Nie działają strony allegro i tk.krakow.pl. Reszta działa

Triniti888 · 26 Wrzesień 2010 17:21

Witam. Mam następujący problem. Posiadam router, który dzieli łącze w domu, serwer, który jest podłączony pod router i udostępnia mi połączenie internetowe (tylko mnie). Działają na nim takie usługi jak SSH, DHCP, Squid, Firewall itd. I teraz jest tak. Gdy mój komputer jest podłączony pod serwer to gdy wpisze w przeglądarkę http://www.allegro.pl lub http://www.tk.krakow.pl (strona www mojej szkoły) to przeglądarka zgłasza, że serwer jest niedostępny. Ale jeżeli podłącze mój komputer bezpośrednio do routera, to owe wyżej wymienione strony działają. Czy coś jest zrypane w konfiguracji serwera. Taka sytuacja wystąpiła nagle. Podaje tutaj konfigurację pliku interfaces oraz iptables. Serwer stoi pod Debianem Lenny.

Interfaces:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).


# The loopback network interface

auto lo

iface lo inet loopback


#Sieciówka, do której podłączony jest mój komputer

pre-up /etc/network/duplex

iface eth0 inet static

    address 192.0.0.1

    netmask 255.0.0.0

auto eth0


#błędny wpis - wstawiony w celu zapewnienia zgodności

auto eth3

iface eth3 inet dhcp


#druga karta sieciowa

pre-up /etc/network/duple

iface eth1 inet static

address 193.0.0.1

netmask 255.0.0.0

gateway 193.0.0.1

broadcast 193.0.0.255

network 193.0.0.0

auto eth1


#wpis błędny - wstawiony w celu zapewnienia zgodności

auto eth4

iface eth4 inet dhcp


#karta, dzięki której jest internet

pre-up /etc/network/dup

iface eth5 inet dhcp

auto eth5

Iptables

#wlaczenie w kernelu forwardowania

echo 1 > /proc/sys/net/ipv4/ip_forward

#czyszczenie starych regul

iptables -F

iptables -X

iptables -t nat -X

iptables -t nat -F

#ustawienia polityki dzialania

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

#zezwolenie na laczenie sie z serwerem

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -o lo -j ACCEPT

iptables -A FORWARD -o eth1 -j ACCEPT

iptables -A FORWARD -o eth0 -j ACCEPT

iptables -A FORWARD -o eth5 -j ACCEPT

#poleczenia nazwiazane

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#udostepanianie neta

iptables -t nat -A POSTROUTING -s 192.0.0.0/8 -j MASQUERADE

iptables -A FORWARD -s 192.0.0.0/8 -j ACCEPT

iptables -t nat -A POSTROUTING -s 193.0.0.0/8 -j MASQUERADE

iptables -A FORWARD -s 193.0.0.0/8 -j ACCEPT

#linie dopisane dla dodatkowego bezpieczenstwa sieci


#ochorna przed atakami smurf

/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts


#brak akceptacji dla pakietow source route

/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route


#brak przyjmowania pakietow icmp redicet, mogoacych zmienic tablice routingu

/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects


#wylaczenie blednych komunikatow icmp error

/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


#blokada przed atakami syn flooding

/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies


#dodatkowe eguly zabezpieczajace

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP 


#przekierowanie dla proxy

iptables -t nat -A PREROUTING -i eth5 -p tcp --dport 80 -j REDIRECT --to-ports 10028



#odblokowany port 80

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p udp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT


#odblokowany port 8080

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -p udp --dport 8080 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT

iptables -A OUTPUT -p udp --dport 8080 -j ACCEPT


#odblokowane porty samby

iptables -A INPUT -p udp --dport 137 -j ACCEPT

iptables -A OUTPUT -p udp --dport 137 -j ACCEPT

iptables -A INPUT -p udp --dport 138 -j ACCEPT

iptables -A OUTPUT -p udp --dport 138 -j ACCEPT

iptables -A INPUT -p udp --dport 139 -j ACCEPT

iptables -A OUTPUT -p udp --dport 193 -j ACCEPT

iptables -A INPUT -p tcp --dport 445 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 445 -j ACCEPT



