Pessoal,
Bom, pelo "manuel" do CSN o problema � que este acesso n�o pode passar por
um proxy (Squid).
Aqui na empresa configurei e funcionou da seguinte maneira:
-> estas regras t�m que ser carregadas depois do handling do protocolo IP e
das portas TCP/UDP, por�m antes de qquer IP forwarding(routing). Resumindo
antes de mascarar qquer coisa sacaram?
#minha rede
NET1="192.168.1.0/24"
#host java com encriptacao porta 80, etc tarara, tarara, tarara.CSN da
caixa.....
NET2="200.194.179.90"
iptables -A PREROUTING -t nat -s $NET1 -d ! $NET2 -p tcp --dport 80 -j
REDIRECT --to-ports 3128
iptables -A PREROUTING -t nat -s $NET1 -d ! $NET2 -p tcp --dport 3128 -j
REDIRECT --to-ports 3128
iptables -A input_int -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -s
$NET1 -d 0/0 -p tcp --dport 80
iptables -A input_int -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -s
$NET1 -d 0/0 -p tcp --dport 3128
Com essas regras eu redireciono minha rede para o squid 3128 e quando eh pro
host da CSN vai direto....
Funciona 100%.
=============================
[]'s
anckerDJ
Ancker comes from Pinguim Family 8-)
Linux user # 298484 - Machine # 183686
=============================
Esta mensagem, incluindo seus anexos, pode conter informa��es privilegiadas
e/ou de car�ter confidencial, n�o podendo ser retransmitida sem autoriza��o
do remetente. Se voc� n�o � o destinat�rio ou pessoa autorizada a receb�-la,
informamos que o seu uso, divulga��o, c�pia ou arquivamento s�o proibidos.
Portanto, se voc� recebeu esta mensagem por engano, por favor, nos informe
respondendo imediatamente a este e-mail e em seguida apague-a.
----- Original Message -----
From: <[EMAIL PROTECTED]>
To: "Paulo Roberto Oliveira Junior" <[EMAIL PROTECTED]>; "Carlos
Eduardo" <[EMAIL PROTECTED]>
Cc: "linux-br" <[EMAIL PROTECTED]>
Sent: Tuesday, November 18, 2003 2:20 PM
Subject: Re: (linux-br)Duvida entre iptables e Caixa Economica
> Peguei a conversa no meio do caminho.
>
> Mas estou com um problema parecido:
>
> O IP 10.40.40.37 da minha rede interna precisa acessar o site da Caixa,
> servi�o Conectividade Social/Empregador.
> Por�m no "manual do administrador de redes"
> (http://downloads.caixa.gov.br/Empresa/_arquivos/Informacoes_CNS-E11.pdf)
> fala que n�o pode passar por proxy*** como o squid, tem que ser um nat
> direto, para nao tratar a criptografia como um arquivo corrompido, coisa
> assim.
>
> Eu uso o squid na minha rede e fa�o transparent proxy.
> LAN_IFACE="eth0"
> $IPTABLES -t nat -A PREROUTING -p tcp -i $LAN_IFACE --dport 80 -j
> REDIRECT --to-port 3128
>
> O que preciso:
> liberar acesso do ip 10.40.40.37 sem passar pelo squid apenas para os
> endere�os especidicos do sistema da caixa, e deixar que o acesso aos
outros
> sites passem pelo squid.
>
> Estou lendo, fu�ando, mas nada. Iptables ainda n�o entrou na cabe�a...
> (apesar de muita leitura, ta dificil aprender ele!!! alguma dica?)
>
> IPQUENAOQUERO="10.40.40.37"
> $IPTABLES -t nat -A PREROUTING -s $IPQUENAOQUERO -p tcp -i
> $LAN_IFACE --dport 80 -d ! 200.201.174.202 -j REDIRECT --to-port 3128
>
> Essa regra n�o funcionou....
>
> Podem me dar uma m�o???
>
> Obrigado e aguardo!!!
>
> []s heinkki
> range: 200.201.174.202~200.201.174.202
> -----------
> ***A Applet Java utiliza a porta 80 para se comunicar com a parte
servidora
> da aplica��o, mas ao
> contr�rio do que parece, o protocolo utilizado n�o � o HTTP. Por este
> motivo, � necess�rio se criar
> um t�nel pelo firewall que interligue uma subnet na intranet(IPs
inv�lidos)
> a rede conectividade
> defina por um range de IPs de m�scara 200.201.174.0. Neste t�nel, n�o pode
> ser aplicado nenhum
> tipo de filtro HTTP j� que o protocolo utilizado n�o � HTTP e sim um
> protocolo propriet�rio baseado
> em SSLv2.
> -----------------------
>
>
>
>
> --------------------------------------------------------------------------
-
> Esta lista � patrocinada pela Conectiva S.A. Visite
http://www.conectiva.com.br
>
> Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
> Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
> FAQ: http://www.zago.eti.br/menu.html
>
>
>
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
