luis@servidor:~$ dig debian.org @208.67.222.222 +short 5.153.231.4 128.31.0.62 130.89.148.14 140.211.15.34 149.20.20.22 luis@servidor:~$ dig debian.org @127.0.0.1 +short 149.20.20.22 5.153.231.4 128.31.0.62 130.89.148.14 140.211.15.34
att. Luis Teixeira *.ºvº*. | Linux, porque eu amo a liberdade! */(L)\* | Linux User: #420124 *.^.^.*| *Socialmente justo, economicamente viável e tecnologicamente sustentável* ICQ: 200-860-628 - Whatsapp: 91 9253-2087 - Skype: luisteixeira25 Em 19 de maio de 2016 20:15, Luis Augusto Teixeira <luisteixeir...@gmail.com > escreveu: > boa noite amigos, > > segue abaixo o log, meu firewal é bem simples basicamente compartilha > conexão, segue também abaixo. > > > resultado do comando tail -f /var/log/syslog | grep named > > May 19 19:04:16 servidor named[10284]: validating @0xb43cf0f8: > cdnjs.cloudflare.com AAAA: got insecure response; parent indicates it > should be secure > May 19 19:04:16 servidor named[10284]: error (insecurity proof failed) > resolving 'cdnjs.cloudflare.com/AAAA/IN': 208.67.220.220#53 > May 19 19:04:17 servidor named[10284]: validating @0xb4003160: > cdnjs.cloudflare.com AAAA: got insecure response; parent indicates it > should be secure > May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) > resolving 'cdnjs.cloudflare.com/AAAA/IN': 208.67.222.222#53 > May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . NS: got > insecure response; parent indicates it should be secure > May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) > resolving './NS/IN': 208.67.220.220#53 > May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . NS: got > insecure response; parent indicates it should be secure > May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) > resolving './NS/IN': 208.67.222.222#53 > May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . NS: got > insecure response; parent indicates it should be secure > May 19 19:04:18 servidor named[10284]: error (insecurity proof failed) > resolving './NS/IN': 208.67.222.222#53 > May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . NS: got > insecure response; parent indicates it should be secure > May 19 19:04:18 servidor named[10284]: error (insecurity proof failed) > resolving './NS/IN': 208.67.220.220#53 > May 19 19:04:18 servidor named[10284]: validating @0xb33c0030: com SOA: > got insecure response; parent indicates it should be secure > May 19 19:04:18 servidor named[10284]: error (no valid RRSIG) resolving ' > createjs.com/DS/IN': 208.67.220.220#53 > May 19 19:04:19 servidor named[10284]: validating @0xb3ac0030: com SOA: > got insecure response; parent indicates it should be secure > May 19 19:04:19 servidor named[10284]: error (no valid RRSIG) resolving ' > newrelic.com/DS/IN': 208.67.220.220#53 > May 19 19:04:19 servidor named[10284]: validating @0xb4003160: . NS: got > insecure response; parent indicates it should be secure > > arquivo /etc/init.d/firewall > > echo "Carregando o firewall..." > > # Abre para uma faixa de endereços da rede local > iptables -A INPUT -p tcp --syn -s 192.168.13.0/255.255.255.0 -j ACCEPT > > # Abre para a rede local > #iptables -A INPUT -s 192.168.13.0/255.255.255.0 -j ACCEPT > > # Fecha as portas 53/UDP e 53/TCP para os demais: > #iptables -A INPUT -p udp --dport 53 -j DROP > #iptables -A INPUT -p tcp --dport 53 -j DROP > > # Abre uma porta (inclusive para a Internet) > iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT > > # Portas ntp > iptables -A INPUT -p udp --dport 123 -j ACCEPT > > # abre porta do proxy > #iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT > > # Ignora pings > #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > # Proteções diversas contra portscanners, ping of death, ataques DoS, etc. > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s > -j ACCE$ > iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > --limit 1/s -$ > iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP > > # Abre para a interface de loopback. > iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT > > # Compartilha a conexão > modprobe iptable_nat > echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > > # Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos > que espe$ > iptables -A INPUT -p tcp --syn -j DROP > > echo "Firewall carregado..." > > > > > > > att. > Luis Teixeira > > *.