Derrepente para conexao remota

raschadeck
(usa Ubuntu)

Enviado em 03/06/2011 - 11:18h

Olá, tenho um servidor proxy firewall bem simples.

O meu firewall basicamente redireciona a 80 para a3128 elibera algumas portas eips que preciso para conexoes remotas e servicoes da caixa...


meu squid basicamente autentica pela base do AD do Wserver, gera relatorios pelo sarg e bloqueia sites e palavrinhas para alguns grupos de usuários.


Estou com o seguinte problema
semana passada na quinta feira aconteceu a mesma coisa.

Estavam todos trabalhando, na conexao remota com a datasul (app remota)
e derrepente nao abre mais a conexao remota, o outlook para e o anti virus nao atualiza

porém ainternet funciona perfeitamente.

pensei: -"cache lotado"
NAO, zerei as duas vezes e nada adiantou

na semana passada simplesmente liguei amaquina nooutro dia e funcionou... espero que se eu ligar daqui a pouco tbm liguei... pqtodos estao na internet diretamente pelo modem, sem firewall... semseguranca nenhuma

alguem sabe o q q pode ser???

Grato, Rafael Schadeck./

n4t4n
(usa Arch Linux)

Enviado em 04/06/2011 - 13:05h

você usa partição /tmp separada? se sim veja o espaço que ela tem.

df -h

raschadeck
(usa Ubuntu)

Enviado em 06/06/2011 - 08:57h

Está tudo em uma mesma partiçao de 63 GB.

n4t4n
(usa Arch Linux)

Enviado em 06/06/2011 - 18:27h

Fazia idéia que fosse a partição /tmp separada com um tamanho pequeno e que enchia rápido, mas não é o caso então.

Sua partição tem quanto de epaço livre (em %)?

df -h

Leve em conta que 5% da partição é reservado para o root (por padrão), mas você pode mudar isso. Toda vez que o computador é reiniciado o tmp é limpo, então o que faz sentido ser é a partição estar lotada. Verifique também o tamanho do cache configurado no seu squid.conf

Fora isso analise a probabilidade de estarem tentando invadir o servidor e tome as precauções necessárias.

raschadeck
(usa Ubuntu)

Enviado em 07/06/2011 - 08:32h

em porcentagem...

está 87% livre ^^

se fosse isso, garanto, ja estaria solucionado...

O meu squid.conf ta setado para 512MB

mas assim, quando lota(passa dos 512), as vezes trava mesmo.

mas no caso q eu to falando aqui, se eu zero o cache e dou um squid -z
ele fica zeradinho e ainda assim continua travando as conexoes remotas...




...
vamos supor q tem alguem tentando invadir.
como q eu sei, q rastros ele iria deixar???

n4t4n
(usa Arch Linux)

Enviado em 07/06/2011 - 17:20h

Agora se for problema de invasão não sei te dizer, pois apesar de gostar e estudar segurança ainda não tenho conhecimento suficiente para identificar esse tipo de ataque.

raschadeck
(usa Ubuntu)

Enviado em 08/06/2011 - 08:40h

Teria alguma coisa em algum .log ou sei la...

q eu possa averiguar???

Duvido muiuto q seja algo como uma invasão, pois aempresa até 3 semanas atrás, nem firewall tinha, e nunca tinha tido um caso de invasão, e justo agora q coloquei um firewall (teoricamente muito mais seguro) nao seria muito provavel q isso acontecesse, mas queria averiguar

sei q ja foge do topico, mas se alguem souber ai como ver, alguma rastro, ou pista de alguma invasao, favor postar aí...


ou mesmo alguma outra idéia sobre o q estáacontecendo.


Grato, Rafael Schadeck

_di0
(usa FreeBSD)

Enviado em 08/06/2011 - 17:58h

Olá, tente iniciar o squid em debug mode:

squid -Ncd1

Talvez isso o ajude a obter maiores informações.

Dúvidas, leia a documentação ou o "man" do squid para esses e outros parâmetros.

raschadeck
(usa Ubuntu)

Enviado em 10/06/2011 - 09:13h

hoje, sexta feira, o q acontece????

servidor CAI

cai nao, acontece o q ja disse aqui, nao entra nas conexoes remotas e alguns sites com autenticacoes java tbm nao...
obs: ate ontem tava tudo okay, mas segunda feira qndo eu ligar vai estar tudo bem tbm...
so aocntece sexta feira.


SEMPRE sexta feira

nao tenho idéna do q pode ser


mais alguma idéia pessoal?

(estou direto no modem, se eu ligar o firewall, acesso aqui no vivaolinux, mas minhas conexoes remotas nao, estou sem seguranca pessoal, me ajudem por favor.)


grato a todos.

n4t4n
(usa Arch Linux)

Enviado em 10/06/2011 - 10:54h

Você tem alguma coisa agendada no cron para ser executada nas sextas-feiras. Pode estar dando conflito e estar derrubando teu firewall.

Faz o teste. Quando teu servidor parar execute os comandos abaixo e veja se todas as suas regras de firewall aparecem

iptables -nL

iptables -nL -t nat

iptables -nL -t mangle