[ubuntu-ec] [ASLE] Inquietud

José Miguel Parrella Romero bureado en debian.org
Mie Mar 23 17:09:05 UTC 2011


Quoting "zepolar en gmail.com" <zepolar en gmail.com>:

> Tengo un servidor que tiene un comportamiento super extraño. Cuando intento
> acceder a este equipo via ssh, el servidor no me responde. Yo tengo
> configurado en el servidor reglas de fw donde le permito a mi ip acceder a
> este servidor, y el servicio ssh esta corriendo.
>
> Lo más inusual es que cuando bajo las reglas de fw, el equipo si accede.
> Levanto las reglas de fw y vuelvo a intentar ingresar y si accede. Cuando
> reinicio el equipo, se cae todo. Ya no me deja acceder.
>
> Como observe este comportamiento, lo que hice fue colocar a todo input la
> politica de ACCEPT. En teoria se supone que me deberia dejar pasar, pero
> cuando reinicie el equipo con las nuevas politicas (grabadas) no me deja
> acceder.

¿Estás seguro que el servidor no te está respondiendo? ¿Probaste  
haciendo un telnet al puerto 22 para ver si te responde OpenSSH?  
OpenSSH puede tener activa la resolución DNS reversa para los clientes  
que se están conectando. Si tu FW es muy restrictivo, puede que esa  
resolución DNS no se esté haciendo lo cual está generando retraso en  
las respuestas del server.

Prueba con el telnet, y si logras descartarlo, permite que tu servidor  
haga conexiones salientes al puerto 23 por protocolo UDP,  
opcionalmente limitándolo al servidor o servidores DNS que tengas  
definido en tu /etc/resolv.conf.

Por otra parte, en una gran cantidad de las configuraciones de  
iptables hechas a mano resulta futil colocar la política de INPUT a  
ACCEPT para hacer pruebas, ya que normalmente tienes algunas reglas  
antes del comportamiento default que van a atajar la solicitud.

Me preocupa que mencionas que al subir tu firewall todo funciona, pero  
cuando reinicias, deja de funcionar. ¿Cómo estás cargando el firewall  
al inicio? Una práctica común es cargarlas en /etc/rc.local o en algún  
servicio Sys-V que pongas a correr en tu /etc/init.d.

Además, ¿utilizas algún parámetro del núcleo para lograr tus objetivos  
de networking? Mucha gente usa proc.sys.net.ipv4.forward para permitir  
el reenvío de paquetes IPv4 entre interfaces. Quizás tu script dependa  
de uno de esos parámetros y se está perdiendo al reiniciar.

No creo que se trate de un tema de módulos, ya que alrededor del año  
2007 la mayoría de las distros implementaron mecanismos serios y  
modernos para la carga de módulos del núcleo. Usualmente cuando llamas  
a iptables se hace una carga on demand de los módulos necesarios. Pero  
dependiendo de tu escenario podría ser una posibilidad, en todo caso  
prueba los temas anteriores.

HTH,

José Miguel Parrella Romero, Debian Developer
Quito, EC | www.bureado.com | Twitter/Identi.ca @bureado | PGP 0x88D4B7DF

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.



Más información sobre la lista de distribución Ubuntu-ec