ºvº*. | Linux, porque eu amo a liberdade! > */(L)\* | Linux User: #420124 > *.^.^.*| *Socialmente justo, economicamente viável e tecnologicamente > sustentável* > > ICQ: 200-860-628 - Whatsapp: 91 9253-2087 - Skype: luisteixeira25 > > Em 19 de maio de 2016 01:26, Lucas Castro <lucascastrobor...@gmail.com> > escreveu: > >> Por favor, >> Colocar parte relevante do log (| grep named?), use o >> http://paste.debian.net/ ou outro. >> verifique se a hora e fusorarios estão corretos. >> >> veja o que retora em >> 'dig debian.org @208.67.222.222 +short' e >> >> 'dig debian.org @127.0.0.1 +short' >> >> firewall? >> OUTPUT porta udp 53? e retorno na INPUT aceita? >> >> tenta mudar a politica padrão para teste. >> iptables -P INPUT ACCEPT >> iptables -P OUTPUT ACCEPT >> >> >> On 17-05-2016 18:48, Luis Augusto Teixeira wrote: >> >> Na realidade é um net que entra na interface 1 e o servidor debian é o >> gateway da rede. >> Já verifiquei e não é o modem. >> Em 17/05/2016 17:33, "Leandro de Lima Camargo" <leandrobach...@gmail.com> >> escreveu: >> >>> Sim. >>> Em meu caso, uso os servidores a.ntp.br e b.ntp.br do Registro BR. >>> >>> Quanto ao DNS, vi que você usa seu ADSL como DNS server também. >>> Já conferiu ele? Não há nada de errado dele? >>> Como ele está servindo de gateway pra sua rede, o problema pode estar >>> nele. >>> >>> Bom, deu a entender que ele é o gateway. Não sei se é mesmo... >>> >>> >>> >>> Atenciosamente, >>> >>> *Leandro de Lima Camargo* >>> +55 (35) 9 9904-0220 >>> *skype: *leandrolimacamargo >>> >>> On May 17, 2016, at 17:05, Luis Augusto Teixeira < >>> luisteixeir...@gmail.com> wrote: >>> >>> Vou fazer os testes e depois respondo. >>> Sobre as configurações que postei dos arquivos, ntp.conf e >>> named.conf.options, estão corretas? >>> Em 17/05/2016 16:47, "Leandro de Lima Camargo" < >>> <leandrobach...@gmail.com>leandrobach...@gmail.com> escreveu: >>> >>>> Quando parou, qual destino você pingou? >>>> Pois se foi algum nome de domínio, o DNS está funcionando corretamente >>>> ou é cache da tua máquina. >>>> >>>> Quando parar: >>>> - Veja se resolve algum nome (dig +short <http://www.globo.com/> >>>> www.globo.com ou nslookup www.globo.com); >>>> - Confirme se a porta UDP/53 está aberta no servidor; >>>> - Acompanhe as requisições via logs e via tcpdump (tcpdump -i >>>> $INTERFACE udp port 53); >>>> >>>> >>>> >>>> >>>> >>>> Atenciosamente, >>>> >>>> *Leandro de Lima Camargo* >>>> +55 (35) 9 9904-0220 >>>> *skype: *leandrolimacamargo >>>> >>>> On May 17, 2016, at 16:33, Guimarães Faria Corcete DUTRA, Leandro < >>>> l...@dutras.org> wrote: >>>> >>>> 2016-05-17 16:30 GMT-03:00 Luis Augusto Teixeira < >>>> <luisteixeir...@gmail.com>luisteixeir...@gmail.com>: >>>> >>>> A internet pára, nenhum navegador abre qualquer página, pinga mas não >>>> navega, sem proxy, pra voltar ao normal, tinha que parar o bind e ntp. >>>> Vejam o primeiro link que postei no inicio. >>>> >>>> >>>> /etc/resolv.conf ? >>>> >>>> >>>> -- >>>> skype:leandro.gfc.dutra?chat Yahoo!: ymsgr:sendIM?lgcdutra >>>> +55 (61) 3546 7191 gTalk: xmpp:leand...@jabber.org >>>> +55 (61) 9302 2691 ICQ/AIM: aim:GoIM?screenname=61287803 >>>> BRAZIL GMT−3 MSN: msnim:chat? <contact=lean...@dutra.fastmail.fm> >>>> contact=lean...@dutra.fastmail.fm >>>> >>>> >>>> >>> >> >
