Sim, todos eles autenticam usando smb_auth num servidor PDC Samba assim : auth_param basic program /usr/lib/squid/smb_auth -W DOMINIO -U 192.168.1.2 auth_param basic children 50 auth_param basic realm "Autenticacao para internet corporativa" auth_param basic credentialsttl 120 minute
A autenticacao é no servidor SAMBA, mas a partir da semana que vem eles terao de autenticar num dominio AD windows 2003, por isso, eu tô pesquisando a diferença entre autenticacao smb_auth e ntlm. A rede é mixta e tem de tudo : windows 98, win2000, linux e winxp. Se alguem souber qual é essa diferença por gentileza reply-me. 2009/3/3 "Flávio R. Lopes" <[email protected]>: > Olá Hamacker, obrigado pelo reply. > Viu, deixa te fazer uma pergunta. > Seu Squid é Autenticado? Ou seja, estas regras funcionam com o Squid > Autenticado? > > hamacker escreveu: >> >> Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ? >> Aqui ele só é acessivel pelo msjava, que não existe mais e por isso >> mantemos uma virtual machine com win98. >> Segundamente, voce deve configurar o navegador para não usar proxy >> para o loopback (127.0.0.1), parece esquisito, mas a aplicação java >> usa internet com esse endereço (suportamente) remoto. >> >> Aqui eu disponho de regras diferentes para o site da CAIXA : >> echo "Liberando sites da caixa.gov.br..." >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> cmt.caixa.gov.br -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> webp.caixa.gov.br -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> www.caixa.gov.br -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> caixa.gov.br -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> obsupgdp.caixa.gov.br -j MASQUERADE >> # conectividade social >> echo "Liberando IPs conhecidos da caixa.gov.br" >> # debug : >> # $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j >> MASQUERADE >> # $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j >> MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> 200.201.162.0/24 -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> 200.201.166.0/24 -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> 200.201.173.0/24 -j MASQUERADE >> $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d >> 200.201.174.0/24 -j MASQUERADE >> >> EXTERNAL=eth0 (externa) >> INTERNAL_NET=192.168.1.0/24 >> Os endereços de destino eu peguei do site da receita, já faz um tempo. >> Outros endereços IPs governamentais (federal, estadual, prefeitura) >> são complicadores porque eles mudam e não avisam. E a menos que voce >> use netstat ou tcpdump não tem como descobrir porque a documentação >> eles também não atualizam. Assim, na maioria das vezes que posso uso >> masquerade desde que eu saiba o IP. >> >> >> 2009/3/3 "Flávio R. Lopes" <[email protected]>: >> >>> >>> Olá galera. >>> Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei >>> e >>> tentei implementar as diversas soluções que achei no GOOGLE, mas estou >>> com >>> algumas dificuldades!! >>> >>> Antes vou lhes passar os detalhes das configurações: >>> Num cliente meu implementei um Proxy(Squid) Autenticado. >>> - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta) >>> manualmente. >>> - No firewall tambem coloquei uma regra para redirecionar o tráfego para >>> a >>> porta do proxy, para que se algum espertinho tirar as configurações dos >>> Browsers ele não consiga navegar!!. A baixo segue a regra: >>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT >>> --to-port 8080 >>> >>> Agora começa a briga! >>> Das regras para colocar no firewall que achei na Net(Google) deram certo >>> só >>> quando era Proxy Transparente. >>> Pesquisando mais, achei as seguintes regras que resolveram parcialmente >>> meu >>> caso. Abaixo seguem elas: >>> ## LIBERA TRAFEGO NA PORTA 80 >>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT >>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT >>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT >>> >>> ## LIBERA TRAFEGO DA LAN NA PORTA 2631 >>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT >>> >>> ## LIBERA O TRAFEGO PARA uma Maquina no RH >>> $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT >>> $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT >>> >>> >>> # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE >>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport >>> 80 >>> -j RETURN >>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport >>> 80 >>> -j RETURN >>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport >>> 80 >>> -j RETURN >>> >>> # REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE >>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport >>> 80 >>> -j REDIRECT --to-port 8080 >>> $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport >>> 80 >>> -j REDIRECT --to-port 8080 >>> >>> Onde: >>> CAIXA=200.201.173.68 >>> CAIXA2=200.201.166.200 >>> CAIXA3=200.201.174.207 >>> CAIXA4=200.201.174.0/24 >>> lan=192.168.1.0/24 >>> rh=192.168.1.10 >>> >>> Obs: Estas regras foram colocadas ANTES da regra que faz o >>> redirecionamento >>> para a porta do Proxy!!! >>> >>> Agora para deixar eu maluco de vez: >>> Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue >>> efetuar >>> a troca de chaves e conecta normalmente na Conectividade Social!!, Até aí >>> ótimo...resolve parcialmente meu problema! >>> >>> O problema é que ao tentar fazer uma tranferência usando o programa >>> (instalado no computador) da SEFIP - Envio do RE (Selo) dá um erro na >>> hora >>> do envio dizendo que "a máquina sem conexão com a internet." >>> >>> Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar >>> dos >>> browsers a configuração para passar pelo Proxy aí funciona tudo !!! >>> >>> Alguém pode me ajudar?..Como resolvo esta parada usando PROXY >>> ANTENTICADO?? >>> >>> >>> -- >>> To UNSUBSCRIBE, email to [email protected] >>> with a subject of "unsubscribe". Trouble? Contact >>> [email protected] >>> >>> >>> >> >> >> > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