#dodatkowy port proxy

iptables -A INPUT -p tcp --dport 10028 -j ACCEPT

iptables -A INPUT -p udp --dport 10028 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 10028 -j ACCEPT

iptables -A OUTPUT -p udp --dport 10028 -j ACCEPT 

#port ssl

iptables -A INPUT -p tcp --dport 10030 -j ACCEPT

iptables -A INPUT -p udp --dport 10030 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 10030 -j ACCEPT

iptables -A OUTPUT -p udp --dport 10030 -j ACCEPT



#port dla webmina

iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

iptables -A INPUT -p udp --dport 10000 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 10000 -j ACCEPT

iptables -A OUTPUT -p udp --dport 10000 -j ACCEPT


#port dla ssh

iptables -A INPUT -p tcp --dport 10050 -j ACCEPT

iptables -A INPUT -p udp --dport 10050 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 10050 -j ACCEPT

iptables -A OUTPUT -p udp --dport 10050 -j ACCEPT



#porty dla torrentow testowe


iptables -A INPUT -p tcp --dport 6890:6999 -j ACCEPT

iptables -A INPUT -p udp --dport 6890:6999 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 6890:6999 -j ACCEPT

iptables -A OUTPUT -p udp --dport 6890:6999 -j ACCEPT

roobal · 26 Wrzesień 2010 18:29

Spróbuj zrobić tak, zamień tamtą regułę:

iptables -t nat -A PREROUTING -i eth5 -p tcp --dport 80 -j REDIRECT --to-ports 10028

na

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 10028

albo zamień to jeszcze na:

iptables -t nat -A PREROUTING -i eth5 -p tcp --dport 80 -j DNAT --to-destination adres_ip:10028

Taka mała uwaga, skoro masz:

iptables -P OUTPUT ACCEPT

To ta reguła jest mało znacząca:

iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

I znacznie bezpieczniejszym rozwiązanie byłoby zrobić tak:

iptables -P OUTPUT DROP

natomiast tamtą regułę zamienić na:

iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

Takie rozwiązanie jest o tyle bezpieczniejsze, że zapora sieciowa działa na takiej zasadzie, że najpierw sprawdzane są reguły, a dopiero na samym końcu polityka bezpieczeństwa. Dzieję się tak, dlatego że, jeśli pakiet nie odpowiada żandej regule, to decyzja o losie pakietu zapada na podstawie polityki bezpieczeństwa i, jeśli nie pasuje do reugł, zostanie odrzucony, a u Ciebie - zaakceptowany

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 18:48

Niestety nie pomaga. Dodatkowo te strony nie działają niezależnie od proxy. Przepraszam, że zapomniałem dodać, ale od 24 czerwca, bo od tego dnia stoi ten serwer wszystko działało normalnie. Dopiero dzisiaj coś mu się stało. Nie była zmieniana żadna konfiguracja.

roobal · 26 Wrzesień 2010 18:49

Aktualizowałeś może system na serwerze?

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 18:51

Tak, w piątek była aktualizacja, ale nie pamiętam dokładnie jaki pakiet. Wiem, że był jeden.

roobal · 26 Wrzesień 2010 18:52

Przejrzyj logi Apta/Aptitude w /var/log/apt, być może jest jest jeszcze zapisane w logach co się aktualizowało.

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 18:56

Tak przy okazji jeszcze sprawdziłem pingi na serwerze i obydwie te strony nie zgłaszają żadnej odpowiedzi. Co do logó to zaraz sprawdzę.

