Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Rodrigo Germano de Paula]

usando firewall somente a máquina do proxy teria acesso a internet pelas
portas http 80 e https. E nela você configura as ACL's. Vou dar um exemplo
usando horários, em uma rede específica para bloquear sites de redes
sociais, como youtube, facebook twitter

acl rede_academica src 192.168.32.0/24

RESTRICAO de sites por horario academica
acl h_manha_academica time MTWHF  08:00-12:00
acl h_tarde_academica time MTWHF 14:00-18:00
acl sites_hrcomercial_academica url_regex -i
"/etc/squid3/sites_bloq_hrcomercial_academica"
http_access deny rede_academica sites_hrcomercial_academica
h_manha_academica
http_access deny rede_academica sites_hrcomercial_academica
h_tarde_academica
deny_info http://intranet/bloqueio/hrcom.php h_manha_academica
deny_info http://intranet/bloqueio/hrcom.php h_tarde_academica

http_access deny !CONNECT rede_academica sites_hrcomercial_academica
h_manha_academica
http_access deny !CONNECT rede_academica sites_hrcomercial_academica
h_tarde_academica


O bloqueio de https acontece justamente na !connect pois não permite abrir
a conexão SSL com o dito site, sem essa tag o acesso https aconteceria
normalmente iria bloquear somente no http (http_access).

*Rodrigo Germano de Paula*
Técnico em Tecnologia da Informação
IFB Campus Planaltina
Contato: (61) 21962601

Em 22 de janeiro de 2016 10:28, Lucas Castro 
escreveu:

> Eu uso squid+ssl_bump,
> e redireciono todo trafego 80 e 443 para portas especificas configurada
> no proxy.
> http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit
>
> Outra forma de fazer, mas não acho muito interessante,
> é configurar servidor de dns interno, e criar views com as zonas do
> endereços que desejar "bloqueiar"
> e apontar, por exemplo youtube.com, e direcionar para seu servidor
> local, ou pra lugar nenhum.
>
> On 06-01-2016 15:58, Paulo wrote:
> > J., Boa Tarde.
> >
> > Já tive dores de cabeça como esta que está passando.
> > Mas é simples de se resolver.
> >
> > No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy).
> >
> > No proxy basta colocar uma regra que a porta 443 e 80 que rejeite.
> > Exemplos:
> > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT
> > IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT
> Não vejo como isso pode funcionar, pois o trafego que passa pelo
> firewall, não passa pela INPUT, e sim por FORWARD.
> >
> > Para bloquear a todos da rede vai usar o range (Exemplo:
> > 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ].
> >
> > Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1)
> >
> > Para liberar uma máquina não coloque o ip da mesma nas regras de
> > rejeição, contanto que ela não faça parte do range de ip, ou libere o
> > ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT.
> >
> > Consulte se as regras ficaram na ordem desejada com o comando IPTABLES
> > -S ou IPTABLES -n -L
> >
> > As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP)
> > será maior que 30 dias.
> >
> > Assim se um usuário tirar o proxy  do navegador ele não navegará para
> > fora.
> >
> > Espero ter ajudado,
> >
> > Paulo.
> >
> >
> > Em 06/01/2016 16:26, Keppler escreveu:
> >> Boa tarde pessoal.
> >> Estou procurando há um tempão na internet como bloquear sites "https"
> >> e não estou conseguindo, por exemplo, o que está me dando dor de
> >> cabeça é o YOUTUBE!!
> >>
> >> Vou tentar explicar o que já fiz e como é minha estrutura:
> >>
> >> 1) Estrutura: Squid/Proxy autenticando por usuários:
> >> Se o usuários desmarca a solicitação do proxy nos browsers e depois
> >> colocar: https://www.youtube.com aí já era!...eles conseguem navegar.
> >>
> >> 2) Já tentei, via iptables, o seguinte:
> >>
> >> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
> >> $iptables -I FORWARD -i $LAN -m string --algo bm --string
> >> "youtube.com" -j DROP ! -s $ips_liberados
> >> $iptables -I FORWARD -i $LAN -m string --algo bm --string
> >> "twitter.com" -j DROP ! -s $ips_liberados
> >> done
> >>
> >> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda,
> >> com exceção de alguns IPs que estão no arquivo
> >> "/root/Firewall/IPS_LIBERADOS_YOUTUBE"
> >>
> >>
> >> Na verdade, este é umas das tentativas minha, pois tentei diversas
> >> variações dessas regras e não deu certo. O maximo que consegui foi
> >> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor
> >> das vezes, quando consegui liberar para os IPs que eu queria mas
> >> ficar para lenta a navegação, principalmente quando os sites
> >> "mencionam" ou usam algumas APIs do Google.
> >>
> >>
> >> Enfim, o que vocês estão fazendo para solucionar este problema, ou
> >> seja, bloquear o Youtube e somente liberar para algumas máquinas da
> >> rede. isto, claro, de forma eficiente!
> >>
> >> grato,
> >> J.
> >>
> >
>
>

Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Lucas Castro]

Eu uso squid+ssl_bump,
e redireciono todo trafego 80 e 443 para portas especificas configurada
no proxy.
http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit

Outra forma de fazer, mas não acho muito interessante,
é configurar servidor de dns interno, e criar views com as zonas do
endereços que desejar "bloqueiar"
e apontar, por exemplo youtube.com, e direcionar para seu servidor
local, ou pra lugar nenhum.

On 06-01-2016 15:58, Paulo wrote:
> J., Boa Tarde.
>
> Já tive dores de cabeça como esta que está passando.
> Mas é simples de se resolver.
>
> No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy).
>
> No proxy basta colocar uma regra que a porta 443 e 80 que rejeite.
> Exemplos:
> IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT
> IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT
Não vejo como isso pode funcionar, pois o trafego que passa pelo
firewall, não passa pela INPUT, e sim por FORWARD.
>
> Para bloquear a todos da rede vai usar o range (Exemplo:
> 192.168.0.0/24) = [ de 192.168.0.1 até 192.168.0.254 ].
>
> Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1)
>
> Para liberar uma máquina não coloque o ip da mesma nas regras de
> rejeição, contanto que ela não faça parte do range de ip, ou libere o
> ip da mesma antes da regra de rejeição trocando o REJECT por ACCEPT.
>
> Consulte se as regras ficaram na ordem desejada com o comando IPTABLES
> -S ou IPTABLES -n -L
>
> As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP)
> será maior que 30 dias.
>
> Assim se um usuário tirar o proxy  do navegador ele não navegará para
> fora.
>
> Espero ter ajudado,
>
> Paulo.
>
>
> Em 06/01/2016 16:26, Keppler escreveu:
>> Boa tarde pessoal.
>> Estou procurando há um tempão na internet como bloquear sites "https"
>> e não estou conseguindo, por exemplo, o que está me dando dor de
>> cabeça é o YOUTUBE!!
>>
>> Vou tentar explicar o que já fiz e como é minha estrutura:
>>
>> 1) Estrutura: Squid/Proxy autenticando por usuários:
>> Se o usuários desmarca a solicitação do proxy nos browsers e depois
>> colocar: https://www.youtube.com aí já era!...eles conseguem navegar.
>>
>> 2) Já tentei, via iptables, o seguinte:
>>
>> for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
>> $iptables -I FORWARD -i $LAN -m string --algo bm --string
>> "youtube.com" -j DROP ! -s $ips_liberados
>> $iptables -I FORWARD -i $LAN -m string --algo bm --string
>> "twitter.com" -j DROP ! -s $ips_liberados
>> done
>>
>> Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda,
>> com exceção de alguns IPs que estão no arquivo
>> "/root/Firewall/IPS_LIBERADOS_YOUTUBE"
>>
>>
>> Na verdade, este é umas das tentativas minha, pois tentei diversas
>> variações dessas regras e não deu certo. O maximo que consegui foi
>> bloquear todo o acesso, inclusive bloqueando o Google. E na melhor
>> das vezes, quando consegui liberar para os IPs que eu queria mas
>> ficar para lenta a navegação, principalmente quando os sites
>> "mencionam" ou usam algumas APIs do Google.
>>
>>
>> Enfim, o que vocês estão fazendo para solucionar este problema, ou
>> seja, bloquear o Youtube e somente liberar para algumas máquinas da
>> rede. isto, claro, de forma eficiente!
>>
>> grato,
>> J.
>>
>

Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Paulo]

J., Boa Tarde.

Já tive dores de cabeça como esta que está passando.
Mas é simples de se resolver.

No navegador tudo (http e https irá para o ip-do-proxy e porta-do-proxy).

No proxy basta colocar uma regra que a porta 443 e 80 que rejeite.
Exemplos:
IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 80 -j REJECT
IPTABLES -A INPUT -p tcp -s ip-da-maquina_ou_range --dport 443 -j REJECT

Para bloquear a todos da rede vai usar o range (Exemplo: 192.168.0.0/24) 
= [ de 192.168.0.1 até 192.168.0.254 ].


Para bloquear por máquina vai usar o ip-da-maquina (Exemplo: 192.168.0.1)

Para liberar uma máquina não coloque o ip da mesma nas regras de 
rejeição, contanto que ela não faça parte do range de ip, ou libere o ip 
da mesma antes da regra de rejeição trocando o REJECT por ACCEPT.


Consulte se as regras ficaram na ordem desejada com o comando IPTABLES 
-S ou IPTABLES -n -L


As máquinas terão que ter IP fixo, ou o TTL (Tempo de vida do DHCP) será 
maior que 30 dias.


Assim se um usuário tirar o proxy  do navegador ele não navegará para fora.

Espero ter ajudado,

Paulo.


Em 06/01/2016 16:26, Keppler escreveu:

Boa tarde pessoal.
Estou procurando há um tempão na internet como bloquear sites "https" 
e não estou conseguindo, por exemplo, o que está me dando dor de 
cabeça é o YOUTUBE!!


Vou tentar explicar o que já fiz e como é minha estrutura:

1) Estrutura: Squid/Proxy autenticando por usuários:
Se o usuários desmarca a solicitação do proxy nos browsers e depois 
colocar: https://www.youtube.com aí já era!...eles conseguem navegar.


2) Já tentei, via iptables, o seguinte:

for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"youtube.com" -j DROP ! -s $ips_liberados
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"twitter.com" -j DROP ! -s $ips_liberados

done

Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, 
com exceção de alguns IPs que estão no arquivo 
"/root/Firewall/IPS_LIBERADOS_YOUTUBE"



Na verdade, este é umas das tentativas minha, pois tentei diversas 
variações dessas regras e não deu certo. O maximo que consegui foi 
bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das 
vezes, quando consegui liberar para os IPs que eu queria mas ficar 
para lenta a navegação, principalmente quando os sites "mencionam" ou 
usam algumas APIs do Google.



Enfim, o que vocês estão fazendo para solucionar este problema, ou 
seja, bloquear o Youtube e somente liberar para algumas máquinas da 
rede. isto, claro, de forma eficiente!


grato,
J.

Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Cássio Elias de Sousa Figueiredo]

Boa tarde...

Eu estava com esse problema aqui na rede da empresa também.

Como resolvi. Simplesmente fiz o bloqueio geral da porta 443, obrigando 
assim a todos navegarem passando pelo squid.


Att,
Cássio Elias.

Em 06/01/2016 16:26, Keppler escreveu:

Boa tarde pessoal.
Estou procurando há um tempão na internet como bloquear sites "https" 
e não estou conseguindo, por exemplo, o que está me dando dor de 
cabeça é o YOUTUBE!!


Vou tentar explicar o que já fiz e como é minha estrutura:

1) Estrutura: Squid/Proxy autenticando por usuários:
Se o usuários desmarca a solicitação do proxy nos browsers e depois 
colocar: https://www.youtube.com aí já era!...eles conseguem navegar.


