Conectividade Social - Antes de postar, leia aqui

Atualizado 24/11/05 - Estou usando em VÁRIOS clientes e funciona.
Coloque as linhas abaixo no seu Firewall:

# ETH0 = LAN/ ETH1 = REDE EXTERNA = INTERNET

fw = /sbin/iptables
lan = 192.168.0.0/24
mundo=0/0
conectividade = 200.201.174.0/24
outrosite1 = x.x.x.x/32
outrosite2 = y.y.y.y/25

# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT


# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT

# EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $conectividade --dport 80 -j RETURN

# EXCLUE OUTRO SITE (1) DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite1 --dport 80 -j RETURN

# EXCLUE OUTRO SITE (2) DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite2 --dport 80 -j RETURN

# REDIRECIONA TRÁFEGO INTERNO PARA PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128
$fw -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128

*Caso seu proxy seja autenticado, você cria uma ACL com o endereço do conectividade social ou da URL que deseja liberar e coloca ANTES DE TODAS as ACL, assim, ele não vai pedir senha quando o programa tentar acessar o conectividade, evitando assim, que o usuário tenha que ficar desmarcando o proxy no browser.

Faltou o NAT na porta 2631 :P

Citação:

---

Postado originalmente por DropALL

Faltou o NAT na porta 2631 :P

---

:)
num guento + ler sobre conectivadade rapaz, rs..
achei que merecia 1 FIXO aki.. toda pagina praticamente tem 1 duvida do bicho

# Falai pessoALL
#
# no meu caso funfo assim
#
$IPTABLES -A FORWARD -s $rede_interna -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d $rede_interna --dport 80 -j ACCEPT
#
# Ai no SQUID fiz assim
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
#
#
:toim:
#
#
[]´sssss 4ALL

Aew,

Bacana a ideia, resta saber se o pessoal vai ler antes de perguntar!!

:)


flws,

Citação:

---

Postado originalmente por whinston

Coloque as linhas abaixo no seu Firewall:

fw = /sbin/iptables
lan = 192.168.0.0/24
conectividade = 200.201.174.0/24

$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT

# se você usa proxy sem autenticação e transparente:
$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

Caso seu proxy seja autenticado, a única opção é desmarcar o proxy quando for utilizar o programa, uma vez que o programa é super moderno e não permite o fornecimento de dados para conexão com este tipo de proxy.

---

Bom dia... Esta sua dica é só para o programa do conectividade ou também resolve o problema do cmt.caixa.gov.br? No meu caso o conectividade stá funcionando bem, até enviando e rebendo mensagens... O meu problema aqui é com esse maldito applet que roda nesse site da caixa, usado pra pegar extrato de FGTS... Mais detalhes do problema em: https://under-linux.org/modules.php?...=125720#125720

Espero que alguém possa me ajudar, pois a coisa tá feia aqui...

ola cara
pelo que andei lendo é problema de cache
este programa não pode usar fz cache, pq senão ele não autentica
ou seja, não pode usar o squid

Citação:

---

Postado originalmente por whinston

ola cara
pelo que andei lendo é problema de cache
este programa não pode usar fz cache, pq senão ele não autentica
ou seja, não pode usar o squid

---

e vc pode me ajudar a contornar isso? como faço pra que somente essa maquina cliente não faça cache pra rodar esse programinha?

então cara, vc tem esta regra (ou similar) no teu fw ?

$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

ela redireciona o trafego da porta 80, vindo da sua LAN, pra porta 3128, do proxy. com isto, tudo q passar por la, será feito cache pelo squid
não tenho experiência com este cenário pq eu trabalho com proxy autenticado e este tipo de coisa não funciona, mas creio que deveria ter algo ! ali pra não permitir que quando o destino fosse os IPs da caixa, fosse redirecionado o tráfego. peço ajuda a meus caros amigos com + experiência.

Citação:

---

Postado originalmente por whinston

então cara, vc tem esta regra (ou similar) no teu fw ?

$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

ela redireciona o trafego da porta 80, vindo da sua LAN, pra porta 3128, do proxy. com isto, tudo q passar por la, será feito cache pelo squid
não tenho experiência com este cenário pq eu trabalho com proxy autenticado e este tipo de coisa não funciona, mas creio que deveria ter algo ! ali pra não permitir que quando o destino fosse os IPs da caixa, fosse redirecionado o tráfego. peço ajuda a meus caros amigos com + experiência.

---

isso mesmo , minha regra pra o proxy transparente é parecida com essa...

Está acontecendo uma coisa aqui com o java também... Quando abro a página cmt.caixa.gov.br aparece no rodapé da página "Applet SlimCli notinited", e realmente nem foi instalado o applet, não sei porque...