Ostatnia aktualizacja dotyczyła libbz2-1.0

roobal · 26 Wrzesień 2010 18:58

Tak, właśnie też pomyślałem o pingach, być może coś blokuje te strony. Sprawdź jeszcze /etc/host.deny czy czasem nie ma tam adresów tych stron, np. jeśli korzystasz z denyhosts.

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 19:01

W pliku /etc/host.deny są tylko komentarze. Nie ma tam żadnego adresu strony.

roobal · 26 Wrzesień 2010 19:04

A w samym Squidzie coś zmieniałeś?

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 19:07

Nie. Odkąd postawiłem ten serwer, czyli w czerwcu tak wszystko chodziło do tej pory. Ale dodam jeszcze, że nawet jak Squida wyłączę i puszę bez proxy to i tak te strony nie działają. Zastanawia mnie tylko jeden fakt. Obie te strony mają takie same numer początku ip czyli 193. Allegro - 193.23.48.134 i tk.krakow.pl - 193.218.153.73. Ja zaś mam jedną z podsieci o numerze ip 193.0.0.0. Czy to też może jakoś wpływać, czy to czysty zbieg w okoliczności ?

roobal · 26 Wrzesień 2010 19:15

Jeśli mają domyślną maskę podsieci dla tej klasy adresów, czyli 255.255.255.0 to nie powinno być konfliktu. Sprawdź może jeszcze ustawienia samego Squida i konfigurację routera.

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 19:19

Squid nie ma nic do tego. Jeżeli go wyłączę i puszcze połączenie bez proxy, to strony nadal się nie wyświetlają a inne chodzą. Co do routera to jest ok. Jak podłącze mój komputer bezpośrednio kablem z routerem to owe strony śmigają.

roobal · 26 Wrzesień 2010 19:33

Pokaż mi jeszcze wynik polecenia su -c iptables-save.

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 19:42

Oto wynik polecenia:

# Generated by iptables-save v1.4.2 on Sun Sep 26 21:42:51 2010

*nat

:PREROUTING ACCEPT [7387]

:POSTROUTING ACCEPT [2147]

:OUTPUT ACCEPT [2424]

-A PREROUTING -i eth5 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.0.0.1:10028

-A PREROUTING -i eth5 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 10028

-A POSTROUTING -s 192.0.0.0/8 -j MASQUERADE

-A POSTROUTING -s 193.0.0.0/8 -j MASQUERADE

COMMIT

# Completed on Sun Sep 26 21:42:51 2010

# Generated by iptables-save v1.4.2 on Sun Sep 26 21:42:51 2010

*filter

:INPUT DROP [0]

:FORWARD DROP [0]

:OUTPUT DROP [0]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG ACK -j DROP

-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP

-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p udp -m udp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT

-A INPUT -p udp -m udp --dport 8080 -j ACCEPT

-A INPUT -p udp -m udp --dport 137 -j ACCEPT

-A INPUT -p udp -m udp --dport 138 -j ACCEPT

-A INPUT -p udp -m udp --dport 139 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10028 -j ACCEPT

-A INPUT -p udp -m udp --dport 10028 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10030 -j ACCEPT

-A INPUT -p udp -m udp --dport 10030 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

-A INPUT -p udp -m udp --dport 10000 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10050 -j ACCEPT

-A INPUT -p udp -m udp --dport 10050 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 6890:6999 -j ACCEPT

-A INPUT -p udp -m udp --dport 6890:6999 -j ACCEPT

-A FORWARD -o lo -j ACCEPT

-A FORWARD -o eth1 -j ACCEPT

-A FORWARD -o eth0 -j ACCEPT

-A FORWARD -o eth5 -j ACCEPT

-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.0.0.0/8 -j ACCEPT

-A FORWARD -s 193.0.0.0/8 -j ACCEPT

-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 80 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 8080 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 137 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 138 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 193 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 445 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 10028 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 10028 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 10030 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 10030 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 10000 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 10000 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 10050 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 10050 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 6890:6999 -j ACCEPT

