SSH externo parando após um tempo  [RESOLVIDO]

Fórum destinado a discussões gerais e ajuda aos usuários do BrazilFW 2.x, para os idiomas (Inglês, Espanhol, Português e outros)
BrazilFW 2.x - Ayuda en general (todos los idiomas)
Foro de discusión general y ayudar a los usuarios BrazilFW 2.x para idiomas (Inglés, español, portugués y otros)
BrazilFW 2.x - Help in General (All Languages)
Forum for general discussions and help for users of BrazilFW 2.x, for languages (English, Spanish, Portuguese and others)

SSH externo parando após um tempo  [RESOLVIDO]

Mensagempor fabi0_sa » Qui Mai 23, 2013 11:05 am

Bom dia amigos do forum tenho um bfw na versão 2.32.2 e estou tendo problemas em acessa-lo pela internet , e antes quando não possuia ip fixo
eu utilizava dns dinâmico e acessava sem problemas a qualquer hora mas vamos lá:

Ja ativei e desativei em o ssh externo em configurações administrativas e não volta de jeito nenhum o serviço so reiniciando o bfw
e o mais interessante é que possuo wts e o acesso externo do wts continua funcionando quando o ssh para. Este wts está na frente do bfw.

Tem um loadbalance tplink r488t (atrás do bfw) que encaminha as conexoes da porta 223 (ssh) para o ip "externo" do bfw acredito que não seja ele o problema.

O ssh externo geralmente para de um dia para o outro pois aqui fica ligado direto, aí quando reinicío ele volta a acessar.

O ssh local sempre funciona.

Fiz uma restauração nele a um mês atrás, perdi minhas configurações e importei de um bkp, talvez alguma regra de firewall que era essencial se perdeu nesse processo.

Pesquisei no fórum e não encontrei situações parecidas com a minha por isso resolvi abrir o tópico se algúem puder me ajudar ou postar aqui situações parecidas com esta
eu agradeço.
fabi0_sa
 

Re: SSH externo parando após um tempo

Mensagempor Paulo2 » Qui Mai 23, 2013 7:18 pm

Olá fabi0_sa , habilitar o ssh externo nas "Configurações Administrativas" cria uma regra
no firewall que libera o acesso de qualquer origem para qualquer destino na placa WAN do BFW,
com as portas 1024:65535 de origem e 22 de destino, mas essa regra só entra em vigor depois
que vc recarrega o firewall.
No BFW acho que é só essa configuração necessária para acesso externo do ssh, além de poder
mudar a porta 22.
Talvez em outro equipamento falte alguma configuração, como redirecionar ou abrir porta.
O estranho é que tem acesso mas depois pára, se não tivesse nenhum acesso talvez fosse
mais fácil procurar onde é o problema.
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: SSH externo parando após um tempo

Mensagempor fabi0_sa » Sex Mai 24, 2013 9:38 am

Acho que sei oque está acontecendo mas não sei como resolver:

Eu utilizo dois perfis um de horario normal e outro de horario livre, ao meio dia ele faz a troca e eu utilizo um comando de iptables -F(para limpar as regras de bloqueio de https) quando entra esse horario livre, depois quando volta pro horario normal ele só carrega o perfil horario normal e a regra de ssh até aparece no relatório de regras ativas mas não funciona o acesso externo.


Horarionormal ---> horario livre = ssh ok
*/5 * * * * mysar --quiet --groupdomains
1 7 * * * dhcp.reload
0 7 * * * firewall. reload
4 * * * * /bin/sh /partition/servico.sh (monitora ssh)
59 11 * * * profile.load horariolivre
58 11 * * * /bin/sh /partition/liberar.sh (iptables -f)
59 23 * * * squid -k rotate

Horario livre -----> horarionormal = ssh externo falha

*/5 * * * * mysar --quiet --groupdomains
1 7 * * * dhcp.reload
0 7 * * 1,2,3,4,5 firewall. reload
59 23 * * * squid -k rotate
4 * * * 1,2,3,4,5 /bin/sh /partition/servico.sh
28 13 * * * profile.load horarionormal
2 12 * * * /bin/sh /partition/liberar.sh (se falhar ele rodará denovo as 12:02)


