Boa noite pessoal. Não respondi antes porque realmente não deu tempo, fico grato pela ajuda de todos, consegui resolver os problemas quanto ao Conectividade. Bem, é isso.
Um abraço a todos. Att. Daniel Gariani Rafael. 2009/7/22 Guilherme Lima <[email protected]> > Tive esse problema uma vez, e resolvi criando uma acl que liberava o ip do > conectividade social da caixa no squid. > Algo assim: > *acl conectividade src 200.201.173.68 > http_access allow conectividade > http_access allow password > * > Pode ter algo diferente ou errado na grafia pois não crio um squid já tem > ano. > Mas o importante é colocar esta regra antes da acl password, ou seja, > libera antes de autenticar, assim ele trata as conexoes do conectividade > como praticamente um "transparent". > > Veja se ajuda. > > 2009/7/22 pare pare <[email protected]> > > >> Camarada Daniel; >> Até onde eu me lembro quando trabalhei em um provedor de >> internet só conseguimos ressolver esse problema com o "Conectividade da >> Caixa" colocando uma regra no iptables que direcionava o trafego para o site >> da caixa por fora do proxy. Essa regra pode ser setada por cliente ip >> individual ou para todos ips da sua intranet que acessem a extranet. >> Não tenho as regras aqui mas vou tentar conseguir pra vc. >> Pra você ver que é verdade se vc conseguir colocar uo determinado ip >> cliente pra trafegarpor fora do proxy vc vera que ele tem acesso ao >> "conectividade da caixa" >> >> Att, >> [email protected] >> giderlin souza >> ------------------------------ >> From: [email protected] >> Date: Tue, 21 Jul 2009 19:17:25 -0300 >> Subject: [slack-users] Re: Dúvida Iptables >> To: [email protected] >> >> >> Boa noite. >> >> Então, quanto ao Java, estou usando o da Microsoft mesmo, não sei, talvez >> pode ser relacionado a versão do IE (7.0)? >> >> Abaixo, a saída do tcpdump, ele se comunica com o "obsupgdp.caixa.gov.br" >> que é referente ao ip "200.201.173.68" (bem no momento em que clico em >> "login"). >> >> 19:05:19.444040 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: >> Flags [S], seq 1077298886, win 65535, options [mss 1460,nop,nop,sackOK], >> length 0 >> 19:05:19.527784 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: >> Flags [S.], seq 945663386, ack 1077298887, win 64240, options [mss >> 1380,nop,nop,sackOK], length 0 >> 19:05:19.527936 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: >> Flags [.], ack 1, win 65535, length 0 >> 19:05:19.528257 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: >> Flags [P.], ack 1, win 65535, length 91 >> 19:05:19.615933 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: >> Flags [FP.], seq 1:165, ack 92, win 64149, length 164 >> 19:05:19.616128 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: >> Flags [.], ack 166, win 65371, length 0 >> 19:05:19.628046 IP 192.168.2.197.stun-p2 > obsupgdp.caixa.gov.br.http: >> Flags [F.], seq 92, ack 166, win 65371, length 0 >> 19:05:19.712590 IP obsupgdp.caixa.gov.br.http > 192.168.2.197.stun-p2: >> Flags [.], ack 93, win 64149, length 0 >> >> O que vc acha? >> >> >> 2009/7/21 max <[email protected]> >> >> >> > 2009/7/21 max <[email protected]> >> >> >> >> > 2009/7/21 Herbert Faleiros <[email protected]> >> >> >> >> >> >> On Monday 20 July 2009 23:59:21 Daniel Gariani Rafael wrote: >> >> >> > "tenho algo semelhante implementado aqui em alguns servidores", >> nao >> >> >> > teria >> >> >> > como voce me passar a parte referente ao conectividade que você >> tem >> >> >> > no >> >> >> > seu >> >> >> > servidor? Ainda estou apanhando aqui. >> >> >> >> >> >> é só colocar aquela regra antes do seu intercept do Squid (dnat ou >> >> >> redirect), >> >> >> aqui não tenho nada usando RFC1918, então não tenho algo >> implementando >> >> >> exatamente o seu case, mas o bypass funciona daquela maneira. >> >> >> >> >> >> Se quiser, mande a sua tabela nat que tento ver como pode >> implementar >> >> >> melhor >> >> >> isso. >> >> >> >> >> >> -- >> >> >> Herbert >> >> >> >> >> >> 2009/7/21 Daniel Gariani Rafael <[email protected]>: >> >> > Eai pessoal. >> >> > >> >> > Bem, primeiro, acabei esquecendo de comentar, mas estou usando o >> proxy >> >> > autenticado, ai que esta me matando, porque não sei se preciso usar a >> >> > regra >> >> > que direciona para 3128... ou se precisa... >> >> > >> >> > Quanto ao firewall, eu enviaria, mas a unica coisa que tem nele eh as >> >> > tentativas que estou tentando com o site da caixa, nao tem nada nele. >> >> > >> >> > Bem, a cada dia me sinto mais perdido com o iptables, mesmo lendo as >> >> > doc. >> >> > >> >> > Abraços. >> >> >> >> Bom, se o proxy é autenticado e tu usa o Squid como proxy, não pode >> >> redirecionar. Tem que configurar o navegador para usar o proxy e >> >> fornecer usuário e senah quando solicitado (é uma limitação do Squid, >> >> ele não pode fazer proxy transparente e exigir autenticação). >> >> >> >> Mas como falei antes, sem saber as tuas outras regras não tem muito >> >> que alguém possa fazer por ti senão dar palpites. >> >> >> >> Qual a saida do iptables-save? >> >> >> >> 2009/7/21 Daniel Gariani Rafael <[email protected]>: >> > Boa noite. >> > >> > Então, andei seguindo o que foi dito, outras, pegando na internet, e >> saiu >> > isso. Nao sei se o script esta limpo, digo, se tem regras que não >> precisa >> > ter, etc... o importante é que esta funcionando, depois, analiso com >> mais >> > cuidado e vou fazendo a limpeza necessária. >> > >> > >> > echo 1 > /proc/sys/net/ipv4/ip_forward >> > >> > iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE >> > >> > iptables -t nat -A PREROUTING -d 200.201.166.0/24 -p tcp -j ACCEPT >> > iptables -t nat -A PREROUTING -d 200.201.173.0/24 -p tcp -j ACCEPT >> > iptables -t nat -A PREROUTING -d 200.201.174.0/24 -p tcp -j ACCEPT >> > iptables -t nat -A PREROUTING -d 200.201.162.0/24 -p tcp -j ACCEPT >> > >> > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.166.0/24 -p tcp -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.173.0/24 -p tcp -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.174.0/24 -p tcp -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.162.0/24 -p tcp -j >> ACCEPT >> > >> > iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 200.201.0.0/16 -p >> tcp >> > --dport 80 -j REDIRECT --to-port 3128 >> > >> > O que estou me deparando agora é quando tento acessar o cliente java, >> > especifico o certificado/senha e retorna a mensagem "Falha ao receber >> > mensagem de troca de chaves do Gateway" >> > >> > Alguém já passou por isso? >> > >> > Att. >> > >> > Daniel Gariani Rafael >> >> As regras estão certas, com exceção da última que *não* deveria >> existir porque o teu proxy não é transparente. >> >> Sobre o problema do certificado, usa o tcpdump no firewall para >> entender o que está acontecendo com os pacotes. >> >> Há também uma segunda possibilidade: eu lembro que o conectividade >> social tinha problemas se a JVM usada era da Sun, para funcionar >> direito tinha que usar a JVM da Microsoft que por sinal foi >> descontinuada e com ajuda do google tu podia encontrar uma versão para >> download nos servidores de conteudo estático da CEF (ou seria do BB? >> eu não lembro...) >> >> Mas duvido que esta última opção ainda seja válida, faz tanto tempo... >> >> >> >> >> >> -- >> Daniel Gariani Rafael >> >> >> >> > > > -- > > Guilherme de Lima Gontijo > --------------------------------------- > GLG - Informática, Redes e Consultoria > Consultor de Segurança em Redes > Consultor em Redes Wireless > > pQui Linux Partner <[email protected]> > http://www.pquilinux.org > Linux User #472210 > > Graduando em Redes de Comunicação - IFG > --------------------------------------- > Gtalk: [email protected] > aMSN: [email protected] > Skype: korosso > -- Daniel Gariani Rafael --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
