boa noite amigos, segue abaixo o log, meu firewal é bem simples basicamente compartilha conexão, segue também abaixo.
resultado do comando tail -f /var/log/syslog | grep named May 19 19:04:16 servidor named[10284]: validating @0xb43cf0f8: cdnjs.cloudflare.com AAAA: got insecure response; parent indicates it should be secure May 19 19:04:16 servidor named[10284]: error (insecurity proof failed) resolving 'cdnjs.cloudflare.com/AAAA/IN': 208.67.220.220#53 May 19 19:04:17 servidor named[10284]: validating @0xb4003160: cdnjs.cloudflare.com AAAA: got insecure response; parent indicates it should be secure May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) resolving 'cdnjs.cloudflare.com/AAAA/IN': 208.67.222.222#53 May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.220.220#53 May 19 19:04:17 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure May 19 19:04:17 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.222.222#53 May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure May 19 19:04:18 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.222.222#53 May 19 19:04:18 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure May 19 19:04:18 servidor named[10284]: error (insecurity proof failed) resolving './NS/IN': 208.67.220.220#53 May 19 19:04:18 servidor named[10284]: validating @0xb33c0030: com SOA: got insecure response; parent indicates it should be secure May 19 19:04:18 servidor named[10284]: error (no valid RRSIG) resolving ' createjs.com/DS/IN': 208.67.220.220#53 May 19 19:04:19 servidor named[10284]: validating @0xb3ac0030: com SOA: got insecure response; parent indicates it should be secure May 19 19:04:19 servidor named[10284]: error (no valid RRSIG) resolving ' newrelic.com/DS/IN': 208.67.220.220#53 May 19 19:04:19 servidor named[10284]: validating @0xb4003160: . NS: got insecure response; parent indicates it should be secure arquivo /etc/init.d/firewall echo "Carregando o firewall..." # Abre para uma faixa de endereços da rede local iptables -A INPUT -p tcp --syn -s 192.168.13.0/255.255.255.0 -j ACCEPT # Abre para a rede local #iptables -A INPUT -s 192.168.13.0/255.255.255.0 -j ACCEPT # Fecha as portas 53/UDP e 53/TCP para os demais: #iptables -A INPUT -p udp --dport 53 -j DROP #iptables -A INPUT -p tcp --dport 53 -j DROP # Abre uma porta (inclusive para a Internet) iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT # Portas ntp iptables -A INPUT -p udp --dport 123 -j ACCEPT # abre porta do proxy #iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT # Ignora pings #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all # Proteções diversas contra portscanners, ping of death, ataques DoS, etc. iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCE$ iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -$ iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP # Abre para a interface de loopback. iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT # Compartilha a conexão modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # Ignora qualquer pacote de entrada, vindo de qualquer endereço, a menos que espe$ iptables -A INPUT -p tcp --syn -j DROP echo "Firewall carregado..." att. Luis Teixeira *.ºvº*. | Linux, porque eu amo a liberdade! */(L)\* | Linux User: #420124 *.^.^.*| *Socialmente justo, economicamente viável e tecnologicamente sustentável* ICQ: 200-860-628 - Whatsapp: 91 9253-2087 - Skype: luisteixeira25 Em 19 de maio de 2016 01:26, Lucas Castro <lucascastrobor...@gmail.com> escreveu: > Por favor, > Colocar parte relevante do log (| grep named?), use o > http://paste.debian.net/ ou outro. > verifique se a hora e fusorarios estão corretos. > > veja o que retora em > 'dig debian.org @208.67.222.222 +short' e > > 'dig debian.org @127.0.0.1 +short' > > firewall? > OUTPUT porta udp 53? e retorno na INPUT aceita? > > tenta mudar a politica padrão para teste. > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > > > On 17-05-2016 18:48, Luis Augusto Teixeira wrote: > > Na realidade é um net que entra na interface 1 e o servidor debian é o > gateway da rede. > Já verifiquei e não é o modem. > Em 17/05/2016 17:33, "Leandro de Lima Camargo" <leandrobach...@gmail.com> > escreveu: > >> Sim. >> Em meu caso, uso os servidores a.ntp.br e b.ntp.br do Registro BR. >> >> Quanto ao DNS, vi que você usa seu ADSL como DNS server também. >> Já conferiu ele? Não há nada de errado dele? >> Como ele está servindo de gateway pra sua rede, o problema pode estar >> nele. >> >> Bom, deu a entender que ele é o gateway. Não sei se é mesmo... >> >> >> >> Atenciosamente, >> >> *Leandro de Lima Camargo* >> +55 (35) 9 9904-0220 >> *skype: *leandrolimacamargo >> >> On May 17, 2016, at 17:05, Luis Augusto Teixeira < >> luisteixeir...@gmail.com> wrote: >> >> Vou fazer os testes e depois respondo. >> Sobre as configurações que postei dos arquivos, ntp.conf e >> named.conf.options, estão corretas? >> Em 17/05/2016 16:47, "Leandro de Lima Camargo" < >> <leandrobach...@gmail.com>leandrobach...@gmail.com> escreveu: >> >>> Quando parou, qual destino você pingou? >>> Pois se foi algum nome de domínio, o DNS está funcionando corretamente >>> ou é cache da tua máquina. >>> >>> Quando parar: >>> - Veja se resolve algum nome (dig +short <http://www.globo.com/> >>> www.globo.com ou nslookup www.globo.com); >>> - Confirme se a porta UDP/53 está aberta no servidor; >>> - Acompanhe as requisições via logs e via tcpdump (tcpdump -i $INTERFACE >>> udp port 53); >>> >>> >>> >>> >>> >>> Atenciosamente, >>> >>> *Leandro de Lima Camargo* >>> +55 (35) 9 9904-0220 >>> *skype: *leandrolimacamargo >>> >>> On May 17, 2016, at 16:33, Guimarães Faria Corcete DUTRA, Leandro < >>> l...@dutras.org> wrote: >>> >>> 2016-05-17 16:30 GMT-03:00 Luis Augusto Teixeira < >>> <luisteixeir...@gmail.com>luisteixeir...@gmail.com>: >>> >>> A internet pára, nenhum navegador abre qualquer página, pinga mas não >>> navega, sem proxy, pra voltar ao normal, tinha que parar o bind e ntp. >>> Vejam o primeiro link que postei no inicio. >>> >>> >>> /etc/resolv.conf ? >>> >>> >>> -- >>> skype:leandro.gfc.dutra?chat Yahoo!: ymsgr:sendIM?lgcdutra >>> +55 (61) 3546 7191 gTalk: xmpp:leand...@jabber.org >>> +55 (61) 9302 2691 ICQ/AIM: aim:GoIM?screenname=61287803 >>> BRAZIL GMT−3 MSN: msnim:chat? <contact=lean...@dutra.fastmail.fm> >>> contact=lean...@dutra.fastmail.fm >>> >>> >>> >> >