Horario normal (aí retorna esse perfil com essa cron)

*/5 * * * * mysar --quiet --groupdomains
1 7 * * * dhcp.reload
0 7 * * * firewall. reload
4 * * * * /bin/sh /partition/servico.sh (monitora ssh)
59 11 * * * profile.load horariolivre
58 11 * * * /bin/sh /partition/liberar.sh (iptables -f)
59 23 * * * squid -k rotate
fabi0_sa
 

Re: SSH externo parando após um tempo

Mensagempor Paulo2 » Sex Mai 24, 2013 11:44 am

No "Horarionormal" das 7:00 até 11:58(ou 59) o ssh tem acesso externo?
E no "horario livre" das 11:59 até 13:28 o acesso externo falha?
Na volta do "Horarionormal" às 13:28 o acesso externo volta? É isso? :o!

O que o script "/partition/servico.sh" faz? Veja que os scripts que são executados
para entrar no "horariolivre" são o próprio perfil "horariolivre" , o "liberar.sh" e
o "servico.sh" , já que ele é executado aos quatro minutos de cada hora.

O script /partition/liberar.sh só limpa o firewall com iptables -F , ou faz mais alguma coisa?
Esse comando não é necessário porque o carregamento de um perfil já faz isso.

Confirme o seguinte nas configurações do perfil "horariolivre":
Se tem acesso externo ao ssh. A regra no arquivo "/etc/coyote/firewall" deve ser essa
Código: Selecionar todos
admin Y permit tcp int-if any 22 1024:65535 #Example - Permit external SSH access

No arquivo-mestre do BFW "/etc/coyote/coyote.conf" deve estar habilitado o ssh. Verifique também a porta,
se não for a padrão 22 vc tem que indicar a porta quando for acessar remotamente.
Código: Selecionar todos
ENABLE_EXTERNAL_SSH='YES'
SSH_PORT='22'
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: SSH externo parando após um tempo

Mensagempor fabi0_sa » Sex Mai 24, 2013 6:00 pm

No "Horarionormal" das 7:00 até 11:58(ou 59) o ssh tem acesso externo?

Sim tem acesso externo
E no "horario livre" das 11:59 até 13:28 o acesso externo falha?

Não. Ele continua com acesso externo funcionando.
Na volta do "Horarionormal" às 13:28 o acesso externo volta? É isso?

Não, aí ele falha, aqui acontece o problema.
O que o script "/partition/servico.sh" faz?

Ele cuida do ssh, verifica de 4 em 4 minutos, se o serviço parar ele levanta.

Veja que os scripts que são executados
para entrar no "horariolivre" são o próprio perfil "horariolivre" , o "liberar.sh" e
o "servico.sh" , já que ele é executado aos quatro minutos de cada hora.

O script /partition/liberar.sh só limpa o firewall com iptables -F , ou faz mais alguma coisa?
Esse comando não é necessário porque o carregamento de um perfil já faz isso.

Sim ele só limpas todas as regras do firewall, eu preciso disso pois de um perfil para o outro ele não limpa as regras de bloqueio a https.
A solução foi utilizar esse comando, eu realmente tive esse problema, ele simplesmente não carregava as regras do horariolivre no firewall
já as dos Squid funcionam bem.
Confirme o seguinte nas configurações do perfil "horariolivre":
Se tem acesso externo ao ssh. A regra no arquivo "/etc/coyote/firewall" deve ser essa
Code: Select alladmin Y permit tcp int-if any 22 1024:65535 #Example - Permit external SSH access

Sim nos dois perfis eu tenho essa regra no firewall.
No arquivo-mestre do BFW "/etc/coyote/coyote.conf" deve estar habilitado o ssh. Verifique também a porta,
se não for a padrão 22 vc tem que indicar a porta quando for acessar remotamente.
Code: Select allENABLE_EXTERNAL_SSH='YES'
SSH_PORT='22'

Sim essa regra existe eu uso a porta 223 esta de acordo com o que você mencionou.