2) Já tentei, via iptables, o seguinte:

for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"youtube.com" -j DROP ! -s $ips_liberados
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"twitter.com" -j DROP ! -s $ips_liberados

done

Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, 
com exceção de alguns IPs que estão no arquivo 
"/root/Firewall/IPS_LIBERADOS_YOUTUBE"



Na verdade, este é umas das tentativas minha, pois tentei diversas 
variações dessas regras e não deu certo. O maximo que consegui foi 
bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das 
vezes, quando consegui liberar para os IPs que eu queria mas ficar 
para lenta a navegação, principalmente quando os sites "mencionam" ou 
usam algumas APIs do Google.



Enfim, o que vocês estão fazendo para solucionar este problema, ou 
seja, bloquear o Youtube e somente liberar para algumas máquinas da 
rede. isto, claro, de forma eficiente!


grato,
J.

Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Renan Arantes]

verdade o Rafael tem razão

Att
Renan

On 06-01-2016 15:39, Rafael Bedendo wrote:
Boa tarde, se estão navegando fora do proxy é esse o problema, você 
estar com a porta 443 liberada no firewall, faz o bloqueio e controle 
somente pelo squid com as regras que precisa.


Você deve ter algo do tipo iptables -A FORWARD -s 192.168.0.0/24 -p 
tcp --dport 443 -j ACCEPT em seu firewall


Abraço

Rafael Bedendo

Em 06/01/2016 16:26, Keppler escreveu:

Boa tarde pessoal.
Estou procurando há um tempão na internet como bloquear sites "https" 
e não estou conseguindo, por exemplo, o que está me dando dor de 
cabeça é o YOUTUBE!!


Vou tentar explicar o que já fiz e como é minha estrutura:

1) Estrutura: Squid/Proxy autenticando por usuários:
Se o usuários desmarca a solicitação do proxy nos browsers e depois 
colocar: https://www.youtube.com aí já era!...eles conseguem navegar.


2) Já tentei, via iptables, o seguinte:

for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"youtube.com" -j DROP ! -s $ips_liberados
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"twitter.com" -j DROP ! -s $ips_liberados

done

Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, 
com exceção de alguns IPs que estão no arquivo 
"/root/Firewall/IPS_LIBERADOS_YOUTUBE"



Na verdade, este é umas das tentativas minha, pois tentei diversas 
variações dessas regras e não deu certo. O maximo que consegui foi 
bloquear todo o acesso, inclusive bloqueando o Google. E na melhor 
das vezes, quando consegui liberar para os IPs que eu queria mas 
ficar para lenta a navegação, principalmente quando os sites 
"mencionam" ou usam algumas APIs do Google.



Enfim, o que vocês estão fazendo para solucionar este problema, ou 
seja, bloquear o Youtube e somente liberar para algumas máquinas da 
rede. isto, claro, de forma eficiente!


grato,
J.

Re: Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Rafael Bedendo]

Boa tarde, se estão navegando fora do proxy é esse o problema, você 
estar com a porta 443 liberada no firewall, faz o bloqueio e controle 
somente pelo squid com as regras que precisa.


Você deve ter algo do tipo iptables -A FORWARD -s 192.168.0.0/24 -p tcp 
--dport 443 -j ACCEPT em seu firewall


Abraço

Rafael Bedendo

Em 06/01/2016 16:26, Keppler escreveu:

Boa tarde pessoal.
Estou procurando há um tempão na internet como bloquear sites "https" 
e não estou conseguindo, por exemplo, o que está me dando dor de 
cabeça é o YOUTUBE!!


Vou tentar explicar o que já fiz e como é minha estrutura:

1) Estrutura: Squid/Proxy autenticando por usuários:
Se o usuários desmarca a solicitação do proxy nos browsers e depois 
colocar: https://www.youtube.com aí já era!...eles conseguem navegar.


2) Já tentei, via iptables, o seguinte:

for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"youtube.com" -j DROP ! -s $ips_liberados
$iptables -I FORWARD -i $LAN -m string --algo bm --string 
"twitter.com" -j DROP ! -s $ips_liberados

done

Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, 
com exceção de alguns IPs que estão no arquivo 
"/root/Firewall/IPS_LIBERADOS_YOUTUBE"



Na verdade, este é umas das tentativas minha, pois tentei diversas 
variações dessas regras e não deu certo. O maximo que consegui foi 
bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das 
vezes, quando consegui liberar para os IPs que eu queria mas ficar 
para lenta a navegação, principalmente quando os sites "mencionam" ou 
usam algumas APIs do Google.



Enfim, o que vocês estão fazendo para solucionar este problema, ou 
seja, bloquear o Youtube e somente liberar para algumas máquinas da 
rede. isto, claro, de forma eficiente!


grato,
J.

Bloquear Youtube pelo proxy autenticado por usuários (ainda!!!!!)

[Keppler]

Boa tarde pessoal.
Estou procurando há um tempão na internet como bloquear sites "https" e 
não estou conseguindo, por exemplo, o que está me dando dor de cabeça é 
o YOUTUBE!!


Vou tentar explicar o que já fiz e como é minha estrutura:

1) Estrutura: Squid/Proxy autenticando por usuários:
Se o usuários desmarca a solicitação do proxy nos browsers e depois 
colocar: https://www.youtube.com aí já era!...eles conseguem navegar.


2) Já tentei, via iptables, o seguinte:

for ips_liberados in `cat /root/Firewall/IPS_LIBERADOS_YOUTUBE` ; do
$iptables -I FORWARD -i $LAN -m string --algo bm --string "youtube.com" 
-j DROP ! -s $ips_liberados
$iptables -I FORWARD -i $LAN -m string --algo bm --string "twitter.com" 
-j DROP ! -s $ips_liberados

done

Nas regras acima estou tentando bloquear o YOUTUBE para a rede toda, com 
exceção de alguns IPs que estão no arquivo 
"/root/Firewall/IPS_LIBERADOS_YOUTUBE"



Na verdade, este é umas das tentativas minha, pois tentei diversas 
variações dessas regras e não deu certo. O maximo que consegui foi 
bloquear todo o acesso, inclusive bloqueando o Google. E na melhor das 
vezes, quando consegui liberar para os IPs que eu queria mas ficar para 
lenta a navegação, principalmente quando os sites "mencionam" ou usam 
algumas APIs do Google.



Enfim, o que vocês estão fazendo para solucionar este problema, ou seja, 
bloquear o Youtube e somente liberar para algumas máquinas da rede. 
isto, claro, de forma eficiente!


grato,
J.

Re: Proxy autenticado

[Leandro Moreira]

Bruno,
Esbarramos no problema da plataforma, pois o DHCP também funciona no
windows, como voce disse estou tentando criar como A (autority), vou tentar
com www ou CNAME também.
Como relação a erro durante a criação até pedi para o admi, microsoft da uma
força ele nao soube me explicar pq o WPAD nao funciona, vou fazer os testes
aki e retorno na lista.

Att.

Leandro Moreira.

Em 15 de março de 2010 15:06, Bruno Ayub  escreveu:

> Olá Leandro!
>
>
> Que bom que está avançando na implementação do proxy automático. Muito
> estranho o seu DNS não aceitar o nome WPAD. Independente da plataforma, o
> DNS deveria aceitar a entrada. Será que já não existe tal entrada? Se você
> não está habituado com a gerência do windows, experimente criar a entrada
> com os parâmetros de uma que já exista e funcione, a entrada www por
> exemplo...
>
> Há a possibilidade de utilizar o DHCP, porém a configuração é um pouco mais
> complexa.
>
> Com a configuração no DNS, o host irá procurar por: wpad.seudominio,
> portanto, outro nome não servirá.
>
>
>
> [ ]'s
>
>
>
> 2010/3/15 Leandro Moreira 
>
> Caros,
>> Desculpem ter demorando tanto tempo para responder e que tive alguns
>> outros problemas para realizei todos os passos que me foram sugeridos, criei
>> o script na raiz do apache, qdo aponto manualmente ele direciona
>> perfeitsamente para o proxy, sem a necessidade de configura o endereço do
>> proxy manualmente no campo apropriado, minha dificuldade é criar a entrada
>> no DNS, como falei o DNS esta no windows e nao esta aceitando o nome WPAD,
>> posso criar e antrada com outro nome?
>>
>>
>> Att.
>>
>> Leandro Moreira.
>>
>> Em 9 de março de 2010 17:20, Bruno Ayub  escreveu:
>>
>> Uma dica: antes de mexer efetivamente nas configurações da sua rede, você
>>> implementar apenas o item 1 e testar no seu próprio navegador, colocando o
>>> caminho completo do script wapad
>>>
>>> No firefox marcar: automatic proxy configuration script
>>>
>>> e colocar o caminho do seu servidor com o IP e o arquivo:
>>>
>>> Ex:
>>>
>>> http://192.168.1.1/wpad.dat
>>>
>>>
>>> é uma mão na roda usar o wpad principalmente pela automação e pelas
>>> exceções que você põe nele.
>>>
>>>
>>>
>>>
>>>
>>> 2010/3/9 Leandro Moreira 
>>>
 Caros,
 Vou testar aki e retorno o progresso muito obrigado a todos pela atenção
 e pelo tempo.

 Att.

 Leandro Moreira.

 Em 9 de março de 2010 17:03, Bruno Ayub escreveu:

 Leandro,
>
>
> São duas formas que o WPAD pode ser "propagado" na rede. A mais simples
> de configurar é que que usa o DNS.
>
>
>
> Você vai precisar de:
>
> 1- Um servidor WEB com o aquivo wpad.dat dentro dele.
>
> 2- O DNS apontando o IP do servidor que contém o arquivo acima para o
> nome: wpad.dominiolocal
>
> 3- Que os navegadores marquem a opção de DETECTAR AUTOMATICAMENTE as
> configurações de proxy.
>
>
>
>
>
> 2010/3/9 Leandro Moreira 
>
>>
>> Caros,
>> Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz
>> a consulta no DNS como o dns sabe q ele tem que redirecionar para o 
>> script
>> do wpad?
>>
>> Att.
>>
>> Leandro Moreira.
>>
>> Em 9 de março de 2010 16:35, Leandro Moreira <
>> lean...@leandromoreira.eti.br> escreveu:
>>
>> Allan,
>>> Como devo chamar o script, vi em alguns lugares que e proxy.pac ou
>>> wpad.pac tem algum nomenclatura especifica?
>>>
>>> Att.
>>>
>>> Leandro Moreira.
>>>
>>> Em 9 de março de 2010 16:23, Allan Carvalho escreveu:
>>>
>>> Oi Leandro.

 O meu fica assim:

 function FindProxyForURL(url, host)
 {
 if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
 NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
 return "PROXY proxy.dominio.com.br:3128";
 }


 Em 9 de março de 2010 15:27, Leandro Moreira
  escreveu:
 > Paulino,
 > Existe sim o DNS interno so que no campo de proxy do navegador nao
 posso nem
 > sonhar em colocar nada, pois como disse há muitos notebooks que
 sao usando
 > pelos funcionários em diversas diversas e tambem em casa usar o
 campo de
 > endereço de proxy nos notebooks é inviavel, como relalção ao wpad
 axo que é
 > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
 > (windows), direcionando para o script que fica no servidor apache
 (rodando
 > linux), e ver o resultado, por um acaso nao teria um modelo desse
 script pra
 > em encaminhar?
 >
 > Att.
 >
 > Leandro Moreira.
 >
 > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
 escreveu:
 >>
 >> 2010/3/9 Leandro Moreira :
 >> > Allan,
 >> > Sua dica foi bem intgeress

Re: Proxy autenticado

[Bruno Ayub]

Olá Leandro!


Que bom que está avançando na implementação do proxy automático. Muito
estranho o seu DNS não aceitar o nome WPAD. Independente da plataforma, o
DNS deveria aceitar a entrada. Será que já não existe tal entrada? Se você
não está habituado com a gerência do windows, experimente criar a entrada
com os parâmetros de uma que já exista e funcione, a entrada www por
exemplo...

Há a possibilidade de utilizar o DHCP, porém a configuração é um pouco mais
complexa.

Com a configuração no DNS, o host irá procurar por: wpad.seudominio,
portanto, outro nome não servirá.



