Camarada Daniel;
Até onde eu me lembro quando trabalhei em um provedor de
internet só conseguimos ressolver esse problema com o "Conectividade da Caixa"
colocando uma regra no iptables que direcionava o trafego para o site da caixa
por fora do proxy. Essa regra pode ser setada por cliente ip individual ou para
todos ips da sua intranet que acessem a extranet.
Não tenho as regras aqui mas vou tentar conseguir pra vc.
Pra você ver que é verdade se vc conseguir colocar uo determinado ip cliente
pra trafegarpor fora do proxy vc vera que ele tem acesso ao "conectividade da
caixa"
Att,
[email protected]
giderlin souza
From: [email protected]
Date: Tue, 21 Jul 2009 19:17:25 -0300
Subject: [slack-users] Re: Dúvida Iptables
To: [email protected]
Boa noite.
Então, quanto ao Java, estou usando o da Microsoft mesmo, não sei, talvez pode
ser relacionado a versão do IE (7.0)?
Abaixo, a saída do tcpdump, ele se comunica com o "obsupgdp.caixa.gov.br" que é
referente ao ip "200.201.173.68" (bem no momento em que clico em "login").
19:05:19.444040 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: Flags
[S], seq 1077298886, win 65535, options [mss 1460,nop,nop,sackOK], length 0
19:05:19.527784 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: Flags
[S.], seq 945663386, ack 1077298887, win 64240, options [mss
1380,nop,nop,sackOK], length 0
19:05:19.527936 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: Flags
[.], ack 1, win 65535, length 0
19:05:19.528257 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: Flags
[P.], ack 1, win 65535, length 91
19:05:19.615933 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: Flags
[FP.], seq 1:165, ack 92, win 64149, length 164
19:05:19.616128 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: Flags
[.], ack 166, win 65371, length 0
19:05:19.628046 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: Flags
[F.], seq 92, ack 166, win 65371, length 0
19:05:19.712590 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: Flags
[.], ack 93, win 64149, length 0
O que vc acha?
2009/7/21 max <[email protected]>
> 2009/7/21 max <[email protected]>
>>
>> > 2009/7/21 Herbert Faleiros <[email protected]>
>> >>
>> >> On Monday 20 July 2009 23:59:21 Daniel Gariani Rafael wrote:
>> >> > "tenho algo semelhante implementado aqui em alguns servidores", nao
>> >> > teria
>> >> > como voce me passar a parte referente ao conectividade que você tem
>> >> > no
>> >> > seu
>> >> > servidor? Ainda estou apanhando aqui.
>> >>
>> >> é só colocar aquela regra antes do seu intercept do Squid (dnat ou
>> >> redirect),
>> >> aqui não tenho nada usando RFC1918, então não tenho algo implementando
>> >> exatamente o seu case, mas o bypass funciona daquela maneira.
>> >>
>> >> Se quiser, mande a sua tabela nat que tento ver como pode implementar
>> >> melhor
>> >> isso.
>> >>
>> >> --
>> >> Herbert
>>
>>
>> 2009/7/21 Daniel Gariani Rafael <[email protected]>:
>> > Eai pessoal.
>> >
>> > Bem, primeiro, acabei esquecendo de comentar, mas estou usando o proxy
>> > autenticado, ai que esta me matando, porque não sei se preciso usar a
>> > regra
>> > que direciona para 3128... ou se precisa...
>> >
>> > Quanto ao firewall, eu enviaria, mas a unica coisa que tem nele eh as
>> > tentativas que estou tentando com o site da caixa, nao tem nada nele.
>> >
>> > Bem, a cada dia me sinto mais perdido com o iptables, mesmo lendo as
>> > doc.
>> >
>> > Abraços.
>>
>> Bom, se o proxy é autenticado e tu usa o Squid como proxy, não pode
>> redirecionar. Tem que configurar o navegador para usar o proxy e
>> fornecer usuário e senah quando solicitado (é uma limitação do Squid,
>> ele não pode fazer proxy transparente e exigir autenticação).
>>
>> Mas como falei antes, sem saber as tuas outras regras não tem muito
>> que alguém possa fazer por ti senão dar palpites.
>>
>> Qual a saida do iptables-save?
>>
2009/7/21 Daniel Gariani Rafael <[email protected]>:
> Boa noite.
>
> Então, andei seguindo o que foi dito, outras, pegando na internet, e saiu
> isso. Nao sei se o script esta limpo, digo, se tem regras que não precisa
> ter, etc... o importante é que esta funcionando, depois, analiso com mais
> cuidado e vou fazendo a limpeza necessária.
>
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
>
> iptables -t nat -A PREROUTING -d 200.201.166.0/24 -p tcp -j ACCEPT
> iptables -t nat -A PREROUTING -d 200.201.173.0/24 -p tcp -j ACCEPT
> iptables -t nat -A PREROUTING -d 200.201.174.0/24 -p tcp -j ACCEPT
> iptables -t nat -A PREROUTING -d 200.201.162.0/24 -p tcp -j ACCEPT
>
> iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.166.0/24 -p tcp -j ACCEPT
> iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.173.0/24 -p tcp -j ACCEPT
> iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.174.0/24 -p tcp -j ACCEPT
> iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.162.0/24 -p tcp -j ACCEPT
>
> iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 200.201.0.0/16 -p tcp
> --dport 80 -j REDIRECT --to-port 3128
>
> O que estou me deparando agora é quando tento acessar o cliente java,
> especifico o certificado/senha e retorna a mensagem "Falha ao receber
> mensagem de troca de chaves do Gateway"
>
> Alguém já passou por isso?
>
> Att.
>
> Daniel Gariani Rafael
As regras estão certas, com exceção da última que *não* deveria
existir porque o teu proxy não é transparente.
Sobre o problema do certificado, usa o tcpdump no firewall para
entender o que está acontecendo com os pacotes.
Há também uma segunda possibilidade: eu lembro que o conectividade
social tinha problemas se a JVM usada era da Sun, para funcionar
direito tinha que usar a JVM da Microsoft que por sinal foi
descontinuada e com ajuda do google tu podia encontrar uma versão para
download nos servidores de conteudo estático da CEF (ou seria do BB?
eu não lembro...)
Mas duvido que esta última opção ainda seja válida, faz tanto tempo...
--
Daniel Gariani Rafael
_________________________________________________________________
Conheça os novos produtos Windows Live! Clique aqui.
http://www.windowslive.com.br
--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
-~----------~----~----~----~------~----~------~--~---