Pelo console do java tenho a seguinte mensagem:

Java Plug-in 1.5.0_02
Using JRE version 1.5.0_02 Java HotSpot(TM) Client VM
User home directory = C:\Documents and Settings\Administrador


----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
p: reload proxy configuration
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

load: class COM.arx.pw.SlimCli not found.
java.lang.ClassNotFoundException: COM.arx.pw.SlimCli
at sun.applet.AppletClassLoader.findClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.applet.AppletClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.applet.AppletClassLoader.loadCode(Unknown Source)
at sun.applet.AppletPanel.createApplet(Unknown Source)
at sun.plugin.AppletViewer.createApplet(Unknown Source)
at sun.applet.AppletPanel.runLoader(Unknown Source)
at sun.applet.AppletPanel.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.IOException: open HTTP connection failed.
at sun.applet.AppletClassLoader.getBytes(Unknown Source)
at sun.applet.AppletClassLoader.access$100(Unknown Source)
at sun.applet.AppletClassLoader$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
... 10 more

Pare que tem alguma coisa com a conexão mesmo, mas não consigo identificar o que é... Desta vez está bem pior, pois nem consegue instalar o applet... Até já atualizei o jsdk pra testar, mas não resolveu... Configurei o proxy manualmente também, tanto no IE quanto nas configurações do Java, mas nada também...

O que mais pode ser?

owpa, macada... só pra registrar que fui eu que mandei as duas ultimas respostas... tinha esquecido de logar... ehhehe..

Se o programa nao pode passar pelo proxy que da problema...
Não usem o metodo "! -d" para o redirect!

Usem o "RETURN"

No lugar dessa regra que vi aqui
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Utilizar essa
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d 200.201.174.0/24 -p tcp --dport 80 -j RETURN

Que pode ser feito em outros casos também! Quando proxy estiver atrapalhando algum acesso na porta 80!

Isto resolveu ? Qual e a regra ideal para se fazer. Tb estou com esse problema.


Carlos V.Ramos

:help: Boa tarde,
Eu li tudo o que pude encontrar na internet a respeito do conectividade social e testei tudo e nada deu resultado, ou eu recebo a mensagem "Troca de chaves falhou" ou a janela com o applet de autenticação nem funciona corretamente. Li também tudo o que pude encontrar aqui neste forum mas não obtive resultados positivos.
Aqui na empresa utilizo o CL 8 com squid e iptables. O squid é configurado para somente permitir a navegação na internet por meio de autenticação. Se no navegador eu retirar a configuração com o ip do meu proxy, a estação não navega na internet.
Testei vários scripts para o iptables e não sei mas o que pode ser feito.
Gostaria de obter ajuda deste forum e caso alguem necessite do meu scrpit de firewall ou do squid.conf eu os envio via msn.
Grato a todos.
[]´s
Marcos Maia

Minhas regras ta tabela NAT estao assim!

$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
Isso faz com que o pacote saia da chain prerouting indo para a proxima!
Nao se esqueça de usar o nat também! o SNAT.


qualquer duvida posta ae!

Citação:

---

Postado originalmente por japaeye4u

Minhas regras ta tabela NAT estao assim!

$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
Isso faz com que o pacote saia da chain prerouting indo para a proxima!
Nao se esqueça de usar o nat também! o SNAT.


qualquer duvida posta ae!

---

Com estas regras eu não preciso desabilitar a navegação pelo proxy do meu navegador ???
Tb não é necessário fazer redirecionamento de porta para que o conectividade funcione ?
Quanto ao SNAT eu irei tentar fazê-lo aqui na empresa mesmo e coloco o resultado aqui .. :good:

[]
Marcos

ops, cometi um erro nas regras
ao invez de
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

na terceira linha, deveria ficar como
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128

sim! vc deve tb coloca a regra

$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

entendeu?

Citação:

---

Postado originalmente por Anonymous

ops, cometi um erro nas regras
ao invez de
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

na terceira linha, deveria ficar como
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128

sim! vc deve tb coloca a regra

$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

entendeu?

---

No caso da linha destacada acima, ela pode ser escreita como esta $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j MASQUERADE ?? Pois aqui na empresa usamos o velox e a cada conexão eu recebo um ip diferente ...

E onde esta escrito $IF_EXTERNAL é a placa de rede externa que esta conectada a internet, é isso mesmo ???

Grato
Marcos

:@: Eu nunca vi coisa mais chata do que esses programas da caixa. Que absurdo, eles fazem as coisas e nem sabem resolver. Coloca uma informação idiota desatualizada ha meses ou anos. E brincadeira..... só dar dor de cabeça e atrapalha a vida de quem realmente tem muito o que fazer.