[ ]'s



2010/3/15 Leandro Moreira 

> Caros,
> Desculpem ter demorando tanto tempo para responder e que tive alguns outros
> problemas para realizei todos os passos que me foram sugeridos, criei o
> script na raiz do apache, qdo aponto manualmente ele direciona
> perfeitsamente para o proxy, sem a necessidade de configura o endereço do
> proxy manualmente no campo apropriado, minha dificuldade é criar a entrada
> no DNS, como falei o DNS esta no windows e nao esta aceitando o nome WPAD,
> posso criar e antrada com outro nome?
>
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 17:20, Bruno Ayub  escreveu:
>
> Uma dica: antes de mexer efetivamente nas configurações da sua rede, você
>> implementar apenas o item 1 e testar no seu próprio navegador, colocando o
>> caminho completo do script wapad
>>
>> No firefox marcar: automatic proxy configuration script
>>
>> e colocar o caminho do seu servidor com o IP e o arquivo:
>>
>> Ex:
>>
>> http://192.168.1.1/wpad.dat
>>
>>
>> é uma mão na roda usar o wpad principalmente pela automação e pelas
>> exceções que você põe nele.
>>
>>
>>
>>
>>
>> 2010/3/9 Leandro Moreira 
>>
>>> Caros,
>>> Vou testar aki e retorno o progresso muito obrigado a todos pela atenção
>>> e pelo tempo.
>>>
>>> Att.
>>>
>>> Leandro Moreira.
>>>
>>> Em 9 de março de 2010 17:03, Bruno Ayub  escreveu:
>>>
>>> Leandro,


 São duas formas que o WPAD pode ser "propagado" na rede. A mais simples
 de configurar é que que usa o DNS.



 Você vai precisar de:

 1- Um servidor WEB com o aquivo wpad.dat dentro dele.

 2- O DNS apontando o IP do servidor que contém o arquivo acima para o
 nome: wpad.dominiolocal

 3- Que os navegadores marquem a opção de DETECTAR AUTOMATICAMENTE as
 configurações de proxy.





 2010/3/9 Leandro Moreira 

>
> Caros,
> Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz
> a consulta no DNS como o dns sabe q ele tem que redirecionar para o script
> do wpad?
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 16:35, Leandro Moreira <
> lean...@leandromoreira.eti.br> escreveu:
>
> Allan,
>> Como devo chamar o script, vi em alguns lugares que e proxy.pac ou
>> wpad.pac tem algum nomenclatura especifica?
>>
>> Att.
>>
>> Leandro Moreira.
>>
>> Em 9 de março de 2010 16:23, Allan Carvalho escreveu:
>>
>> Oi Leandro.
>>>
>>> O meu fica assim:
>>>
>>> function FindProxyForURL(url, host)
>>> {
>>> if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
>>> NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
>>> return "PROXY proxy.dominio.com.br:3128";
>>> }
>>>
>>>
>>> Em 9 de março de 2010 15:27, Leandro Moreira
>>>  escreveu:
>>> > Paulino,
>>> > Existe sim o DNS interno so que no campo de proxy do navegador nao
>>> posso nem
>>> > sonhar em colocar nada, pois como disse há muitos notebooks que sao
>>> usando
>>> > pelos funcionários em diversas diversas e tambem em casa usar o
>>> campo de
>>> > endereço de proxy nos notebooks é inviavel, como relalção ao wpad
>>> axo que é
>>> > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
>>> > (windows), direcionando para o script que fica no servidor apache
>>> (rodando
>>> > linux), e ver o resultado, por um acaso nao teria um modelo desse
>>> script pra
>>> > em encaminhar?
>>> >
>>> > Att.
>>> >
>>> > Leandro Moreira.
>>> >
>>> > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
>>> escreveu:
>>> >>
>>> >> 2010/3/9 Leandro Moreira :
>>> >> > Allan,
>>> >> > Sua dica foi bem intgeressante mas enfrento um problema na hora
>>> de
>>> >> > implementar o dhcp roda no windows 2008 nao entendo muito de
>>> windows
>>> >> > creio
>>> >> > que nao tenha um arquovo de configuração para inserir essas
>>> opções.
>>> >> >
>>> >>
>>> >> Ola, atualmente somente se usa wpad via dns.
>>> >> Para isso, se cria uma entrada no dns com o nome,
>>> >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
>>> >> disponibiliza o arquivo wpad.dat contendo um código javascript
>>> >> especial. A requisição do wpad e feita usando http 1.0, porta

Re: Proxy autenticado

[Leandro Moreira]

Caros,
Desculpem ter demorando tanto tempo para responder e que tive alguns outros
problemas para realizei todos os passos que me foram sugeridos, criei o
script na raiz do apache, qdo aponto manualmente ele direciona
perfeitsamente para o proxy, sem a necessidade de configura o endereço do
proxy manualmente no campo apropriado, minha dificuldade é criar a entrada
no DNS, como falei o DNS esta no windows e nao esta aceitando o nome WPAD,
posso criar e antrada com outro nome?


Att.

Leandro Moreira.

Em 9 de março de 2010 17:20, Bruno Ayub  escreveu:

> Uma dica: antes de mexer efetivamente nas configurações da sua rede, você
> implementar apenas o item 1 e testar no seu próprio navegador, colocando o
> caminho completo do script wapad
>
> No firefox marcar: automatic proxy configuration script
>
> e colocar o caminho do seu servidor com o IP e o arquivo:
>
> Ex:
>
> http://192.168.1.1/wpad.dat
>
>
> é uma mão na roda usar o wpad principalmente pela automação e pelas
> exceções que você põe nele.
>
>
>
>
>
> 2010/3/9 Leandro Moreira 
>
>> Caros,
>> Vou testar aki e retorno o progresso muito obrigado a todos pela atenção e
>> pelo tempo.
>>
>> Att.
>>
>> Leandro Moreira.
>>
>> Em 9 de março de 2010 17:03, Bruno Ayub  escreveu:
>>
>> Leandro,
>>>
>>>
>>> São duas formas que o WPAD pode ser "propagado" na rede. A mais simples
>>> de configurar é que que usa o DNS.
>>>
>>>
>>>
>>> Você vai precisar de:
>>>
>>> 1- Um servidor WEB com o aquivo wpad.dat dentro dele.
>>>
>>> 2- O DNS apontando o IP do servidor que contém o arquivo acima para o
>>> nome: wpad.dominiolocal
>>>
>>> 3- Que os navegadores marquem a opção de DETECTAR AUTOMATICAMENTE as
>>> configurações de proxy.
>>>
>>>
>>>
>>>
>>>
>>> 2010/3/9 Leandro Moreira 
>>>

 Caros,
 Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz a
 consulta no DNS como o dns sabe q ele tem que redirecionar para o script do
 wpad?

 Att.

 Leandro Moreira.

 Em 9 de março de 2010 16:35, Leandro Moreira <
 lean...@leandromoreira.eti.br> escreveu:

 Allan,
> Como devo chamar o script, vi em alguns lugares que e proxy.pac ou
> wpad.pac tem algum nomenclatura especifica?
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 16:23, Allan Carvalho escreveu:
>
> Oi Leandro.
>>
>> O meu fica assim:
>>
>> function FindProxyForURL(url, host)
>> {
>> if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
>> NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
>> return "PROXY proxy.dominio.com.br:3128";
>> }
>>
>>
>> Em 9 de março de 2010 15:27, Leandro Moreira
>>  escreveu:
>> > Paulino,
>> > Existe sim o DNS interno so que no campo de proxy do navegador nao
>> posso nem
>> > sonhar em colocar nada, pois como disse há muitos notebooks que sao
>> usando
>> > pelos funcionários em diversas diversas e tambem em casa usar o
>> campo de
>> > endereço de proxy nos notebooks é inviavel, como relalção ao wpad
>> axo que é
>> > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
>> > (windows), direcionando para o script que fica no servidor apache
>> (rodando
>> > linux), e ver o resultado, por um acaso nao teria um modelo desse
>> script pra
>> > em encaminhar?
>> >
>> > Att.
>> >
>> > Leandro Moreira.
>> >
>> > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
>> escreveu:
>> >>
>> >> 2010/3/9 Leandro Moreira :
>> >> > Allan,
>> >> > Sua dica foi bem intgeressante mas enfrento um problema na hora
>> de
>> >> > implementar o dhcp roda no windows 2008 nao entendo muito de
>> windows
>> >> > creio
>> >> > que nao tenha um arquovo de configuração para inserir essas
>> opções.
>> >> >
>> >>
>> >> Ola, atualmente somente se usa wpad via dns.
>> >> Para isso, se cria uma entrada no dns com o nome,
>> >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
>> >> disponibiliza o arquivo wpad.dat contendo um código javascript
>> >> especial. A requisição do wpad e feita usando http 1.0, portanto
>> não
>> >> suporta virtual host por nome.
>> >>
>> >> Ou, use configuração manual usando nome em vez de ip.
>> >> proxy em vez de 10.0.1.234
>> >> Ou, não possuem um DNS interno?
>> >>
>> >> Nos sistemas operacionais que usam isc bind eo isc dhcpd
>> implementar
>> >> isso e extremamente fácil.
>> >>
>> >> Já no windows, provavelmente terá que clicar em dezenas de botões
>> "next".
>> >> :)
>> >>
>> >> Ah, nunca testei, mas pode se usar o script para detectar proxy
>> >> localmente (file://proxy.wap),  colocando a URL no campo
>> apropriado.
>> >> E, baseado no endereço ip do host, pode determinar o ip do proxy
>> >> consultando uma tabela.
>> >>
>> >>
>> >> --
>> >> 

Re: Proxy autenticado

[Bruno Ayub]

Uma dica: antes de mexer efetivamente nas configurações da sua rede, você
implementar apenas o item 1 e testar no seu próprio navegador, colocando o
caminho completo do script wapad

No firefox marcar: automatic proxy configuration script

e colocar o caminho do seu servidor com o IP e o arquivo:

Ex:

http://192.168.1.1/wpad.dat


é uma mão na roda usar o wpad principalmente pela automação e pelas exceções
que você põe nele.




2010/3/9 Leandro Moreira 

> Caros,
> Vou testar aki e retorno o progresso muito obrigado a todos pela atenção e
> pelo tempo.
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 17:03, Bruno Ayub  escreveu:
>
> Leandro,
>>
>>
>> São duas formas que o WPAD pode ser "propagado" na rede. A mais simples de
>> configurar é que que usa o DNS.
>>
>>
>>
>> Você vai precisar de:
>>
>> 1- Um servidor WEB com o aquivo wpad.dat dentro dele.
>>
>> 2- O DNS apontando o IP do servidor que contém o arquivo acima para o
>> nome: wpad.dominiolocal
>>
>> 3- Que os navegadores marquem a opção de DETECTAR AUTOMATICAMENTE as
>> configurações de proxy.
>>
>>
>>
>>
>>
>> 2010/3/9 Leandro Moreira 
>>
>>>
>>> Caros,
>>> Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz a
>>> consulta no DNS como o dns sabe q ele tem que redirecionar para o script do
>>> wpad?
>>>
>>> Att.
>>>
>>> Leandro Moreira.
>>>
>>> Em 9 de março de 2010 16:35, Leandro Moreira <
>>> lean...@leandromoreira.eti.br> escreveu:
>>>
>>> Allan,
 Como devo chamar o script, vi em alguns lugares que e proxy.pac ou
 wpad.pac tem algum nomenclatura especifica?

 Att.

 Leandro Moreira.

