +short'

firewall?
OUTPUT porta udp 53? e retorno na INPUT aceita?

tenta mudar a politica padrão para teste.
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 

On 17-05-2016 18:48, Luis Augusto Teixeira wrote:

Na realidade é um net que entra na interface 1 e o servidor debian é o gateway da rede.
Já verifiquei e não é o modem.

Em 17/05/2016 17:33, "Leandro de Lima Camargo" <leandrobachero@gmail.com> escreveu:
Sim.
Em meu caso, uso os servidores a.ntp.br e b.ntp.br do Registro BR.

Quanto ao DNS, vi que você usa seu ADSL como DNS server também.
Já conferiu ele? Não há nada de errado dele?
Como ele está servindo de gateway pra sua rede, o problema pode estar nele.

Bom, deu a entender que ele é o gateway. Não sei se é mesmo...



Atenciosamente,

Leandro de Lima Camargo
+55 (35) 9 9904-0220
skype: leandrolimacamargo

On May 17, 2016, at 17:05, Luis Augusto Teixeira <luisteixeira25@gmail.com> wrote:

Vou fazer os testes e depois respondo.
Sobre as configurações que postei dos arquivos, ntp.conf e named.conf.options, estão corretas?

Em 17/05/2016 16:47, "Leandro de Lima Camargo" <leandrobachero@gmail.com> escreveu:
Quando parou, qual destino você pingou?
Pois se foi algum nome de domínio, o DNS está funcionando corretamente ou é cache da tua máquina.

Quando parar:
- Veja se resolve algum nome (dig +short www.globo.com ou nslookup www.globo.com);
- Confirme se a porta UDP/53 está aberta no servidor;
- Acompanhe as requisições via logs e via tcpdump (tcpdump -i $INTERFACE udp port 53);





Atenciosamente,

Leandro de Lima Camargo
+55 (35) 9 9904-0220
skype: leandrolimacamargo

On May 17, 2016, at 16:33, Guimarães Faria Corcete DUTRA, Leandro <l@dutras.org> wrote:

2016-05-17 16:30 GMT-03:00 Luis Augusto Teixeira <luisteixeira25@gmail.com>:
A internet pára, nenhum navegador abre qualquer página, pinga mas não
navega, sem proxy, pra voltar ao normal, tinha que parar o bind e ntp.
Vejam o primeiro link que postei no inicio.

/etc/resolv.conf ?


--
skype:leandro.gfc.dutra?chat      Yahoo!: ymsgr:sendIM?lgcdutra
+55 (61) 3546 7191              gTalk: xmpp:leandrod@jabber.org
+55 (61) 9302 2691        ICQ/AIM: aim:GoIM?screenname=61287803
BRAZIL GMT−3  MSN: msnim:chat?contact=leandro@dutra.fastmail.fm






Reply to: