[FUG-BR] Bloqueios de logins no SERPRO depois de atualização do FreeBSD
Marcelo Gondim
gondim em bsdinfo.com.br
Quarta Fevereiro 20 11:27:42 BRT 2013
Em 19/02/13 22:37, Marcelo Gondim escreveu:
> Em 19/02/13 19:50, Patrick Tracanelli escreveu:
>> Em 19/02/2013, às 19:33, Oscar Marques <oscarbm em gmail.com> escreveu:
>>
>>> Tenho sim, com a equipe toda.
>>> Fui o primeiro gerente da SISEG no Rio de Janeiro uns 3 anos atras, fiquei
>>> 1 ano no cargo e ainda continuo prestando trabalhos a area.
>>> Hoje eu sou de outro setor mas tenho transito livre pra tentar ajudar esse
>>> problema.
>>> Eu atualmente estou focado em SI, Mobile e Robotica (desenvolvo VANTs pra
>>> uso Civil e Militar)
>>> Voce nao deve lembrar de mim mas a gente se conheceu acho que no VOLDAY
>>> quando palestramos la em Niteroi (eu era aquele barbudo com cavanhaque
>>> estilo Bin Laden, agora ja mudei o visual).
>>> Aproveitando a thread, convido a todos para minha proxima palestra que sera
>>> em Brasilia num evento 0800.
>>> http://www.cyber-security-meeting.com/palestrantes/
>>> Peco desculpas aos moderadores por colar o link mas deixo claro que nao
>>> tenho intencao alguma em fazer SPAM aqui e muito menos desrespeitar as
>>> regras da lista (quem me conhece deve lembrar de mim no #freebsd da Brasnet
>>> (epoca do tzk, quicktime, bzero, Breno_BSD, Patrick e etc...)), papo de 10
>>> anos atras.
>>> Eu creio que deve ser algo do FreeBSD mas conta comigo no que puder ajudar
>>> visto que eu e toda a empresa estamos sempre empenhados em resolver os
>>> problemas.
>>> Vamos nos falando, vou te passar meu email corporativo pra gente se falar
>>> pelos meios oficiais.
>>> Abracos a todos.
>> Grande Oscar, quanto tempo hein? Um dia temos que fazer um re-IRContro do #FreeBSD/Brasnet hehehe tem muita pérola pra ser contada daquela época. Eu tenho uns 6 anos de logs daquele canal, tem evidência pra colocar em questão a ética de graaandes personagens do cenário atual de TI especialmente na área de SI hahahaha :P mas claro ta há 7 chaves (de 512bits cada kkk).
>>
>> Gondim, seguinte, sugiro começar desabilitando toda e qualquer regra de normalização ou detecção de anomalia primeiro (scrub, reass, frag, …); grandes possibilidades de ser uma delas. Eu tive problemas com scrub em DNSSEC por causa de no-df aós ir do 8 pro 9. Entre outros problemas com pf do 8 pro 9. Esse é o primeiro item do checklist, o segundo é evitar, se vc tiver regras que usem o muff tag (altq, tag, netgraph, se possível setfib).
>>
>> 90% de chance de conseguir diagnóstico só com essas pequenas intervenções; ai da pra correr atrás da causa raiz; pfctl -d é 100% de chance de tudo se resolver (huauhahua maldade, mas com aquele pingo de verdade ;-) se possível apenas ipfw sugiro fortemente.
> Opa Patrick!!
>
> Então, eu uso lá o ipfw mas sem reass, só filtro mesmo mas uso o setfib
> no ipfw porque lá tenho mais de um link. :) O PF só uso para fazer nat
> mesmo.
> Mas já atualizei o 9.1-STABLE lá e vou verificar como vai ficar amanhã.
> Se não tiver jeito, faço o downgrade pra 8.3 mas seria muito triste isso.
>
> Grande abraço
É pessoal, atualização refeita e nada, continua dando problema. Mas fico
realmente na dúvida se isso pode ser problema no sistema. Só vou ter
certeza voltando para a versão 8.3.
Acho estranho porque o cliente diz que mesmo mandando deslogar no
Siscomex, o usuário fica lá como se tivesse logado e usando.
Pode ser algum problema no state da conexão? Só se for algo assim, mas
putz que M se for isso.
>> Abraços.
>>
>> --
>> Patrick Tracanelli
>>
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 em sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>>
>>
>>
>>> Em 19 de fevereiro de 2013 17:43, Marcelo Gondim
>>> <gondim em bsdinfo.com.br>escreveu:
>>>
>>>> Em 19/02/13 17:26, Oscar Marques escreveu:
>>>>> Ola.
>>>>> Qualquer coisa da um toque que eu entro em contato com a equipe de FW pra
>>>>> te ajudar nessa.
>>>>> Abracos.
>>>> Opa Oscar,
>>>>
>>>> Você tem contato com o pessoal de Firewall do Serpro?
>>>> Estou fazendo uma nova atualização pra testar e ver se resolve mas achei
>>>> estranho estar acontecendo isso com os acessos ao Siscomex. Internet
>>>> está normal.
>>>> Não mexi em regras de ipfw e pf, estou usando as mesmas que usava na
>>>> versão 8.3, só fiz mesmo a atualização.
>>>>
>>>>> Em 19 de fevereiro de 2013 17:15, Marcelo Gondim
>>>>> <gondim em bsdinfo.com.br>escreveu:
>>>>>
>>>>>> Olá pessoal,
>>>>>>
>>>>>> Sei que o que vou narrar aqui não deveria acontecer, mas minha cabeça
>>>>>> não encontro algum sentido para o que está ocorrendo.
>>>>>> Tenho um cliente que é importador e tem conexão direta com o SERPRO para
>>>>>> acessar o Siscomex. O Firewall dele era um FreeBSD 8.3 amd64 de onde
>>>>>> saem os 2 links para Internet (Embratel e GVT) e o link para o SERPRO
>>>>>> (Siscomex). Tudo funcionava muito bem mas coincidentemente ou não,
>>>>>> depois que atualizei o sistema para FreeBSD 9.1-STABLE, os logins (CPFs)
>>>>>> de acesso ao Siscomex deles volta e meia ficam presos no Siscomex sendo
>>>>>> necessário ligar para o SERPRO e pedir o desbloqueio deles. Isso só
>>>>>> ocorre através deles e depois que fiz essa atualização. Com um cliente
>>>>>> deles que acessa o Siscomex via VPN com o Firewall FreeBSD também está
>>>>>> tendo o mesmo problema.
>>>>>>
>>>>>> Estou fazendo uma nova atualização no FreeBSD 9.1-STABLE para ver se
>>>>>> esse sintoma pára. Mas alguém já viu algo parecido acontecer?
>>>>>> Na pior das hipóteses vou fazer um downgrade para a 8.3 novamente.
>>>>>>
>>>>>> Grande abraço,
>>>>>> Gondim
>>>>>>
>
Mais detalhes sobre a lista de discussão freebsd