 Em 9 de março de 2010 16:23, Allan Carvalho escreveu:

 Oi Leandro.
>
> O meu fica assim:
>
> function FindProxyForURL(url, host)
> {
> if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
> NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
> return "PROXY proxy.dominio.com.br:3128";
> }
>
>
> Em 9 de março de 2010 15:27, Leandro Moreira
>  escreveu:
> > Paulino,
> > Existe sim o DNS interno so que no campo de proxy do navegador nao
> posso nem
> > sonhar em colocar nada, pois como disse há muitos notebooks que sao
> usando
> > pelos funcionários em diversas diversas e tambem em casa usar o campo
> de
> > endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo
> que é
> > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
> > (windows), direcionando para o script que fica no servidor apache
> (rodando
> > linux), e ver o resultado, por um acaso nao teria um modelo desse
> script pra
> > em encaminhar?
> >
> > Att.
> >
> > Leandro Moreira.
> >
> > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
> escreveu:
> >>
> >> 2010/3/9 Leandro Moreira :
> >> > Allan,
> >> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
> >> > implementar o dhcp roda no windows 2008 nao entendo muito de
> windows
> >> > creio
> >> > que nao tenha um arquovo de configuração para inserir essas
> opções.
> >> >
> >>
> >> Ola, atualmente somente se usa wpad via dns.
> >> Para isso, se cria uma entrada no dns com o nome,
> >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
> >> disponibiliza o arquivo wpad.dat contendo um código javascript
> >> especial. A requisição do wpad e feita usando http 1.0, portanto não
> >> suporta virtual host por nome.
> >>
> >> Ou, use configuração manual usando nome em vez de ip.
> >> proxy em vez de 10.0.1.234
> >> Ou, não possuem um DNS interno?
> >>
> >> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
> >> isso e extremamente fácil.
> >>
> >> Já no windows, provavelmente terá que clicar em dezenas de botões
> "next".
> >> :)
> >>
> >> Ah, nunca testei, mas pode se usar o script para detectar proxy
> >> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
> >> E, baseado no endereço ip do host, pode determinar o ip do proxy
> >> consultando uma tabela.
> >>
> >>
> >> --
> >> Paulino Kenji Sato
> >> http://www.nobel.com.br
> >>
> >>
> >> --
> >> To UNSUBSCRIBE, email to
> debian-user-portuguese-requ...@lists.debian.org
> >> with a subject of "unsubscribe". Trouble? Contact
> >> listmas...@lists.debian.org
> >> Archive:
> >>
> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
> >>
> >
> >
> >
> > --
> > Leandro Moreira
> > Network Administrator
> > LPIC1 - Linux Professional Institute Certified
> > e-mail/msn: lean...@leandromoreira.eti.br
> > Tel.: + 55(32) 9906-5713
> >
>



 --
 Leandro Moreira
 Network Administrator
 LPIC1 - Linux Professional Institute Cer

Re: Proxy autenticado

[Leandro Moreira]

Caros,
Vou testar aki e retorno o progresso muito obrigado a todos pela atenção e
pelo tempo.

Att.

Leandro Moreira.

Em 9 de março de 2010 17:03, Bruno Ayub  escreveu:

> Leandro,
>
>
> São duas formas que o WPAD pode ser "propagado" na rede. A mais simples de
> configurar é que que usa o DNS.
>
>
>
> Você vai precisar de:
>
> 1- Um servidor WEB com o aquivo wpad.dat dentro dele.
>
> 2- O DNS apontando o IP do servidor que contém o arquivo acima para o nome:
> wpad.dominiolocal
>
> 3- Que os navegadores marquem a opção de DETECTAR AUTOMATICAMENTE as
> configurações de proxy.
>
>
>
>
>
> 2010/3/9 Leandro Moreira 
>
>>
>> Caros,
>> Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz a
>> consulta no DNS como o dns sabe q ele tem que redirecionar para o script do
>> wpad?
>>
>> Att.
>>
>> Leandro Moreira.
>>
>> Em 9 de março de 2010 16:35, Leandro Moreira <
>> lean...@leandromoreira.eti.br> escreveu:
>>
>> Allan,
>>> Como devo chamar o script, vi em alguns lugares que e proxy.pac ou
>>> wpad.pac tem algum nomenclatura especifica?
>>>
>>> Att.
>>>
>>> Leandro Moreira.
>>>
>>> Em 9 de março de 2010 16:23, Allan Carvalho escreveu:
>>>
>>> Oi Leandro.

 O meu fica assim:

 function FindProxyForURL(url, host)
 {
 if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
 NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
 return "PROXY proxy.dominio.com.br:3128";
 }


 Em 9 de março de 2010 15:27, Leandro Moreira
  escreveu:
 > Paulino,
 > Existe sim o DNS interno so que no campo de proxy do navegador nao
 posso nem
 > sonhar em colocar nada, pois como disse há muitos notebooks que sao
 usando
 > pelos funcionários em diversas diversas e tambem em casa usar o campo
 de
 > endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo
 que é
 > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
 > (windows), direcionando para o script que fica no servidor apache
 (rodando
 > linux), e ver o resultado, por um acaso nao teria um modelo desse
 script pra
 > em encaminhar?
 >
 > Att.
 >
 > Leandro Moreira.
 >
 > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
 escreveu:
 >>
 >> 2010/3/9 Leandro Moreira :
 >> > Allan,
 >> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
 >> > implementar o dhcp roda no windows 2008 nao entendo muito de
 windows
 >> > creio
 >> > que nao tenha um arquovo de configuração para inserir essas opções.
 >> >
 >>
 >> Ola, atualmente somente se usa wpad via dns.
 >> Para isso, se cria uma entrada no dns com o nome,
 >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
 >> disponibiliza o arquivo wpad.dat contendo um código javascript
 >> especial. A requisição do wpad e feita usando http 1.0, portanto não
 >> suporta virtual host por nome.
 >>
 >> Ou, use configuração manual usando nome em vez de ip.
 >> proxy em vez de 10.0.1.234
 >> Ou, não possuem um DNS interno?
 >>
 >> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
 >> isso e extremamente fácil.
 >>
 >> Já no windows, provavelmente terá que clicar em dezenas de botões
 "next".
 >> :)
 >>
 >> Ah, nunca testei, mas pode se usar o script para detectar proxy
 >> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
 >> E, baseado no endereço ip do host, pode determinar o ip do proxy
 >> consultando uma tabela.
 >>
 >>
 >> --
 >> Paulino Kenji Sato
 >> http://www.nobel.com.br
 >>
 >>
 >> --
 >> To UNSUBSCRIBE, email to
 debian-user-portuguese-requ...@lists.debian.org
 >> with a subject of "unsubscribe". Trouble? Contact
 >> listmas...@lists.debian.org
 >> Archive:
 >>
 http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
 >>
 >
 >
 >
 > --
 > Leandro Moreira
 > Network Administrator
 > LPIC1 - Linux Professional Institute Certified
 > e-mail/msn: lean...@leandromoreira.eti.br
 > Tel.: + 55(32) 9906-5713
 >

>>>
>>>
>>>
>>> --
>>> Leandro Moreira
>>> Network Administrator
>>> LPIC1 - Linux Professional Institute Certified
>>> e-mail/msn: lean...@leandromoreira.eti.br
>>> Tel.: + 55(32) 9906-5713
>>>
>>
>>
>>
>> --
>> Leandro Moreira
>> Network Administrator
>> LPIC1 - Linux Professional Institute Certified
>> e-mail/msn: lean...@leandromoreira.eti.br
>> Tel.: + 55(32) 9906-5713
>>
>
>
>
> --
> Bruno Ayub.
>



-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Bruno Ayub]

Leandro,


São duas formas que o WPAD pode ser "propagado" na rede. A mais simples de
configurar é que que usa o DNS.



Você vai precisar de:

1- Um servidor WEB com o aquivo wpad.dat dentro dele.

2- O DNS apontando o IP do servidor que contém o arquivo acima para o nome:
wpad.dominiolocal

3- Que os navegadores marquem a opção de DETECTAR AUTOMATICAMENTE as
configurações de proxy.




2010/3/9 Leandro Moreira 

>
> Caros,
> Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz a
> consulta no DNS como o dns sabe q ele tem que redirecionar para o script do
> wpad?
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 16:35, Leandro Moreira <
> lean...@leandromoreira.eti.br> escreveu:
>
> Allan,
>> Como devo chamar o script, vi em alguns lugares que e proxy.pac ou
>> wpad.pac tem algum nomenclatura especifica?
>>
>> Att.
>>
>> Leandro Moreira.
>>
>> Em 9 de março de 2010 16:23, Allan Carvalho  escreveu:
>>
>> Oi Leandro.
>>>
>>> O meu fica assim:
>>>
>>> function FindProxyForURL(url, host)
>>> {
>>> if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
>>> NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
>>> return "PROXY proxy.dominio.com.br:3128";
>>> }
>>>
>>>
>>> Em 9 de março de 2010 15:27, Leandro Moreira
>>>  escreveu:
>>> > Paulino,
>>> > Existe sim o DNS interno so que no campo de proxy do navegador nao
>>> posso nem
>>> > sonhar em colocar nada, pois como disse há muitos notebooks que sao
>>> usando
>>> > pelos funcionários em diversas diversas e tambem em casa usar o campo
>>> de
>>> > endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo
>>> que é
>>> > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
>>> > (windows), direcionando para o script que fica no servidor apache
>>> (rodando
>>> > linux), e ver o resultado, por um acaso nao teria um modelo desse
>>> script pra
>>> > em encaminhar?
>>> >
>>> > Att.
>>> >
>>> > Leandro Moreira.
>>> >
>>> > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
>>> escreveu:
>>> >>
>>> >> 2010/3/9 Leandro Moreira :
>>> >> > Allan,
>>> >> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
>>> >> > implementar o dhcp roda no windows 2008 nao entendo muito de windows
>>> >> > creio
>>> >> > que nao tenha um arquovo de configuração para inserir essas opções.
>>> >> >
>>> >>
>>> >> Ola, atualmente somente se usa wpad via dns.
>>> >> Para isso, se cria uma entrada no dns com o nome,
>>> >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
>>> >> disponibiliza o arquivo wpad.dat contendo um código javascript
>>> >> especial. A requisição do wpad e feita usando http 1.0, portanto não
>>> >> suporta virtual host por nome.
>>> >>
>>> >> Ou, use configuração manual usando nome em vez de ip.
>>> >> proxy em vez de 10.0.1.234
>>> >> Ou, não possuem um DNS interno?
>>> >>
>>> >> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
>>> >> isso e extremamente fácil.
>>> >>
>>> >> Já no windows, provavelmente terá que clicar em dezenas de botões
>>> "next".
>>> >> :)
>>> >>
>>> >> Ah, nunca testei, mas pode se usar o script para detectar proxy
>>> >> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
>>> >> E, baseado no endereço ip do host, pode determinar o ip do proxy
>>> >> consultando uma tabela.
>>> >>
>>> >>
>>> >> --
>>> >> Paulino Kenji Sato
>>> >> http://www.nobel.com.br
>>> >>
>>> >>
>>> >> --
>>> >> To UNSUBSCRIBE, email to
>>> debian-user-portuguese-requ...@lists.debian.org
>>> >> with a subject of "unsubscribe". Trouble? Contact
>>> >> listmas...@lists.debian.org
>>> >> Archive:
>>> >>
>>> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > Leandro Moreira
>>> > Network Administrator
>>> > LPIC1 - Linux Professional Institute Certified
>>> > e-mail/msn: lean...@leandromoreira.eti.br
>>> > Tel.: + 55(32) 9906-5713
>>> >
>>>
>>
>>
>>
>> --
>> Leandro Moreira
>> Network Administrator
>> LPIC1 - Linux Professional Institute Certified
>> e-mail/msn: lean...@leandromoreira.eti.br
>> Tel.: + 55(32) 9906-5713
>>
>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>



-- 
Bruno Ayub.

Re: Proxy autenticado

[Leandro Moreira]

Caros,
Mais uma duvida a respeito do wpad, como ele funciona, o navegador faz a
consulta no DNS como o dns sabe q ele tem que redirecionar para o script do
wpad?

Att.

Leandro Moreira.