-A OUTPUT -p udp -m udp --dport 6890:6999 -j ACCEPT

COMMIT

roobal · 26 Wrzesień 2010 19:48

Reguły wyglądają, że są w dobrej kolejności. Hmmm… nic mi więcej nie przychodzi na razie do głowy, co może być nie tak. Może popytaj jeszcze w dziale, dotyczącym sieci komputerowych, szczególnie czy istnieje ten konflikt IP, choć mi się wydaje, że nie, szczególnie, że piszesz iż wcześniej wszystko działało ale nie jestem na 100% pewien, a co kilka głów, to nie jedna

Pozdrawiam!

Triniti888 · 26 Wrzesień 2010 20:01

Ja póki co daje sobie z tym spokój, gdyż jutro wybywam do internatu. Dopiero w piątek wezmę się z kopyta za to. Bardzo dziękuje za chęć pomocy.

P.S Sugestie dotyczące rozwiązania tego problemu można nadal zgłaszać.

estes · 27 Wrzesień 2010 19:50

Czy ja dobrze widzę, czy Ty jesteś właścicielem klasy adresów 193.0.0.0/8???

Coś chyba przesadziłeś. Skonfigurowałeś interfejs na sieć 193.0.0.0 z maską 255.0.0.0, a właścicielem tej adresacji to ty nie jesteś na bank.

Jeżeli ten interfejs jest od strony publicznej to ładnie narobiłeś…

Allegro jest właścicielem min. adresacji 193.23.48.0 - 193.23.48.255 czyli 193.23.48.0/24 czyli według twojej konfiguracji Allegro stoi u Ciebie a ty masz ponad 16 milionów publicznych adresów IP !

Jakbyś tak miał bgp i rozgłosił taką trasę (że masz całą adresację 193.0.0.0/8) to byś zabił internet w Polsce i na świecie częściowo również

Triniti888 · 28 Wrzesień 2010 18:52

To dlaczego jak wyłączę podsieć w serwerze DHCP to te strony nadal się nie otwierają ? W DHCP mam ustawione dwie podsieci: 192.0.0.0/8 i właśnie 193.0.0.0/8. Sam osobiście też podejrzewam konflikt adresów, ale według mnie jeżeli wyłączył bym tą podsieć to wszystko powinno wrócić do normy, tu się dzieje ciągle to samo.

estes · 28 Wrzesień 2010 19:52

Ale przecież Ty w ogóle nie możesz tej podsieci używać, bo adresacja którą opisałeś interfejs nie jest Twoja.

Przecież trasa do 193.0.0.1, który jest adresem publicznym klacy C, kończy się w Amsterdamie (bo właścicielem tego adresu jest Ripe)

Analizuję drogę przejścia pakietów do 193.0.0.1 :


HOST: my1.home.net.pl Loss% Snt Last Avg Best Wrst StDev

  1. gate1.home.net.pl 0.0% 5 0.5 0.5 0.4 0.6 0.1

  2. xe-2-1.gate-lim.home.net.pl 0.0% 5 0.8 2.7 0.7 7.8 3.1

  3. 212.73.253.129 0.0% 5 0.7 0.8 0.7 0.9 0.1

  4. ae-11-11.car2.Warsaw1.Level3 0.0% 5 0.7 0.7 0.7 0.9 0.1

  5. ae-5-5.ebr2.Berlin1.Level3.n 0.0% 5 10.4 14.0 10.4 20.7 4.9

  6. ae-3-3.ebr2.Dusseldorf1.Leve 0.0% 5 21.9 21.9 21.9 22.0 0.1

  7. ae-46-46.ebr1.Amsterdam1.Lev 0.0% 5 24.8 24.9 24.8 25.2 0.1

  8. ae-19-51.sar1.Amsterdam1.Lev 0.0% 5 25.4 25.0 24.7 25.4 0.3

  9. ??? 100.0 5 0.0 0.0 0.0 0.0 0.0