O problema ocorre na troca de perfil de horariolivre para horarionormal as 13:28, a regra de acesso remoto de ssh até aparece em regras ativas do firewall e em configurações avançadas de firewall mas parece não ter mais efeito, o acesso local de ssh continua funcionando.
fabi0_sa
 

Re: SSH externo parando após um tempo

Mensagempor fabi0_sa » Sex Mai 24, 2013 6:17 pm

Agora simulei as trocas e ocorreu o problema do acesso externo quando voltei do horario livre para o horarionormal.
mas aí rodei o iptables -F no horarionormal com problema e o acesso externo Funcionou!! como pode isso ??? limpando todas as regras ele volta a acessar de fora?


As regras de http que utilizo são essas

##############################
# HTTPS - Lista Negra
##############################
iptables -I FORWARD -p tcp --dport 443 -j ACCEPT
for URL in `grep -v "^#" /etc/https.wl`; do
iptables -I FORWARD -p tcp --dport 443 -d $URL -j DROP
done
##############################
fabi0_sa
 

Re: SSH externo parando após um tempo

Mensagempor Paulo2 » Sáb Mai 25, 2013 2:04 am

Tem razão, o "firewall.reload" não limpa as regras da chain FORWARD, isso que eu postei está errado.
Paulo2 escreveu:O script /partition/liberar.sh só limpa o firewall com iptables -F , ou faz mais alguma coisa?
Esse comando não é necessário porque o carregamento de um perfil já faz isso.

se as regras fossem incluídas na chain "user-filter", aí sim o firewall.reload limparia.



fabi0_sa escreveu:mas aí rodei o iptables -F no horarionormal com problema e o acesso externo Funcionou!! como pode isso ??? limpando todas as regras ele volta a acessar de fora?

Sim, porque vc limpou toda a tabela com o iptables -F :mrgreen:
então não existem regras que bloqueiem o acesso.
Veja em "Ferramentas de Diagnóstico - Regras Ativas do Firewall" , ou iptables -L :mrgreen:
tabela completamente vazia.

O problema é , como o mesmo perfil "horarionormal" de manhã tem acesso externo e depois
carregado de tarde não tem? >|
Acho que o melhor é vc refazer os perfis deixando o ssh com acesso externo nos dois, que é
o que vc quer, não é?
Comente a linha da tarefa do "servico.sh" referente ao ssh, que esperamos não seja mais necessária.

No horário livre, o liberar.sh roda 12:02 e só 13:28 o firewall é recarregado, então nesse período
o BFW não tem nenhuma regra ativa na tabela de filtros :shock:

ps. vi agora que a tarefa "0 7 * * * firewall. reload" tem um espaço entre o firewall. e reload, isso foi erro
de digitação só aqui no post?
Se estiver escrito assim no cron vai dar erro, o nome do script é sem espaço "firewall.reload"
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: SSH externo parando após um tempo

Mensagempor fabi0_sa » Qui Jun 06, 2013 6:30 pm

Não não está escrito correto no cron, foi só na hora de colar aqui que ficou com espaço,
tentei incluir essas regras manualmente hoje para ver se o acesso voltava
iptables -I remote-admin -p tcp -i eth1 -d 0.0.0.0/0 --dport 223 --sport 1024:65535 -j ACCEPT
iptables -D remote-admin -p tcp -i eth1 -d 0.0.0.0/0 --dport 223 --sport 1024:65535 -j ACCEPT
Mas não volta não, e o acesso externo do wts também parou.
Eu queria saber oque faz esses acessos externos voltarem a funcionar quando eu reinicío o bfw , porque daí poderia deixar isso agendado no cron
após as mudanças de perfis.
fabi0_sa
 

Re: SSH externo parando após um tempo

Mensagempor fabi0_sa » Qui Jun 06, 2013 7:23 pm

Diferença que percebi no relatório de regras ativas quando a acessos externos e quando acontece o problema, só percebi diferenças
neste pedaço do relatório o resto fica tudo igual.