Em 9 de março de 2010 16:35, Leandro Moreira
escreveu:

> Allan,
> Como devo chamar o script, vi em alguns lugares que e proxy.pac ou wpad.pac
> tem algum nomenclatura especifica?
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 16:23, Allan Carvalho  escreveu:
>
> Oi Leandro.
>>
>> O meu fica assim:
>>
>> function FindProxyForURL(url, host)
>> {
>> if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
>> NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
>> return "PROXY proxy.dominio.com.br:3128";
>> }
>>
>>
>> Em 9 de março de 2010 15:27, Leandro Moreira
>>  escreveu:
>> > Paulino,
>> > Existe sim o DNS interno so que no campo de proxy do navegador nao posso
>> nem
>> > sonhar em colocar nada, pois como disse há muitos notebooks que sao
>> usando
>> > pelos funcionários em diversas diversas e tambem em casa usar o campo de
>> > endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo
>> que é
>> > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
>> > (windows), direcionando para o script que fica no servidor apache
>> (rodando
>> > linux), e ver o resultado, por um acaso nao teria um modelo desse script
>> pra
>> > em encaminhar?
>> >
>> > Att.
>> >
>> > Leandro Moreira.
>> >
>> > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
>> escreveu:
>> >>
>> >> 2010/3/9 Leandro Moreira :
>> >> > Allan,
>> >> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
>> >> > implementar o dhcp roda no windows 2008 nao entendo muito de windows
>> >> > creio
>> >> > que nao tenha um arquovo de configuração para inserir essas opções.
>> >> >
>> >>
>> >> Ola, atualmente somente se usa wpad via dns.
>> >> Para isso, se cria uma entrada no dns com o nome,
>> >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
>> >> disponibiliza o arquivo wpad.dat contendo um código javascript
>> >> especial. A requisição do wpad e feita usando http 1.0, portanto não
>> >> suporta virtual host por nome.
>> >>
>> >> Ou, use configuração manual usando nome em vez de ip.
>> >> proxy em vez de 10.0.1.234
>> >> Ou, não possuem um DNS interno?
>> >>
>> >> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
>> >> isso e extremamente fácil.
>> >>
>> >> Já no windows, provavelmente terá que clicar em dezenas de botões
>> "next".
>> >> :)
>> >>
>> >> Ah, nunca testei, mas pode se usar o script para detectar proxy
>> >> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
>> >> E, baseado no endereço ip do host, pode determinar o ip do proxy
>> >> consultando uma tabela.
>> >>
>> >>
>> >> --
>> >> Paulino Kenji Sato
>> >> http://www.nobel.com.br
>> >>
>> >>
>> >> --
>> >> To UNSUBSCRIBE, email to
>> debian-user-portuguese-requ...@lists.debian.org
>> >> with a subject of "unsubscribe". Trouble? Contact
>> >> listmas...@lists.debian.org
>> >> Archive:
>> >>
>> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
>> >>
>> >
>> >
>> >
>> > --
>> > Leandro Moreira
>> > Network Administrator
>> > LPIC1 - Linux Professional Institute Certified
>> > e-mail/msn: lean...@leandromoreira.eti.br
>> > Tel.: + 55(32) 9906-5713
>> >
>>
>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>



-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Leandro Moreira]

Allan,
Como devo chamar o script, vi em alguns lugares que e proxy.pac ou wpad.pac
tem algum nomenclatura especifica?

Att.

Leandro Moreira.

Em 9 de março de 2010 16:23, Allan Carvalho  escreveu:

> Oi Leandro.
>
> O meu fica assim:
>
> function FindProxyForURL(url, host)
> {
> if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
> NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
> return "PROXY proxy.dominio.com.br:3128";
> }
>
>
> Em 9 de março de 2010 15:27, Leandro Moreira
>  escreveu:
> > Paulino,
> > Existe sim o DNS interno so que no campo de proxy do navegador nao posso
> nem
> > sonhar em colocar nada, pois como disse há muitos notebooks que sao
> usando
> > pelos funcionários em diversas diversas e tambem em casa usar o campo de
> > endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo que
> é
> > a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
> > (windows), direcionando para o script que fica no servidor apache
> (rodando
> > linux), e ver o resultado, por um acaso nao teria um modelo desse script
> pra
> > em encaminhar?
> >
> > Att.
> >
> > Leandro Moreira.
> >
> > Em 9 de março de 2010 15:19, Paulino Kenji Sato 
> escreveu:
> >>
> >> 2010/3/9 Leandro Moreira :
> >> > Allan,
> >> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
> >> > implementar o dhcp roda no windows 2008 nao entendo muito de windows
> >> > creio
> >> > que nao tenha um arquovo de configuração para inserir essas opções.
> >> >
> >>
> >> Ola, atualmente somente se usa wpad via dns.
> >> Para isso, se cria uma entrada no dns com o nome,
> >> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
> >> disponibiliza o arquivo wpad.dat contendo um código javascript
> >> especial. A requisição do wpad e feita usando http 1.0, portanto não
> >> suporta virtual host por nome.
> >>
> >> Ou, use configuração manual usando nome em vez de ip.
> >> proxy em vez de 10.0.1.234
> >> Ou, não possuem um DNS interno?
> >>
> >> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
> >> isso e extremamente fácil.
> >>
> >> Já no windows, provavelmente terá que clicar em dezenas de botões
> "next".
> >> :)
> >>
> >> Ah, nunca testei, mas pode se usar o script para detectar proxy
> >> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
> >> E, baseado no endereço ip do host, pode determinar o ip do proxy
> >> consultando uma tabela.
> >>
> >>
> >> --
> >> Paulino Kenji Sato
> >> http://www.nobel.com.br
> >>
> >>
> >> --
> >> To UNSUBSCRIBE, email to
> debian-user-portuguese-requ...@lists.debian.org
> >> with a subject of "unsubscribe". Trouble? Contact
> >> listmas...@lists.debian.org
> >> Archive:
> >>
> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
> >>
> >
> >
> >
> > --
> > Leandro Moreira
> > Network Administrator
> > LPIC1 - Linux Professional Institute Certified
> > e-mail/msn: lean...@leandromoreira.eti.br
> > Tel.: + 55(32) 9906-5713
> >
>



-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Allan Carvalho]

Oi Leandro.

O meu fica assim:

function FindProxyForURL(url, host)
{
if (shExpMatch(url,"*.dominio.com.br/*")) {return "DIRECT";}   --->
NESTE CAMPO FICAM AS EXCEÇÕES DO PROXY
return "PROXY proxy.dominio.com.br:3128";
}


Em 9 de março de 2010 15:27, Leandro Moreira
 escreveu:
> Paulino,
> Existe sim o DNS interno so que no campo de proxy do navegador nao posso nem
> sonhar em colocar nada, pois como disse há muitos notebooks que sao usando
> pelos funcionários em diversas diversas e tambem em casa usar o campo de
> endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo que é
> a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
> (windows), direcionando para o script que fica no servidor apache (rodando
> linux), e ver o resultado, por um acaso nao teria um modelo desse script pra
> em encaminhar?
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 15:19, Paulino Kenji Sato  escreveu:
>>
>> 2010/3/9 Leandro Moreira :
>> > Allan,
>> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
>> > implementar o dhcp roda no windows 2008 nao entendo muito de windows
>> > creio
>> > que nao tenha um arquovo de configuração para inserir essas opções.
>> >
>>
>> Ola, atualmente somente se usa wpad via dns.
>> Para isso, se cria uma entrada no dns com o nome,
>> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
>> disponibiliza o arquivo wpad.dat contendo um código javascript
>> especial. A requisição do wpad e feita usando http 1.0, portanto não
>> suporta virtual host por nome.
>>
>> Ou, use configuração manual usando nome em vez de ip.
>> proxy em vez de 10.0.1.234
>> Ou, não possuem um DNS interno?
>>
>> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
>> isso e extremamente fácil.
>>
>> Já no windows, provavelmente terá que clicar em dezenas de botões "next".
>> :)
>>
>> Ah, nunca testei, mas pode se usar o script para detectar proxy
>> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
>> E, baseado no endereço ip do host, pode determinar o ip do proxy
>> consultando uma tabela.
>>
>>
>> --
>> Paulino Kenji Sato
>> http://www.nobel.com.br
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
>>
>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/7b6247ee1003091123g6ce2653v2246445ace314...@mail.gmail.com

Re: Proxy autenticado

[Bruno Ayub]

De uma olhada nesse modelo:

http://findproxyforurl.com/pac_file_examples.html





2010/3/9 Leandro Moreira 

> Paulino,
> Existe sim o DNS interno so que no campo de proxy do navegador nao posso
> nem sonhar em colocar nada, pois como disse há muitos notebooks que sao
> usando pelos funcionários em diversas diversas e tambem em casa usar o campo
> de endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo que
> é a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
> (windows), direcionando para o script que fica no servidor apache (rodando
> linux), e ver o resultado, por um acaso nao teria um modelo desse script pra
> em encaminhar?
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 15:19, Paulino Kenji Sato escreveu:
>
> 2010/3/9 Leandro Moreira :
>> > Allan,
>> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
>> > implementar o dhcp roda no windows 2008 nao entendo muito de windows
>> creio
>> > que nao tenha um arquovo de configuração para inserir essas opções.
>> >
>>
>> Ola, atualmente somente se usa wpad via dns.
>> Para isso, se cria uma entrada no dns com o nome,
>> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
>> disponibiliza o arquivo wpad.dat contendo um código javascript
>> especial. A requisição do wpad e feita usando http 1.0, portanto não
>> suporta virtual host por nome.
>>
>> Ou, use configuração manual usando nome em vez de ip.
>> proxy em vez de 10.0.1.234
>> Ou, não possuem um DNS interno?
>>
>> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
>> isso e extremamente fácil.
>>
>> Já no windows, provavelmente terá que clicar em dezenas de botões "next".
>> :)
>>
>> Ah, nunca testei, mas pode se usar o script para detectar proxy
>> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
>> E, baseado no endereço ip do host, pode determinar o ip do proxy
>> consultando uma tabela.
>>
>>
>> --
>> Paulino Kenji Sato
>> http://www.nobel.com.br
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
>>
>>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>



-- 
Bruno Ayub.

Re: Proxy autenticado

[Leandro Moreira]

Paulino,
Existe sim o DNS interno so que no campo de proxy do navegador nao posso nem
sonhar em colocar nada, pois como disse há muitos notebooks que sao usando
pelos funcionários em diversas diversas e tambem em casa usar o campo de
endereço de proxy nos notebooks é inviavel, como relalção ao wpad axo que é
a alternativa mais viavel vou testa-la vou criar a entrada  no DNS
(windows), direcionando para o script que fica no servidor apache (rodando
linux), e ver o resultado, por um acaso nao teria um modelo desse script pra
em encaminhar?

Att.

Leandro Moreira.

Em 9 de março de 2010 15:19, Paulino Kenji Sato  escreveu:

> 2010/3/9 Leandro Moreira :
> > Allan,
> > Sua dica foi bem intgeressante mas enfrento um problema na hora de
> > implementar o dhcp roda no windows 2008 nao entendo muito de windows
> creio
> > que nao tenha um arquovo de configuração para inserir essas opções.
> >
>
> Ola, atualmente somente se usa wpad via dns.
> Para isso, se cria uma entrada no dns com o nome,
> wpad.dominio.internet.interno.da.empresa, e, em um servidor http
> disponibiliza o arquivo wpad.dat contendo um código javascript
> especial. A requisição do wpad e feita usando http 1.0, portanto não
> suporta virtual host por nome.
>
> Ou, use configuração manual usando nome em vez de ip.
> proxy em vez de 10.0.1.234
> Ou, não possuem um DNS interno?
>
> Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
> isso e extremamente fácil.
>
> Já no windows, provavelmente terá que clicar em dezenas de botões "next".
> :)
>
> Ah, nunca testei, mas pode se usar o script para detectar proxy
> localmente (file://proxy.wap),  colocando a URL no campo apropriado.
> E, baseado no endereço ip do host, pode determinar o ip do proxy
> consultando uma tabela.
>
>
> --
> Paulino Kenji Sato
> http://www.nobel.com.br
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com
>
>


-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Paulino Kenji Sato]

2010/3/9 Leandro Moreira :
> Allan,
> Sua dica foi bem intgeressante mas enfrento um problema na hora de
> implementar o dhcp roda no windows 2008 nao entendo muito de windows creio
> que nao tenha um arquovo de configuração para inserir essas opções.
>

Ola, atualmente somente se usa wpad via dns.
Para isso, se cria uma entrada no dns com o nome,
wpad.dominio.internet.interno.da.empresa, e, em um servidor http
disponibiliza o arquivo wpad.dat contendo um código javascript
especial. A requisição do wpad e feita usando http 1.0, portanto não
suporta virtual host por nome.

