Olá Luis, Como está usa OUTPUT do firewall? Acho que irá gostar do pacote netfilter-persistent.
iptables-save > filrewall e coloca no paste.debian.net. tenta fazer uma requisição de algum client com dig mesmo. dig @ip.do.serv.local debian.org +short tenta não passar pelo proxy, apenas por teste, ou abrir alguma página https, caso não passe https pelo proxy. On 19-05-2016 22:15, Luis Augusto Teixeira wrote: > luis@servidor:~$ dig debian.org <http://debian.org> @208.67.222.222 > <http://208.67.222.222> +short > 5.153.231.4 > 128.31.0.62 > 130.89.148.14 > 140.211.15.34 > 149.20.20.22 > luis@servidor:~$ dig debian.org <http://debian.org> @127.0.0.1 > <http://127.0.0.1> +short > 149.20.20.22 > 5.153.231.4 > 128.31.0.62 > 130.89.148.14 > 140.211.15.34 > > > > > > att. > Luis Teixeira > * > * > *.ºvº*. | Linux, porque eu amo a liberdade!* * > */(L)\* | Linux User: #420124 > *.^.^.*| *Socialmente justo, economicamente viável e tecnologicamente > sustentável* > * > * > ICQ: 200-860-628 -Whatsapp: 91 9253-2087 - Skype: luisteixeira25* > * > > Em 19 de maio de 2016 20:15, Luis Augusto Teixeira > <luisteixeir...@gmail.com <mailto:luisteixeir...@gmail.com>> escreveu: > > boa noite amigos, > > segue abaixo o log, meu firewal é bem simples basicamente > compartilha conexão, segue também abaixo. > > > resultado do comando tail -f /var/log/syslog | grep named > > May 19 19:04:16 servidor named[10284]: validating @0xb43cf0f8: > cdnjs.cloudflare.com <http://cdnjs.cloudflare.com> AAAA: got > insecure response; parent indicates it should be secure > May 19 19:04:16 servidor named[10284]: error (insecurity proof > failed) resolving 'cdnjs.cloudflare.com/AAAA/IN > <http://cdnjs.cloudflare.com/AAAA/IN>': 208.67.220.220#53 > May 19 19:04:17 servidor named[10284]: validating @0xb4003160: > cdnjs.cloudflare.com <http://cdnjs.cloudflare.com> AAAA: got > insecure response; parent indicates it should be secure > May 19 19:04:17 servidor named[10284]: error (insecurity proof > failed) resolving 'cdnjs.cloudflare.com/AAAA/IN > <http://cdnjs.cloudflare.com/AAAA/IN>': 208.67.222.222#53 > May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . > NS: got insecure response; parent indicates it should be secure > May 19 19:04:17 servidor named[10284]: error (insecurity proof > failed) resolving './NS/IN': 208.67.220.220#53 > May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . > NS: got insecure response; parent indicates it should be secure > May 19 19:04:17 servidor named[10284]: error (insecurity proof > failed) resolving './NS/IN': 208.67.222.222#53 > May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . > NS: got insecure response; parent indicates it should be secure > May 19 19:04:18 servidor named[10284]: error (insecurity proof > failed) resolving './NS/IN': 208.67.222.222#53 > May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . > NS: got insecure response; parent indicates it should be secure > May 19 19:04:18 servidor named[10284]: error (insecurity proof > failed) resolving './NS/IN': 208.67.220.220#53 > May 19 19:04:18 servidor named[10284]: validating @0xb33c0030: > com SOA: got insecure response; parent indicates it should be secure > May 19 19:04:18 servidor named[10284]: error (no valid RRSIG) > resolving 'createjs.com/DS/IN <http://createjs.com/DS/IN>': > 208.67.220.220#53 > May 19 19:04:19 servidor named[10284]: validating @0xb3ac0030: > com SOA: got insecure response; parent indicates it should be secure > May 19 19:04:19 servidor named[10284]: error (no valid RRSIG) > resolving 'newrelic.com/DS/IN <http://newrelic.com/DS/IN>': > 208.67.220.220#53 > May 19 19:04:19 servidor named[10284]: validating @0xb4003160: . > NS: got insecure response; parent indicates it should be secure > > arquivo /etc/init.d/firewall > > echo "Carregando o firewall..." > > # Abre para uma faixa de endereços da rede local > iptables -A INPUT -p tcp --syn -s 192.168.13.0/255.255.255.0 > <http://192.168.13.0/255.255.255.0> -j ACCEPT > > # Abre para a rede local > #iptables -A INPUT -s 192.168.13.0/255.255.255.0 > <http://192.168.13.0/255.255.255.0> -j ACCEPT > > # Fecha as portas 53/UDP e 53/TCP para os demais: > #iptables -A INPUT -p udp --dport 53 -j DROP > #iptables -A INPUT -p tcp --dport 53 -j DROP > > # Abre uma porta (inclusive para a Internet) > iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT > > # Portas ntp > iptables -A INPUT -p udp --dport 123 -j ACCEPT > > # abre porta do proxy > #iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT > > # Ignora pings > #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > # Proteções diversas contra portscanners, ping of death, ataques > DoS, etc. > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit > --limit 1/s -j ACCE$ > iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m > limit --limit 1/s -$ > iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP > > # Abre para a interface de loopback. > iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 > <http://127.0.0.1/255.0.0.0> -j ACCEPT > > # Compartilha a conexão > modprobe iptable_nat > echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > > # Ignora qualquer pacote de entrada, vindo de qualquer endereço, a > menos que espe$ > iptables -A INPUT -p tcp --syn -j DROP > > echo "Firewall carregado..." > > > > > > > att. > Luis Teixeira > * > * > *.ºvº*. | Linux, porque eu amo a liberdade!* * > */(L)\* | Linux User: #420124 > *.^.^.*| *Socialmente justo, economicamente viável e > tecnologicamente sustentável* > * > * > ICQ: 200-860-628 -Whatsapp: 91 9253-2087 - Skype: luisteixeira25* > * > > Em 19 de maio de 2016 01:26, Lucas Castro > <lucascastrobor...@gmail.com <mailto:lucascastrobor...@gmail.com>> > escreveu: > > Por favor, > Colocar parte relevante do log (| grep named?), use o > http://paste.debian.net/ ou outro. > verifique se a hora e fusorarios estão corretos. > > veja o que retora em > 'dig debian.org <http://debian.org> @208.67.222.222 > <http://208.67.222.222> +short' e > > 'dig debian.org <http://debian.org> @127.0.0.1 > <http://127.0.0.1> +short' > > firewall? > OUTPUT porta udp 53? e retorno na INPUT aceita? > > tenta mudar a politica padrão para teste. > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > > > On 17-05-2016 18:48, Luis Augusto Teixeira wrote: >> >> Na realidade é um net que entra na interface 1 e o servidor >> debian é o gateway da rede. >> Já verifiquei e não é o modem. >> >> Em 17/05/2016 17:33, "Leandro de Lima Camargo" >> <leandrobach...@gmail.com <mailto:leandrobach...@gmail.com>> >> escreveu: >> >> Sim. >> Em meu caso, uso os servidores a.ntp.br <http://a.ntp.br> >> e b.ntp.br <http://b.ntp.br> do Registro BR. >> >> Quanto ao DNS, vi que você usa seu ADSL como DNS server >> também. >> Já conferiu ele? Não há nada de errado dele? >> Como ele está servindo de gateway pra sua rede, o >> problema pode estar nele. >> >> Bom, deu a entender que ele é o gateway. Não sei se é >> mesmo... >> >> >> >> Atenciosamente, >> >> *Leandro de Lima Camargo* >> +55 (35) 9 9904-0220 >> *skype: *leandrolimacamargo >> >>> On May 17, 2016, at 17:05, Luis Augusto Teixeira >>> <luisteixeir...@gmail.com >>> <mailto:luisteixeir...@gmail.com>> wrote: >>> >>> Vou fazer os testes e depois respondo. >>> Sobre as configurações que postei dos arquivos, ntp.conf >>> e named.conf.options, estão corretas? >>> >>> Em 17/05/2016 16:47, "Leandro de Lima Camargo" >>> <leandrobach...@gmail.com >>> <mailto:leandrobach...@gmail.com>> escreveu: >>> >>> Quando parou, qual destino você pingou? >>> Pois se foi algum nome de domínio, o DNS está >>> funcionando corretamente ou é cache da tua máquina. >>> >>> Quando parar: >>> - Veja se resolve algum nome (dig +short >>> www.globo.com <http://www.globo.com> ou nslookup >>> www.globo.com <http://www.globo.com/>); >>> - Confirme se a porta UDP/53 está aberta no servidor; >>> - Acompanhe as requisições via logs e via tcpdump >>> (tcpdump -i $INTERFACE udp port 53); >>> >>> >>> >>> >>> >>> Atenciosamente, >>> >>> *Leandro de Lima Camargo* >>> +55 (35) 9 9904-0220 >>> *skype: *leandrolimacamargo >>> >>>> On May 17, 2016, at 16:33, Guimarães Faria Corcete >>>> DUTRA, Leandro <l...@dutras.org <mailto:l...@dutras.org>> >>>> wrote: >>>> >>>> 2016-05-17 16:30 GMT-03:00 Luis Augusto Teixeira >>>> <luisteixeir...@gmail.com >>>> <mailto:luisteixeir...@gmail.com>>: >>>>> A internet pára, nenhum navegador abre qualquer >>>>> página, pinga mas não >>>>> navega, sem proxy, pra voltar ao normal, tinha que >>>>> parar o bind e ntp. >>>>> Vejam o primeiro link que postei no inicio. >>>> >>>> /etc/resolv.conf ? >>>> >>>> >>>> -- >>>> skype:leandro.gfc.dutra?chat Yahoo!: >>>> ymsgr:sendIM?lgcdutra >>>> +55 (61) 3546 7191 >>>> <tel:%2B55%20%2861%29%203546%207191> >>>> gTalk: xmpp:leand...@jabber.org >>>> <mailto:xmpp:leand...@jabber.org> >>>> +55 (61) 9302 2691 >>>> <tel:%2B55%20%2861%29%209302%202691> >>>> ICQ/AIM: aim:GoIM?screenname=61287803 >>>> BRAZIL GMT−3 MSN: >>>> msnim:chat?contact=lean...@dutra.fastmail.fm >>>> <mailto:contact=lean...@dutra.fastmail.fm> >>>> >>> >> > > >
signature.asc
Description: OpenPGP digital signature