Conectividade Social - Antes de postar, leia aqui
Atualizado 24/11/05 - Estou usando em VÁRIOS clientes e funciona.
Coloque as linhas abaixo no seu Firewall:
# ETH0 = LAN/ ETH1 = REDE EXTERNA = INTERNET
fw = /sbin/iptables
lan = 192.168.0.0/24
mundo=0/0
conectividade = 200.201.174.0/24
outrosite1 = x.x.x.x/32
outrosite2 = y.y.y.y/25
# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT
# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT
# EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $conectividade --dport 80 -j RETURN
# EXCLUE OUTRO SITE (1) DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite1 --dport 80 -j RETURN
# EXCLUE OUTRO SITE (2) DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite2 --dport 80 -j RETURN
# REDIRECIONA TRÁFEGO INTERNO PARA PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128
$fw -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128
*Caso seu proxy seja autenticado, você cria uma ACL com o endereço do conectividade social ou da URL que deseja liberar e coloca ANTES DE TODAS as ACL, assim, ele não vai pedir senha quando o programa tentar acessar o conectividade, evitando assim, que o usuário tenha que ficar desmarcando o proxy no browser.
Conectividade Social - Antes de postar, leia aqui
Faltou o NAT na porta 2631 :P
Conectividade Social - Antes de postar, leia aqui
# Falai pessoALL
#
# no meu caso funfo assim
#
$IPTABLES -A FORWARD -s $rede_interna -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d $rede_interna --dport 80 -j ACCEPT
#
# Ai no SQUID fiz assim
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
#
#
:toim:
#
#
[]´sssss 4ALL
Pesquise antes de perguntar.
Aew,
Bacana a ideia, resta saber se o pessoal vai ler antes de perguntar!!
:)
flws,
Re: Conectividade Social - Antes de postar, leia aqui
Citação:
Postado originalmente por whinston
Coloque as linhas abaixo no seu Firewall:
fw = /sbin/iptables
lan = 192.168.0.0/24
conectividade = 200.201.174.0/24
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT
# se você usa proxy sem autenticação e transparente:
$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128
Caso seu proxy seja autenticado, a única opção é desmarcar o proxy quando for utilizar o programa, uma vez que o programa é super moderno e não permite o fornecimento de dados para conexão com este tipo de proxy.
Bom dia... Esta sua dica é só para o programa do conectividade ou também resolve o problema do cmt.caixa.gov.br? No meu caso o conectividade stá funcionando bem, até enviando e rebendo mensagens... O meu problema aqui é com esse maldito applet que roda nesse site da caixa, usado pra pegar extrato de FGTS... Mais detalhes do problema em: https://under-linux.org/modules.php?...=125720#125720
Espero que alguém possa me ajudar, pois a coisa tá feia aqui...
Conectividade Social - Antes de postar, leia aqui
Está acontecendo uma coisa aqui com o java também... Quando abro a página cmt.caixa.gov.br aparece no rodapé da página "Applet SlimCli notinited", e realmente nem foi instalado o applet, não sei porque...
Pelo console do java tenho a seguinte mensagem:
Java Plug-in 1.5.0_02
Using JRE version 1.5.0_02 Java HotSpot(TM) Client VM
User home directory = C:\Documents and Settings\Administrador
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
p: reload proxy configuration
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
load: class COM.arx.pw.SlimCli not found.
java.lang.ClassNotFoundException: COM.arx.pw.SlimCli
at sun.applet.AppletClassLoader.findClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.applet.AppletClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.applet.AppletClassLoader.loadCode(Unknown Source)
at sun.applet.AppletPanel.createApplet(Unknown Source)
at sun.plugin.AppletViewer.createApplet(Unknown Source)
at sun.applet.AppletPanel.runLoader(Unknown Source)
at sun.applet.AppletPanel.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.IOException: open HTTP connection failed.
at sun.applet.AppletClassLoader.getBytes(Unknown Source)
at sun.applet.AppletClassLoader.access$100(Unknown Source)
at sun.applet.AppletClassLoader$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
... 10 more
Pare que tem alguma coisa com a conexão mesmo, mas não consigo identificar o que é... Desta vez está bem pior, pois nem consegue instalar o applet... Até já atualizei o jsdk pra testar, mas não resolveu... Configurei o proxy manualmente também, tanto no IE quanto nas configurações do Java, mas nada também...
O que mais pode ser?
Conectividade Social - Antes de postar, leia aqui
owpa, macada... só pra registrar que fui eu que mandei as duas ultimas respostas... tinha esquecido de logar... ehhehe..
Conectividade Social - Antes de postar, leia aqui
:help: Boa tarde,
Eu li tudo o que pude encontrar na internet a respeito do conectividade social e testei tudo e nada deu resultado, ou eu recebo a mensagem "Troca de chaves falhou" ou a janela com o applet de autenticação nem funciona corretamente. Li também tudo o que pude encontrar aqui neste forum mas não obtive resultados positivos.
Aqui na empresa utilizo o CL 8 com squid e iptables. O squid é configurado para somente permitir a navegação na internet por meio de autenticação. Se no navegador eu retirar a configuração com o ip do meu proxy, a estação não navega na internet.
Testei vários scripts para o iptables e não sei mas o que pode ser feito.
Gostaria de obter ajuda deste forum e caso alguem necessite do meu scrpit de firewall ou do squid.conf eu os envio via msn.
Grato a todos.
[]´s
Marcos Maia
Conectividade Social - Antes de postar, leia aqui
Minhas regras ta tabela NAT estao assim!
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128
a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
Isso faz com que o pacote saia da chain prerouting indo para a proxima!
Nao se esqueça de usar o nat também! o SNAT.
qualquer duvida posta ae!
Conectividade Social - Antes de postar, leia aqui
Citação:
Postado originalmente por japaeye4u
Minhas regras ta tabela NAT estao assim!
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d
www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d
www.trt19.gov.br -j REDIRECT 3128
a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
Isso faz com que o pacote saia da chain prerouting indo para a proxima!
Nao se esqueça de usar o nat também! o SNAT.
qualquer duvida posta ae!
Com estas regras eu não preciso desabilitar a navegação pelo proxy do meu navegador ???
Tb não é necessário fazer redirecionamento de porta para que o conectividade funcione ?
Quanto ao SNAT eu irei tentar fazê-lo aqui na empresa mesmo e coloco o resultado aqui .. :good:
[]
Marcos
Conectividade Social - Antes de postar, leia aqui
ops, cometi um erro nas regras
ao invez de
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128
na terceira linha, deveria ficar como
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128
sim! vc deve tb coloca a regra
$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL
entendeu?
Conectividade Social - Antes de postar, leia aqui
Citação:
Postado originalmente por Anonymous
ops, cometi um erro nas regras
ao invez de
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d
www.trt19.gov.br -j REDIRECT 3128
na terceira linha, deveria ficar como
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128
sim! vc deve tb coloca a regra
$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL
entendeu?
No caso da linha destacada acima, ela pode ser escreita como esta $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j MASQUERADE ?? Pois aqui na empresa usamos o velox e a cada conexão eu recebo um ip diferente ...
E onde esta escrito $IF_EXTERNAL é a placa de rede externa que esta conectada a internet, é isso mesmo ???
Grato
Marcos