Ou, use configuração manual usando nome em vez de ip.
proxy em vez de 10.0.1.234
Ou, não possuem um DNS interno?

Nos sistemas operacionais que usam isc bind eo isc dhcpd implementar
isso e extremamente fácil.

Já no windows, provavelmente terá que clicar em dezenas de botões "next". :)

Ah, nunca testei, mas pode se usar o script para detectar proxy
localmente (file://proxy.wap),  colocando a URL no campo apropriado.
E, baseado no endereço ip do host, pode determinar o ip do proxy
consultando uma tabela.


-- 
Paulino Kenji Sato
http://www.nobel.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/d9aca2b51003091019v1821c207ve5b19601ee874...@mail.gmail.com

Re: Proxy autenticado

[Leandro Moreira]

Caros,
Apenas complementando meu ultimo email DHPC, DNS e Autenticação rodam tudo
no windows 2008.

Att.

Leandro Moreira.

Em 9 de março de 2010 14:46, Leandro Moreira
escreveu:

> Allan,
> Sua dica foi bem intgeressante mas enfrento um problema na hora de
> implementar o dhcp roda no windows 2008 nao entendo muito de windows creio
> que nao tenha um arquovo de configuração para inserir essas opções.
>
> Att.
>
> Leandro Moreira.
>
> Em 9 de março de 2010 12:29, Allan Carvalho  escreveu:
>
> Não precisa ser manual Leandro.
>>
>> Bom, eu uso de duas maneiras, os clientes do Internet Explorer podem
>> pegar as configurações direto do arquivo de conf do DHCP da seguinte
>> maneira:
>> option wpad-url "http://servidor.dominio.com.br/wpad.dat\n";;
>>
>> O "\n" no final é necessário para os clientes Internet Explorer 6, do
>> 7 ao 8 não há problemas.
>>
>> Para o Firefox, você precisa criar o arquivo wpad.dat e criar um CNAME
>> no seu DNS, pois o Firefox irá procura por
>> http://wpad.dominio.com.br/wpad.dat
>>
>> Feito isso. basta você selecionar a opção "Autodetectar as opções de
>> proxy para esta rede" nos browsers, e o resto fica automático.
>>
>> Atenciosamente,
>> Allan Carvalho
>>
>> Em 9 de março de 2010 11:41, Leandro Moreira
>>  escreveu:
>> > Caros,
>> > Recebi de um cliente a incumbência de montar do projeto de proxy
>> > autenticado, como sabemos o proxy autenticado tem que ser manual, so que
>> > esse cliente possui varias filiais e funcionarios que usam notebooks e
>> que
>> > ficam transitando entre essas filiais, inviabilizando usar proxy manual.
>> > Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
>> >
>> > Att.
>> >
>> > --
>> > Leandro Moreira
>> > Network Administrator
>> > LPIC1 - Linux Professional Institute Certified
>> > e-mail/msn: lean...@leandromoreira.eti.br
>> > Tel.: + 55(32) 9906-5713
>> >
>>
>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>



-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Leandro Moreira]

Allan,
Sua dica foi bem intgeressante mas enfrento um problema na hora de
implementar o dhcp roda no windows 2008 nao entendo muito de windows creio
que nao tenha um arquovo de configuração para inserir essas opções.

Att.

Leandro Moreira.

Em 9 de março de 2010 12:29, Allan Carvalho  escreveu:

> Não precisa ser manual Leandro.
>
> Bom, eu uso de duas maneiras, os clientes do Internet Explorer podem
> pegar as configurações direto do arquivo de conf do DHCP da seguinte
> maneira:
> option wpad-url "http://servidor.dominio.com.br/wpad.dat\n";;
>
> O "\n" no final é necessário para os clientes Internet Explorer 6, do
> 7 ao 8 não há problemas.
>
> Para o Firefox, você precisa criar o arquivo wpad.dat e criar um CNAME
> no seu DNS, pois o Firefox irá procura por
> http://wpad.dominio.com.br/wpad.dat
>
> Feito isso. basta você selecionar a opção "Autodetectar as opções de
> proxy para esta rede" nos browsers, e o resto fica automático.
>
> Atenciosamente,
> Allan Carvalho
>
> Em 9 de março de 2010 11:41, Leandro Moreira
>  escreveu:
> > Caros,
> > Recebi de um cliente a incumbência de montar do projeto de proxy
> > autenticado, como sabemos o proxy autenticado tem que ser manual, so que
> > esse cliente possui varias filiais e funcionarios que usam notebooks e
> que
> > ficam transitando entre essas filiais, inviabilizando usar proxy manual.
> > Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
> >
> > Att.
> >
> > --
> > Leandro Moreira
> > Network Administrator
> > LPIC1 - Linux Professional Institute Certified
> > e-mail/msn: lean...@leandromoreira.eti.br
> > Tel.: + 55(32) 9906-5713
> >
>



-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Rafael Moraes]

daria pra fazer usando o dhcp pra enviar as confs de proxy, porém tem esse
lance dos notes


Em 9 de março de 2010 11:41, Leandro Moreira
escreveu:

> Caros,
> Recebi de um cliente a incumbência de montar do projeto de proxy
> autenticado, como sabemos o proxy autenticado tem que ser manual, so que
> esse cliente possui varias filiais e funcionarios que usam notebooks e que
> ficam transitando entre essas filiais, inviabilizando usar proxy manual.
> Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
>
> Att.
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>



-- 
Att,
Rafael Moraes
Linux Professional Institute Certified - LPI 1
Novell Certified Linux Administrator - CLA
Data Center Technical Specialist - DCTS
ITIL Foundations Certified

Re: Proxy autenticado

[Rafael Moraes]

Ixi...ae complicou Leandro...

vo pensar aki

Em 9 de março de 2010 11:53, Leandro Moreira
escreveu:

> Rafael,
> Tem mais um problema e que o DHCP desse cliente roda no windows e nao no
> linux.
>
> Att.
>
> Leandro Moreira
>
> Em 9 de março de 2010 11:44, Rafael Moraes  escreveu:
>
> daria pra fazer usando o dhcp pra enviar as confs de proxy, porém tem esse
>> lance dos notes
>>
>>
>> Em 9 de março de 2010 11:41, Leandro Moreira <
>> lean...@leandromoreira.eti.br> escreveu:
>>
>> Caros,
>>> Recebi de um cliente a incumbência de montar do projeto de proxy
>>> autenticado, como sabemos o proxy autenticado tem que ser manual, so que
>>> esse cliente possui varias filiais e funcionarios que usam notebooks e que
>>> ficam transitando entre essas filiais, inviabilizando usar proxy manual.
>>> Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
>>>
>>> Att.
>>>
>>> --
>>> Leandro Moreira
>>> Network Administrator
>>> LPIC1 - Linux Professional Institute Certified
>>> e-mail/msn: lean...@leandromoreira.eti.br
>>> Tel.: + 55(32) 9906-5713
>>>
>>
>>
>>
>> --
>> Att,
>> Rafael Moraes
>> Linux Professional Institute Certified - LPI 1
>> Novell Certified Linux Administrator - CLA
>> Data Center Technical Specialist - DCTS
>> ITIL Foundations Certified
>>
>>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>



-- 
Att,
Rafael Moraes
Linux Professional Institute Certified - LPI 1
Novell Certified Linux Administrator - CLA
Data Center Technical Specialist - DCTS
ITIL Foundations Certified

Re: Proxy autenticado

[Leandro Moreira]

Rafael,
Tem mais um problema e que o DHCP desse cliente roda no windows e nao no
linux.

Att.

Leandro Moreira

Em 9 de março de 2010 11:44, Rafael Moraes  escreveu:

> daria pra fazer usando o dhcp pra enviar as confs de proxy, porém tem esse
> lance dos notes
>
>
> Em 9 de março de 2010 11:41, Leandro Moreira <
> lean...@leandromoreira.eti.br> escreveu:
>
> Caros,
>> Recebi de um cliente a incumbência de montar do projeto de proxy
>> autenticado, como sabemos o proxy autenticado tem que ser manual, so que
>> esse cliente possui varias filiais e funcionarios que usam notebooks e que
>> ficam transitando entre essas filiais, inviabilizando usar proxy manual.
>> Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
>>
>> Att.
>>
>> --
>> Leandro Moreira
>> Network Administrator
>> LPIC1 - Linux Professional Institute Certified
>> e-mail/msn: lean...@leandromoreira.eti.br
>> Tel.: + 55(32) 9906-5713
>>
>
>
>
> --
> Att,
> Rafael Moraes
> Linux Professional Institute Certified - LPI 1
> Novell Certified Linux Administrator - CLA
> Data Center Technical Specialist - DCTS
> ITIL Foundations Certified
>
>


-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Re: Proxy autenticado

[Allan Carvalho]

Não precisa ser manual Leandro.

Bom, eu uso de duas maneiras, os clientes do Internet Explorer podem
pegar as configurações direto do arquivo de conf do DHCP da seguinte
maneira:
option wpad-url "http://servidor.dominio.com.br/wpad.dat\n";;

O "\n" no final é necessário para os clientes Internet Explorer 6, do
7 ao 8 não há problemas.

Para o Firefox, você precisa criar o arquivo wpad.dat e criar um CNAME
no seu DNS, pois o Firefox irá procura por
http://wpad.dominio.com.br/wpad.dat

Feito isso. basta você selecionar a opção "Autodetectar as opções de
proxy para esta rede" nos browsers, e o resto fica automático.

Atenciosamente,
Allan Carvalho

Em 9 de março de 2010 11:41, Leandro Moreira
 escreveu:
> Caros,
> Recebi de um cliente a incumbência de montar do projeto de proxy
> autenticado, como sabemos o proxy autenticado tem que ser manual, so que
> esse cliente possui varias filiais e funcionarios que usam notebooks e que
> ficam transitando entre essas filiais, inviabilizando usar proxy manual.
> Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
>
> Att.
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/7b6247ee1003090729s6979dde3oaa14490a25089...@mail.gmail.com

Re: Proxy autenticado

[Bijani, Thiago]

Caros,

 Não sei mecher nisso, mas nesse caso, acredito que um script wpad ajudaria.
Não sei se seria uma solução ou um outro problema, mas é um caminho. Tem
muita documentação disso na rede...

Abrs.,

Thiago Bijani
Mobile: +55 21 7898-9032
Direct Connect: 55*82*44254
linkedin.com/in/thiago


2010/3/9 Leandro Moreira 

> Rafael,
> Tem mais um problema e que o DHCP desse cliente roda no windows e nao no
> linux.
>
> Att.
>
> Leandro Moreira
>
> Em 9 de março de 2010 11:44, Rafael Moraes  escreveu:
>
> daria pra fazer usando o dhcp pra enviar as confs de proxy, porém tem esse
>> lance dos notes
>>
>>
>> Em 9 de março de 2010 11:41, Leandro Moreira <
>> lean...@leandromoreira.eti.br> escreveu:
>>
>> Caros,
>>> Recebi de um cliente a incumbência de montar do projeto de proxy
>>> autenticado, como sabemos o proxy autenticado tem que ser manual, so que
>>> esse cliente possui varias filiais e funcionarios que usam notebooks e que
>>> ficam transitando entre essas filiais, inviabilizando usar proxy manual.
>>> Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.
>>>
>>> Att.
>>>
>>> --
>>> Leandro Moreira
>>> Network Administrator
>>> LPIC1 - Linux Professional Institute Certified
>>> e-mail/msn: lean...@leandromoreira.eti.br
>>> Tel.: + 55(32) 9906-5713
>>>
>>
>>
>>
>> --
>> Att,
>> Rafael Moraes
>> Linux Professional Institute Certified - LPI 1
>> Novell Certified Linux Administrator - CLA
>> Data Center Technical Specialist - DCTS
>> ITIL Foundations Certified
>>
>>
>
>
> --
> Leandro Moreira
> Network Administrator
> LPIC1 - Linux Professional Institute Certified
> e-mail/msn: lean...@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>

Proxy autenticado

[Leandro Moreira]

Caros,
Recebi de um cliente a incumbência de montar do projeto de proxy
autenticado, como sabemos o proxy autenticado tem que ser manual, so que
esse cliente possui varias filiais e funcionarios que usam notebooks e que
ficam transitando entre essas filiais, inviabilizando usar proxy manual.
Alguem pode me dar alguma sugestao de ferramenta que possa pesquizar.