Eu fiz o seguinte, reiniciei o bfw os acessos voltaram a funcionar tirei um relatório de regras ativas

Chain INPUT (policy ACCEPT 7 packets, 410 bytes)
pkts bytes target prot opt in out source destination
8131 786K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
13 650 remote-admin all -- * * 0.0.0.0/0 0.0.0.0/0
13 650 user-filter all -- * * 0.0.0.0/0 0.0.0.0/0
13 650 if-filter all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW

Dei o comando Iptables -F limpou as regras, depois apliquei o comando firewall.reload (as regras voltam porém os acessos externos não funcionam mais) e tirei outro relatório

Chain INPUT (policy ACCEPT 8192K packets, 4455M bytes)
pkts bytes target prot opt in out source destination
319 39562 if-filter all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW

Eu não intendo de iptables pode ser que não ajude muito mas foi o que percebi de diferença no momento que há acesso externo e quando não há.
fabi0_sa
 

Re: SSH externo parando após um tempo

Mensagempor Paulo2 » Sex Jun 07, 2013 11:51 am

Para evitar o "iptables -F" faça o seguinte, substitua o "FORWARD" por "access-acl" nessas regras
Código: Selecionar todos
##############################
# HTTPS - Lista Negra
##############################
iptables -I FORWARD -p tcp --dport 443 -j ACCEPT
for URL in `grep -v "^#" /etc/https.wl`; do
iptables -I FORWARD -p tcp --dport 443 -d $URL -j DROP
done
##############################

e comente todas as linhas no cron que rodam "/partition/liberar.sh (iptables -f)"
Mudando de FORWARD pra access-acl, as regras podem ser eliminadas
com o carregamento do perfil (que roda o firewall.reload). Teste e veja se funciona.
Desse jeito vc elimina o iptables -F que realmente parece bagunçar o firewall,
pois nem rodando "rc.firewall" as coisas parecem voltar ao normal.



fabi0_sa escreveu:tentei incluir essas regras manualmente hoje para ver se o acesso voltava
iptables -I remote-admin -p tcp -i eth1 -d 0.0.0.0/0 --dport 223 --sport 1024:65535 -j ACCEPT
iptables -D remote-admin -p tcp -i eth1 -d 0.0.0.0/0 --dport 223 --sport 1024:65535 -j ACCEPT

Se vc executou essas regras uma logo em seguida da outra, uma anulou a outra :o!
A opção -I inclui a regra e -D deleta se for exatamente a mesma.



fabi0_sa escreveu:o acesso externo do wts também parou.

Mas esse é um problema do BFW? No primeiro post vc relatou que o wts
está na frente do BFW, entendi que o wts está entre o link da internet e
o BFW confere?



fabi0_sa escreveu:Eu não intendo de iptables pode ser que não ajude muito mas foi o que percebi de diferença no momento que há acesso externo e quando não há.

Ajudou :o! depois de um "iptables -F" parece que nem o "rc.firewall" carrega o firewall como é quando o BFW inicia.
Se vc quiser ler sobre iptables, tem um tutorial aqui no fórum http://www.brazilfw.com.br/forum/viewtopic.php?f=80&t=67305
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: SSH externo parando após um tempo

Mensagempor fabi0_sa » Seg Jun 17, 2013 2:27 pm

Resolvido :D :D :D :D
Fiz como vc falou removi o forward e coloquei access-acl, parei de usar o Iptables -F,está funcionando perfeito o acesso externo nas trocas de perfis e regras de https.

##############################
# HTTPS - Lista Negra
##############################
iptables -I access-acl -p tcp --dport 443 -j ACCEPT
for URL in `grep -v "^#" /etc/https.wl`; do
iptables -I access-acl -p tcp --dport 443 -d $URL -j DROP
done
##############################

Muito obrigado Paulo2 :aplause: :aplause: :aplause: :aplause: ,resolveu esse problemaço que me incomodava a algum tempo. Obrigado a todos da Brazilfw. :o!
fabi0_sa
 


Voltar para BrazilFW 2.x - Ajuda em Geral (Todas as Línguas)

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 7 visitantes

cron