Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ? Aqui ele só é acessivel pelo msjava, que não existe mais e por isso mantemos uma virtual machine com win98. Segundamente, voce deve configurar o navegador para não usar proxy para o loopback (127.0.0.1), parece esquisito, mas a aplicação java usa internet com esse endereço (suportamente) remoto.
Aqui eu disponho de regras diferentes para o site da CAIXA : echo "Liberando sites da caixa.gov.br..." $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d cmt.caixa.gov.br -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d webp.caixa.gov.br -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d www.caixa.gov.br -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d caixa.gov.br -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d obsupgdp.caixa.gov.br -j MASQUERADE # conectividade social echo "Liberando IPs conhecidos da caixa.gov.br" # debug : # $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j MASQUERADE # $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d 200.201.162.0/24 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d 200.201.166.0/24 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d 200.201.173.0/24 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d 200.201.174.0/24 -j MASQUERADE EXTERNAL=eth0 (externa) INTERNAL_NET=192.168.1.0/24 Os endereços de destino eu peguei do site da receita, já faz um tempo. Outros endereços IPs governamentais (federal, estadual, prefeitura) são complicadores porque eles mudam e não avisam. E a menos que voce use netstat ou tcpdump não tem como descobrir porque a documentação eles também não atualizam. Assim, na maioria das vezes que posso uso masquerade desde que eu saiba o IP. 2009/3/3 "Flávio R. Lopes" <[email protected]>: > Olá galera. > Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e > tentei implementar as diversas soluções que achei no GOOGLE, mas estou com > algumas dificuldades!! > > Antes vou lhes passar os detalhes das configurações: > Num cliente meu implementei um Proxy(Squid) Autenticado. > - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta) > manualmente. > - No firewall tambem coloquei uma regra para redirecionar o tráfego para a > porta do proxy, para que se algum espertinho tirar as configurações dos > Browsers ele não consiga navegar!!. A baixo segue a regra: > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 8080 > > Agora começa a briga! > Das regras para colocar no firewall que achei na Net(Google) deram certo só > quando era Proxy Transparente. > Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu > caso. Abaixo seguem elas: > ## LIBERA TRAFEGO NA PORTA 80 > $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT > $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT > $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT > $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT > $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT > $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT > > ## LIBERA TRAFEGO DA LAN NA PORTA 2631 > $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT > > ## LIBERA O TRAFEGO PARA uma Maquina no RH > $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT > $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT > $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT > > > # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE > $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80 > -j RETURN > $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80 > -j RETURN > $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80 > -j RETURN > > # REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE > $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 > -j REDIRECT --to-port 8080 > $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 > -j REDIRECT --to-port 8080 > > Onde: > CAIXA=200.201.173.68 > CAIXA2=200.201.166.200 > CAIXA3=200.201.174.207 > CAIXA4=200.201.174.0/24 > lan=192.168.1.0/24 > rh=192.168.1.10 > > Obs: Estas regras foram colocadas ANTES da regra que faz o redirecionamento > para a porta do Proxy!!! > > Agora para deixar eu maluco de vez: > Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue efetuar > a troca de chaves e conecta normalmente na Conectividade Social!!, Até aí > ótimo...resolve parcialmente meu problema! > > O problema é que ao tentar fazer uma tranferência usando o programa > (instalado no computador) da SEFIP - Envio do RE (Selo) dá um erro na hora > do envio dizendo que "a máquina sem conexão com a internet." > > Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar dos > browsers a configuração para passar pelo Proxy aí funciona tudo !!! > > Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO?? > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