Att.

-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Compartilhar Proxy Autenticado

[Eduardo Pizorno]

Boa noite galera da lista, estou com uma pequena dúvida em usar um proxy
autenticado, o negócio é o seguinte aqui na instituição que trabalho (escola
pública) recebemos um sinal de internet da Prodesp (um orgão público) que
tem uma simples autenticação  e um filtro muito deficiente, minha idéia é
receber esse sinal e compartilha-lo novamente com o squid+dansguardian ou
qualquer outra solução.
E quero também construir a base de usuários para que se autentiquem no meu
proxy, alguém tem um exemplo de como posso fazer isso (a parte de ficar
autenticado do primeiro proxy somente, pois o restante já está engatilhado)
Segue abaixo um esboço da rede

   |
__|_
   | proxy autenticado|
   -
|
|
-
|  proxy  |
--
  |
  
   | usuário  |
   ---

-- 
"Nunca diga às pessoas como fazer as coisas. Diga-lhes o que deve ser feito
e elas surpreenderão você com sua engenhosidade."
George Patton (1885-1945)

Re: Messenger-2009 e Proxy Autenticado

[Dinho]

já passei por algo parecido aqui na empresa

mas aqui utilizamos um software para controle de navegação do msn, além do
controle de navegação por proxy

algumas vezes, tinhamos que limpar o cache dos certificados ssl (aba
conteúdo, botão LIMPAR ESTADO SSL) no internet explorer, além de desmarcar a
opção "verificar revogação de certificado do editor" e "verificar revogação
de certificado do servidor"...

fazendo isso... dava certo

mas isso dependia muito da mensagem de erro que o msn passava



espero ter ajudado em algo.

Messenger-2009 e Proxy Autenticado

[Flávio R. Lopes]

Messenger-2009 e Proxy Autenticado

Olá galera.
Estou tendo problema com esta nova versão do MSN em alguns clientes meus 
que atualizaram a versão do Messenger-8.5 para o Messenger-2009 numa 
rede onde o Proxy é autenticado por usuário.


Na versão do Messenger-8.5 eu entrava nas Configurações Avançadas e lá 
eu informava manualmente:

--> o Edereço IP do servidor e a Porta do Proxy
--> o Usuário e a Senha (criei um usuário autorizado a MSN).

O problema é que na versão do Messenger-2009 não funciona, ou seja, o 
MSN não conecta.
Como solução provisória, tive que desinstalar esta versão e voltar para 
o Messenger-8.5


Obs: Nesta rede existe as seguintes configurações:
- No Servidor Linux tenho uma regra que obrigado as conexões a passarem 
pelo proxy:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 8080


- Nas estações Windows-XP eu informo MANUALMENTE nos Browsers (I.E e 
Mozilla) o IP e a Porta do Proxy


Alguém já passou por esse problema?
Será que é pau na nova versão do MSN?


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Proxy Autenticado + Conectividade Social (SEFIP)

[Flávio R. Lopes]

Ae galera
Ae Hamackerdeu tudo certo aki!!...tá tudo funfando agora "nos 
conformes" !!!

Valeu pela dicaeu tava fazendo uma caca por aki!
Obrigado

hamacker escreveu:

Também esquecí de dizer : hoje, o cmt.caixa.gov.br está fora do ar.
Então é um péssimo dia para voce ver se as suas regras funcionavam ou
nao.

2009/3/3 "Flávio R. Lopes" :
  

Ah!...esqueci de responderSim!...nas máquinas que acessam o
conectividade estão instalados o MSJAVA (e devidamente configurado no I.E)

hamacker escreveu:


Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
 echo "Liberando sites da caixa.gov.br..."
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
 # conectividade social
 echo "Liberando IPs conhecidos da caixa.gov.br"
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 "Flávio R. Lopes" :

  

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou
com
algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para
a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo
só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente
meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport
80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport
80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport
80

Re: Proxy Autenticado + Conectividade Social (SEFIP)

[hamacker]

Também esquecí de dizer : hoje, o cmt.caixa.gov.br está fora do ar.
Então é um péssimo dia para voce ver se as suas regras funcionavam ou
nao.

2009/3/3 "Flávio R. Lopes" :
> Ah!...esqueci de responderSim!...nas máquinas que acessam o
> conectividade estão instalados o MSJAVA (e devidamente configurado no I.E)
>
> hamacker escreveu:
>>
>> Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
>> Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
>> mantemos uma virtual machine com win98.
>> Segundamente, voce deve configurar o navegador para não usar proxy
>> para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
>> usa internet com esse endereço (suportamente) remoto.
>>
>> Aqui eu disponho de regras diferentes para o site da CAIXA :
>>  echo "Liberando sites da caixa.gov.br..."
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> cmt.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> webp.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> www.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> obsupgdp.caixa.gov.br -j MASQUERADE
>>  # conectividade social
>>  echo "Liberando IPs conhecidos da caixa.gov.br"
>> # debug :
>> #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
>> MASQUERADE
>> #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
>> MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.162.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.166.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.173.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.174.0/24 -j MASQUERADE
>>
>> EXTERNAL=eth0 (externa)
>> INTERNAL_NET=192.168.1.0/24
>> Os endereços de destino eu peguei do site da receita, já faz um tempo.
>> Outros endereços IPs governamentais (federal, estadual, prefeitura)
>> são complicadores porque eles mudam e não avisam. E a menos que voce
>> use netstat ou tcpdump não tem como descobrir porque a documentação
>> eles também não atualizam. Assim, na maioria das vezes que posso uso
>> masquerade desde que eu saiba o IP.
>>
>>
>> 2009/3/3 "Flávio R. Lopes" :
>>
>>>
>>> Olá galera.
>>> Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
>>> e
>>> tentei implementar as diversas soluções que achei no GOOGLE, mas estou
>>> com
>>> algumas dificuldades!!
>>>
>>> Antes vou lhes passar os detalhes das configurações:
>>> Num cliente meu implementei um Proxy(Squid) Autenticado.
>>> - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
>>> manualmente.
>>> - No firewall tambem coloquei uma regra para redirecionar o tráfego para
>>> a
>>> porta do proxy, para que se algum espertinho tirar as configurações dos
>>> Browsers ele não consiga navegar!!. A baixo segue a regra:
>>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
>>> --to-port 8080
>>>
>>> Agora começa a briga!
>>> Das regras para colocar no firewall que achei na Net(Google) deram certo
>>> só
>>> quando era Proxy Transparente.
>>> Pesquisando mais, achei as seguintes regras que resolveram parcialmente
>>> meu
>>> caso. Abaixo seguem elas:
>>> ## LIBERA TRAFEGO NA PORTA 80
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
>>>
>>> ## LIBERA TRAFEGO DA LAN NA PORTA 2631
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
>>>
>>> ## LIBERA O TRAFEGO PARA uma Maquina no RH
>>> $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT
>>>
>>>
>>> # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
>>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport
>>> 80
>>> -j RETURN
>>> $ipt

Re: Proxy Autenticado + Conectividade Social (SEFIP)

[hamacker]

Sim, todos eles autenticam usando smb_auth num servidor PDC Samba assim :
auth_param basic program /usr/lib/squid/smb_auth -W DOMINIO -U 192.168.1.2
auth_param basic children 50
auth_param basic realm "Autenticacao para internet corporativa"
auth_param basic credentialsttl 120 minute

A autenticacao é no servidor SAMBA, mas a partir da semana que vem
eles terao de autenticar num dominio AD windows 2003, por isso, eu tô
pesquisando a diferença entre autenticacao smb_auth e ntlm. A rede é
mixta e tem de tudo : windows 98, win2000, linux e winxp. Se alguem
souber qual é essa diferença por gentileza reply-me.

2009/3/3 "Flávio R. Lopes" :
> Olá Hamacker, obrigado pelo reply.
> Viu, deixa te fazer uma pergunta.
> Seu Squid é Autenticado? Ou seja, estas regras funcionam com o Squid
> Autenticado?
>
> hamacker escreveu:
>>
>> Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
>> Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
>> mantemos uma virtual machine com win98.
>> Segundamente, voce deve configurar o navegador para não usar proxy
>> para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
>> usa internet com esse endereço (suportamente) remoto.
>>
>> Aqui eu disponho de regras diferentes para o site da CAIXA :
>>  echo "Liberando sites da caixa.gov.br..."
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> cmt.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> webp.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> www.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> obsupgdp.caixa.gov.br -j MASQUERADE
>>  # conectividade social
>>  echo "Liberando IPs conhecidos da caixa.gov.br"
>> # debug :
>> #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
>> MASQUERADE
>> #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
>> MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.162.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.166.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.173.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.174.0/24 -j MASQUERADE
>>
>> EXTERNAL=eth0 (externa)
>> INTERNAL_NET=192.168.1.0/24
>> Os endereços de destino eu peguei do site da receita, já faz um tempo.
>> Outros endereços IPs governamentais (federal, estadual, prefeitura)
>> são complicadores porque eles mudam e não avisam. E a menos que voce
>> use netstat ou tcpdump não tem como descobrir porque a documentação
>> eles também não atualizam. Assim, na maioria das vezes que posso uso
>> masquerade desde que eu saiba o IP.
>>
>>
>> 2009/3/3 "Flávio R. Lopes" :
>>
>>>
>>> Olá galera.
>>> Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
>>> e
>>> tentei implementar as diversas soluções que achei no GOOGLE, mas estou
>>> com
>>> algumas dificuldades!!
>>>
>>> Antes vou lhes passar os detalhes das configurações:
>>> Num cliente meu implementei um Proxy(Squid) Autenticado.
>>> - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
>>> manualmente.
>>> - No firewall tambem coloquei uma regra para redirecionar o tráfego para
>>> a
>>> porta do proxy, para que se algum espertinho tirar as configurações dos
>>> Browsers ele não consiga navegar!!. A baixo segue a regra:
>>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
>>> --to-port 8080
>>>
>>> Agora começa a briga!
>>> Das regras para colocar no firewall que achei na Net(Google) deram certo
>>> só
>>> quando era Proxy Transparente.
>>> Pesquisando mais, achei as seguintes regras que resolveram parcialmente
>>> meu
>>> caso. Abaixo seguem elas:
>>> ## LIBERA TRAFEGO NA PORTA 80
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
>>>
>>> ## LIBERA TRAFEGO DA LAN NA PORTA 2631
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
>>>
>>> ## LIBERA O

Re: Proxy Autenticado + Conectividade Social (SEFIP)

[Flávio R. Lopes]

Ah!...esqueci de responderSim!...nas máquinas que acessam o 
conectividade estão instalados o MSJAVA (e devidamente configurado no I.E)


hamacker escreveu:

Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo "Liberando sites da caixa.gov.br..."
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo "Liberando IPs conhecidos da caixa.gov.br"
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 "Flávio R. Lopes" :
  

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
-j RETURN

# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080

Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.207
CAIXA4=200

Re: Proxy Autenticado + Conectividade Social (SEFIP)

[Flávio R. Lopes]

Olá Hamacker, obrigado pelo reply.
Viu, deixa te fazer uma pergunta.
Seu Squid é Autenticado? Ou seja, estas regras funcionam com o Squid 
Autenticado?


hamacker escreveu:

Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo "Liberando sites da caixa.gov.br..."
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo "Liberando IPs conhecidos da caixa.gov.br"
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 "Flávio R. Lopes" :
  

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
-j RETURN

# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080

Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.2

Re: Proxy Autenticado + Conectividade Social (SEFIP)

[hamacker]

Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo "Liberando sites da caixa.gov.br..."
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo "Liberando IPs conhecidos da caixa.gov.br"
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 "Flávio R. Lopes" :
> Olá galera.
> Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
> tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
> algumas dificuldades!!
>
> Antes vou lhes passar os detalhes das configurações:
> Num cliente meu implementei um Proxy(Squid) Autenticado.
> - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
> manualmente.
> - No firewall tambem coloquei uma regra para redirecionar o tráfego para a
> porta do proxy, para que se algum espertinho tirar as configurações dos
> Browsers ele não consiga navegar!!. A baixo segue a regra:
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 8080
>
> Agora começa a briga!
> Das regras para colocar no firewall que achei na Net(Google) deram certo só
> quando era Proxy Transparente.
> Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
> caso. Abaixo seguem elas:
> ## LIBERA TRAFEGO NA PORTA 80
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
>
> ## LIBERA TRAFEGO DA LAN NA PORTA 2631
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
>
> ## LIBERA O TRAFEGO PARA uma Maquina no RH
> $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT
>
>
> # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
> -j RETURN
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
> -j RETURN
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
> -j RETURN
>
> # REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
> -j REDIRECT --to-port 8080
> $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
> -j REDIRECT --to-port 8080
>
> Onde:
> CAIXA=200.201.173.68
> CAIXA2=200.201.166.200
> CAIXA3=200.201.174.207
> CAIXA4=200.201.174.0/24
> lan=192.168.1.0/24
> rh=192.168.1.

