Tive esse problema uma vez, e resolvi criando uma acl que liberava o ip do conectividade social da caixa no squid. Algo assim: *acl conectividade src 200.201.173.68 http_access allow conectividade http_access allow password * Pode ter algo diferente ou errado na grafia pois não crio um squid já tem ano. Mas o importante é colocar esta regra antes da acl password, ou seja, libera antes de autenticar, assim ele trata as conexoes do conectividade como praticamente um "transparent".
Veja se ajuda. 2009/7/22 pare pare <[email protected]> > > Camarada Daniel; > Até onde eu me lembro quando trabalhei em um provedor de > internet só conseguimos ressolver esse problema com o "Conectividade da > Caixa" colocando uma regra no iptables que direcionava o trafego para o site > da caixa por fora do proxy. Essa regra pode ser setada por cliente ip > individual ou para todos ips da sua intranet que acessem a extranet. > Não tenho as regras aqui mas vou tentar conseguir pra vc. > Pra você ver que é verdade se vc conseguir colocar uo determinado ip > cliente pra trafegarpor fora do proxy vc vera que ele tem acesso ao > "conectividade da caixa" > > Att, > [email protected] > giderlin souza > ------------------------------ > From: [email protected] > Date: Tue, 21 Jul 2009 19:17:25 -0300 > Subject: [slack-users] Re: Dúvida Iptables > To: [email protected] > > > Boa noite. > > Então, quanto ao Java, estou usando o da Microsoft mesmo, não sei, talvez > pode ser relacionado a versão do IE (7.0)? > > Abaixo, a saída do tcpdump, ele se comunica com o "obsupgdp.caixa.gov.br" > que é referente ao ip "200.201.173.68" (bem no momento em que clico em > "login"). > > 19:05:19.444040 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: > Flags [S], seq 1077298886, win 65535, options [mss 1460,nop,nop,sackOK], > length 0 > 19:05:19.527784 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: > Flags [S.], seq 945663386, ack 1077298887, win 64240, options [mss > 1380,nop,nop,sackOK], length 0 > 19:05:19.527936 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: > Flags [.], ack 1, win 65535, length 0 > 19:05:19.528257 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: > Flags [P.], ack 1, win 65535, length 91 > 19:05:19.615933 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: > Flags [FP.], seq 1:165, ack 92, win 64149, length 164 > 19:05:19.616128 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: > Flags [.], ack 166, win 65371, length 0 > 19:05:19.628046 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: > Flags [F.], seq 92, ack 166, win 65371, length 0 > 19:05:19.712590 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: > Flags [.], ack 93, win 64149, length 0 > > O que vc acha? > > > 2009/7/21 max <[email protected]> > > > > 2009/7/21 max <[email protected]> > >> > >> > 2009/7/21 Herbert Faleiros <[email protected]> > >> >> > >> >> On Monday 20 July 2009 23:59:21 Daniel Gariani Rafael wrote: > >> >> > "tenho algo semelhante implementado aqui em alguns servidores", nao > >> >> > teria > >> >> > como voce me passar a parte referente ao conectividade que você tem > >> >> > no > >> >> > seu > >> >> > servidor? Ainda estou apanhando aqui. > >> >> > >> >> é só colocar aquela regra antes do seu intercept do Squid (dnat ou > >> >> redirect), > >> >> aqui não tenho nada usando RFC1918, então não tenho algo > implementando > >> >> exatamente o seu case, mas o bypass funciona daquela maneira. > >> >> > >> >> Se quiser, mande a sua tabela nat que tento ver como pode implementar > >> >> melhor > >> >> isso. > >> >> > >> >> -- > >> >> Herbert > >> > >> > >> 2009/7/21 Daniel Gariani Rafael <[email protected]>: > >> > Eai pessoal. > >> > > >> > Bem, primeiro, acabei esquecendo de comentar, mas estou usando o proxy > >> > autenticado, ai que esta me matando, porque não sei se preciso usar a > >> > regra > >> > que direciona para 3128... ou se precisa... > >> > > >> > Quanto ao firewall, eu enviaria, mas a unica coisa que tem nele eh as > >> > tentativas que estou tentando com o site da caixa, nao tem nada nele. > >> > > >> > Bem, a cada dia me sinto mais perdido com o iptables, mesmo lendo as > >> > doc. > >> > > >> > Abraços. > >> > >> Bom, se o proxy é autenticado e tu usa o Squid como proxy, não pode > >> redirecionar. Tem que configurar o navegador para usar o proxy e > >> fornecer usuário e senah quando solicitado (é uma limitação do Squid, > >> ele não pode fazer proxy transparente e exigir autenticação). > >> > >> Mas como falei antes, sem saber as tuas outras regras não tem muito > >> que alguém possa fazer por ti senão dar palpites. > >> > >> Qual a saida do iptables-save? > >> > > 2009/7/21 Daniel Gariani Rafael <[email protected]>: > > Boa noite. > > > > Então, andei seguindo o que foi dito, outras, pegando na internet, e saiu > > isso. Nao sei se o script esta limpo, digo, se tem regras que não precisa > > ter, etc... o importante é que esta funcionando, depois, analiso com mais > > cuidado e vou fazendo a limpeza necessária. > > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE > > > > iptables -t nat -A PREROUTING -d 200.201.166.0/24 -p tcp -j ACCEPT > > iptables -t nat -A PREROUTING -d 200.201.173.0/24 -p tcp -j ACCEPT > > iptables -t nat -A PREROUTING -d 200.201.174.0/24 -p tcp -j ACCEPT > > iptables -t nat -A PREROUTING -d 200.201.162.0/24 -p tcp -j ACCEPT > > > > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.166.0/24 -p tcp -j > ACCEPT > > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.173.0/24 -p tcp -j > ACCEPT > > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.174.0/24 -p tcp -j > ACCEPT > > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.162.0/24 -p tcp -j > ACCEPT > > > > iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 200.201.0.0/16 -p > tcp > > --dport 80 -j REDIRECT --to-port 3128 > > > > O que estou me deparando agora é quando tento acessar o cliente java, > > especifico o certificado/senha e retorna a mensagem "Falha ao receber > > mensagem de troca de chaves do Gateway" > > > > Alguém já passou por isso? > > > > Att. > > > > Daniel Gariani Rafael > > As regras estão certas, com exceção da última que *não* deveria > existir porque o teu proxy não é transparente. > > Sobre o problema do certificado, usa o tcpdump no firewall para > entender o que está acontecendo com os pacotes. > > Há também uma segunda possibilidade: eu lembro que o conectividade > social tinha problemas se a JVM usada era da Sun, para funcionar > direito tinha que usar a JVM da Microsoft que por sinal foi > descontinuada e com ajuda do google tu podia encontrar uma versão para > download nos servidores de conteudo estático da CEF (ou seria do BB? > eu não lembro...) > > Mas duvido que esta última opção ainda seja válida, faz tanto tempo... > > > > > > -- > Daniel Gariani Rafael > > > > -- Guilherme de Lima Gontijo --------------------------------------- GLG - Informática, Redes e Consultoria Consultor de Segurança em Redes Consultor em Redes Wireless pQui Linux Partner <[email protected]> http://www.pquilinux.org Linux User #472210 Graduando em Redes de Comunicação - IFG --------------------------------------- Gtalk: [email protected] aMSN: [email protected] Skype: korosso --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