Proxy Autenticado + Conectividade Social (SEFIP)

[Flávio R. Lopes]

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei 
e tentei implementar as diversas soluções que achei no GOOGLE, mas estou 
com algumas dificuldades!!


Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e 
Porta) manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para 
a porta do proxy, para que se algum espertinho tirar as configurações 
dos Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 8080


Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo 
só quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente 
meu caso. Abaixo seguem elas:

## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 
80 -j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 
80 -j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 
80 -j RETURN


# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 
80 -j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 
80 -j REDIRECT --to-port 8080


Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.207
CAIXA4=200.201.174.0/24
lan=192.168.1.0/24
rh=192.168.1.10

Obs: Estas regras foram colocadas ANTES da regra que faz o 
redirecionamento para a porta do Proxy!!!


Agora para deixar eu maluco de vez:
Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue 
efetuar a troca de chaves e conecta normalmente na Conectividade 
Social!!, Até aí ótimo...resolve parcialmente meu problema!


O problema é que ao tentar fazer uma tranferência usando o programa 
(instalado no computador) da  SEFIP - Envio do RE (Selo) dá um erro na 
hora do envio dizendo que "a máquina sem conexão com a internet."


Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar 
dos browsers a configuração para passar pelo Proxy aí funciona tudo !!!


Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO??


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Proxy Autenticado -> Bloquer imagens remotas no Outlook

[Flávio R. Lopes]

Olá João.
Então...também ja fiz isto.
Além de colocar manualmente nos Browser (Mozilla e Firefox) também criei 
esta regra no Iptables para direcionar mo tráfego para a porta, no meu 
caso, 8080


João Henrique Viana escreveu:

Flávio,

Pelo que entendi você está querendo que seus usuários usem o proxy em 
qualquer programa que acesse a Internet e não somente no IE/Firefox 
onde você configura manualmente a utilização de proxy.
Para isso você tem de utilizar o squid de forma "transparente" com 
regras em seu Iptables direcionando o tráfego da porta 80 e/ou 443 
para seu squid 8080 ou 3128, e bloqueando o resto.

Dê uma googlada em proxy transparente que vc acha rápido sua solução

Sds,

João Henrique
"There is 10 kind of people in this world, those that understand 
binary and those that don't!!"


Flávio R. Lopes escreveu:

Olá Lista.
Meu Squid/Proxy já está configurado e fazendo a autenticação dos 
usuários.
Agora "os chefes" querem que eu bloqueie também as imagens (não 
deixar que elas carreguem sem passar pelo Proxy) que possam chegar 
via e-mail
Estas imagens estariam no corpo do e-maile são imagens que ao 
abrir o Outlook Express elas carregam automaticamente.


Tipo assim: Se o usuário receber no seu e-mail 10 imagens,_* TEM QUE 
ABRIR*_ 10 janelinhas pedindo o USUÁRIO e a SENHA.


Bom, vcs perceberam que estou falando de "links" no corpo do e-mail e 
não as imagens já definidas como Plano de Fundo..


Como faço isso?Dá pra fazer também no Thunderbird?

Abraço,
Flávio -- To UNSUBSCRIBE, email to 
[EMAIL PROTECTED] with a subject of 
"unsubscribe". Trouble? Contact [EMAIL PROTECTED] 



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Autenticado -> Bloquer imagens remotas no Outlook

[Flávio R. Lopes]

Olá Rafael.
Sim. Eu sei que se a imagem já estiver definida como plano de fundo não dá.
Eu digo quando a imagem é REMOTA, ou seja, ela carrega automaticamente 
por meio de um Link
E o servidor de e-mail não fica nesta empresaé terceirizado (está 
num provedor)




Rafael Gomes Dantas escreveu:
Se a imagem foi enviada como anexa, acho que não tem como. Nem fazer 
ele pedir usuário e senha pra cada imagem que ele carregar. Mas acho 
que você consegue configurar o seu servidor de emails para parsear 
esses emails e tirar essas coisas.


2008/9/30 "Flávio R. Lopes" <[EMAIL PROTECTED] 
>


Olá Lista.
Meu Squid/Proxy já está configurado e fazendo a autenticação dos
usuários.
Agora "os chefes" querem que eu bloqueie também as imagens (não
deixar que elas carreguem sem passar pelo Proxy) que possam chegar
via e-mail
Estas imagens estariam no corpo do e-maile são imagens que ao
abrir o Outlook Express elas carregam automaticamente.

Tipo assim: Se o usuário receber no seu e-mail 10 imagens,_* TEM
QUE ABRIR*_ 10 janelinhas pedindo o USUÁRIO e a SENHA.

Bom, vcs perceberam que estou falando de "links" no corpo do
e-mail e não as imagens já definidas como Plano de Fundo..

Como faço isso?Dá pra fazer também no Thunderbird?

Abraço,
Flávio
-- To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
 with a
subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]  






--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Autenticado -> Bloquer imagens remotas no Outlook

[João Henrique Viana]

Flávio,

Pelo que entendi você está querendo que seus usuários usem o proxy em
qualquer programa que acesse a Internet e não somente no IE/Firefox
onde você configura manualmente a utilização de proxy.
Para isso você tem de utilizar o squid de forma "transparente" com
regras em seu Iptables direcionando o tráfego da porta 80 e/ou 443 para
seu squid 8080 ou 3128, e bloqueando o resto.
Dê uma googlada em proxy transparente que vc acha rápido sua solução

Sds,

João Henrique
"There is 10 kind of people in this world, those that understand binary
and those that don't!!"

Flávio R. Lopes escreveu:
Olá
Lista.
  
Meu Squid/Proxy já está configurado e fazendo a autenticação dos
usuários.
  
Agora "os chefes" querem que eu bloqueie também as imagens (não deixar
que elas carreguem sem passar pelo Proxy) que possam chegar via
e-mail
  
Estas imagens estariam no corpo do e-maile são imagens que ao abrir
o Outlook Express elas carregam automaticamente.
  
  
Tipo assim: Se o usuário receber no seu e-mail 10 imagens, TEM
QUE ABRIR 10 janelinhas pedindo o USUÁRIO e a SENHA.
  
  
Bom, vcs perceberam que estou falando de "links" no corpo do e-mail e
não as imagens já definidas como Plano de Fundo..
  
  
Como faço isso?Dá pra fazer também no Thunderbird?
  
  
Abraço,
  
Flávio
-- To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]





-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Autenticado -> Bloquer imagens remotas no Outlook

[Rafael Gomes Dantas]

Se a imagem foi enviada como anexa, acho que não tem como. Nem fazer ele
pedir usuário e senha pra cada imagem que ele carregar. Mas acho que você
consegue configurar o seu servidor de emails para parsear esses emails e
tirar essas coisas.

2008/9/30 "Flávio R. Lopes" <[EMAIL PROTECTED]>

>  Olá Lista.
> Meu Squid/Proxy já está configurado e fazendo a autenticação dos usuários.
> Agora "os chefes" querem que eu bloqueie também as imagens (não deixar que
> elas carreguem sem passar pelo Proxy) que possam chegar via e-mail
> Estas imagens estariam no corpo do e-maile são imagens que ao abrir o
> Outlook Express elas carregam automaticamente.
>
> Tipo assim: Se o usuário receber no seu e-mail 10 imagens,* TEM QUE ABRIR*10 
> janelinhas pedindo o USUÁRIO e a SENHA.
>
> Bom, vcs perceberam que estou falando de "links" no corpo do e-mail e não
> as imagens já definidas como Plano de Fundo..
>
> Como faço isso?Dá pra fazer também no Thunderbird?
>
> Abraço,
> Flávio
> -- To UNSUBSCRIBE, email to
> [EMAIL PROTECTED] with a subject of
> "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Proxy Autenticado -> Bloquer imagens remotas no Outlook

[Flávio R. Lopes]

Olá Lista.

Meu Squid/Proxy já está configurado e fazendo a autenticação dos
usuários.

Agora "os chefes" querem que eu bloqueie também as imagens (não deixar
que elas carreguem sem passar pelo Proxy) que possam chegar via
e-mail

Estas imagens estariam no corpo do e-maile são imagens que ao abrir
o Outlook Express elas carregam automaticamente.


Tipo assim: Se o usuário receber no seu e-mail 10 imagens, TEM
QUE ABRIR 10 janelinhas pedindo o USUÁRIO e a SENHA.


Bom, vcs perceberam que estou falando de "links" no corpo do e-mail e
não as imagens já definidas como Plano de Fundo..


Como faço isso?Dá pra fazer também no Thunderbird?


Abraço,

Flávio




-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Liberando MSN proxy autenticado.

[gunix]

Tinha uma regra no squid que era assim.

acl ldapNetMSN external ldap_group NetMSN
acl msnLIB url_regex -i gateway.dll

Em baixo liberava assim

http_access deny msnLIB !ldapNetMSN

sendo que a regra era a primeira do squid ou seja, sem blqueios anteriores.
Porem nao estou consegundo autenticar no msn com proxy autenticado.

Alguem sabe me dizer o que posso testar?

Att
Gustavo

Usando proxy autenticado com java

[Ronaldo Reis Junior]

Pessoal,

uso o Jabref e estava querendo fazer ele acessar a rede via um proxy 
autenticado.

No manual eu encontrei isto:

Using a Proxy Server
If you need to use an http proxy server, pass the server name and port number 
to java at runtime. These environment settings are documented at

http://java.sun.com/j2se/1.4.2/docs/guide/net/properties.html

java -Dhttp.proxyHost="hostname" -Dhttp.proxyPort="portnumber"

Eu testei e não funciona, além disto aqui não tem como eu colocar o usuário e 
a senha.

Alguem sabe como fazer isto?

[EMAIL PROTECTED] ~]$ dpkg -l | grep sun
ii  sun-java6-bin 6-04-2   
ii  sun-java6-fonts   6-04-2   
ii  sun-java6-jdk 6-04-2   
ii  sun-java6-jre 6-04-2   
ii  sun-java6-plugin  6-04-2

Valeu
Inte
-- 
FORTRAN is the language of Powerful Computers.
-- Steven Feiner
--
> Prof. Ronaldo Reis Júnior
|  .''`. UNIMONTES/Depto. Biologia Geral/Lab. de Biologia Computacional
| : :'  : Campus Universitário Prof. Darcy Ribeiro, Vila Mauricéia
| `. `'` CP: 126, CEP: 39401-089, Montes Claros - MG - Brasil
|   `- Fone: (38) 3229-8187 | [EMAIL PROTECTED] | [EMAIL PROTECTED]
| http://www.ppgcb.unimontes.br/ | ICQ#: 5692561 | LinuxUser#: 205366


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]