Conectividade Social + Liberação

Bom dia Pessoal!
Alguém consegue me ajudar a liberar as portas para conexão com o conectividade social da Caixa? as regras que estou usando são as seguinntes:

iptables -t nat -A POSTROUTING -p tcp --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --dport 2631 -j MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -d 200.201.174.207 --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -d 200.201.174.204 --dport 2631 -j MASQUERADE

São estas as regras que estou usando, mais quando tento conectar o sistema trava e não sai disso. tentei em um local sem firewall e o sistema acessou normalmente. Alguém consegue me ajudar por favor!?

Kra .. já passei por isso e resolvi ...

Só que naum lembro exatamente todos os passos que tive que fazer ...

Mas vai uma dica .. não é só as portas que vc tem que liberar ... lembro que pra funfar blz ... vc tem que liberar o FTP tbem ..

Valeu !!!

Não sei se ainda está no ar ...

mas qdo passei por esse problema ... pedi ajuda aqui no underlinux ...

não obtive resposta ... mas depois que solucionei ... postei como fiz aqui ...

Dá uma procurada aqui mesmo no under !!!

Abraços

Blz Amigo, vou dar uma olhada pra ver se encontroo. Obrigado. :wink:

Saudações Amigo,

Você utiliza proxy na sua rede?

Sim, Uso o Squid como proxy.

e ai companheiro ai vai minha regra que eta funcionando blz
#HABILITAR O LOOPBACK
$IPT -A INPUT -p all -s 200.201.166.200 -j ACCEPT
$IPT -A INPUT -p all -s 200.152.40.23 -j ACCEPT
$IPT -A INPUT -p all -s 200.152.40.50 -j ACCEPT
$IPT -A FORWARD -p all -s 200.201.166.200 -j ACCEPT
$IPT -A FORWARD -p all -s 200.151.40.23 -j ACCEPT
$IPT -A FORWARD -p all -s 200.151.40.50 -j ACCEPT
$IPT -A INPUT -p all -s 200.201.174.207 -j ACCEPT
$IPT -A FORWARD -p all -s 200.201.174.207 -j ACCEPT
$IPT -A INPUT -p all -s 200.201.174.204 -j ACCEPT
$IPT -A FORWARD -p all -s 200.201.174.204 -j ACCEPT
$IPT -A INPUT -p all -s 200.201.173.68 -j ACCEPT
$IPT -A FORWARD -p all -s 200.201.173.68 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A FORWARD -i lo -j ACCEPT
$IPT -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
$IPT -A INPUT -p tcp -s 192.168.0.0/24 --dport 3128 -m state --state NEW -j ACCEPT
#FAZENDO O MASCARAMENTO PARA O CNS
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.202 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.203 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.204 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.205 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.206 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.207 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.208 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.209 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.252.47.237 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.166.200 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.166.100 -j MASQUERADE
$IPT -t nat -I POSTROUTING -s 192.168.0.0/24 -d 200.201.174.68 -j MASQUERADE
$IPT -t nat -I POSTROUTING -d 192.168.0.0/24 -s 200.201.173.68 -j MASQUERADE
$IPT -t nat -I PREROUTING -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT
$IPT -t nat -I PREROUTING -s 192.168.0.0/24 -d 200.201.173.0/24 -j ACCEPT
$IPT -t nat -I PREROUTING -s 192.168.0.0/24 -d 200.201.166.0/24 -j ACCEPT

Uso o seguinte aqui pra resolver este problema do conectividade social

IPT=/usr/sbin/iptables
REDE=192.168.0.0/24

$IPT -t nat -A POSTROUTING -s $REDE -d 0/0 -j MASQUERADE

$IPT -A INPUT -p tcp -s $REDE --sport 1024:65535 -d 200.201.173.0/24 --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -s $REDE --sport 1024:65535 -d 200.201.174.0/24 --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -s $REDE --sport 1024:65535 -d 200.201.166.0/24 --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -s $REDE --sport 1024:65535 -d 200.201.173.0/24 --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -s $REDE --sport 1024:65535 -d 200.201.174.0/24 --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -s $REDE --sport 1024:65535 -d 200.201.166.0/24 --dport 80 -j ACCEPT

Uso proxy transparente

Falow

Clecio

Citação:

---

Postado originalmente por turazzi

Bom dia Pessoal!
Alguém consegue me ajudar a liberar as portas para conexão com o conectividade social da Caixa? as regras que estou usando são as seguinntes:

iptables -t nat -A POSTROUTING -p tcp --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --dport 2631 -j MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -d 200.201.174.207 --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -d 200.201.174.204 --dport 2631 -j MASQUERADE

São estas as regras que estou usando, mais quando tento conectar o sistema trava e não sai disso. tentei em um local sem firewall e o sistema acessou normalmente. Alguém consegue me ajudar por favor!?

---

Olá turazzi,
tive problemas tambem com o conectividade social da caixa tanto com o software (windows) quando o em (java) acessivel pelo site cmt.caixa.gov.br.

Aqui utilizo um proxy transparente (squid-cache) sem autenticação por usúarios e firewall netfilter iptables (Kernel 2.6.15)

regras utilizadas no iptables:

Software Windows

Código :

---

~$ iptables -t nat -I PREROUTING -p tcp -d 200.201.174.204 --dport 2631 -j ACCEPT
~$ iptables -I FORWARD -p tcp -d 200.201.174.204 --dport 2631 -j ACCEPT

---

cmt.caixa.gov.br

Código :

---

~$ iptables -t nat -I PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j ACCEPT
~$ iptables -I FORWARD -p tcp -d 200.201.174.207 --dport 80 -j ACCEP

---

Espero ter lhe ajudado.

Estou com o mesmo problema. Estava tudo funfo legal. Depois de colocar o proxy e algumas regras de firewall simplesmente parou e não funfo mais. Coloquei a regra sugerida pela caixa e não consigo nem pingar 200.201.174.x do servidor.

# PARA NAO FUGIREM DO PROXY
#iptables -t nat -A PREROUTING -i eth1 -m multiport -p tcp --dport 80,8080 -j REDIRECT --to-port 3128

# CONFIGURAçÃO CONECTIVIDADE SOCIAL
iptables -A FORWARD -s 192.168.12.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -s 200.201.174.0/24 -p tcp -d 192.168.12.0/24 --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -s 192.168.12.0/24 -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.12.0/24 -p tcp -d ! 200.201.174.0/24 --dport 8080 -j REDIRECT --to-port 3128

Alguém sabe o que realmente é preciso ?

Bom dia Galera...
Muito Obrigado pela ajuda de todos vocês.. mais o que deu certo aqui foi o seguinte:
Meu proxy não era transparente, então coloquei o mesmo como transparente e executei as regras que o CHACARA postou, e funcionou que é uma beleza. Muito Obrigado. :-D

Abraços.

Rafael Turazzi

Agora funcionou blz. Proxy Transparente e Autenticado. Coloquei as regras do ilustríssimo cleciorodrigo e tudo funfo blz. Tirei o proxy de opções da internet, o usuário não consegue acessar pelo IE(Access Denied), mas ele consegue pelo Mozilla. blz,


Valeu mesmo galera!

Só uma duvida. Você testou depois das regras do Célio programas p2p ?
Como ele liberou as portas altas talvez consigam usar para baixar musicas e comprometer a banda.


????

No aguardo

pessoal vi q alguns de vcs resolveram o problema da conectividade social, este artigo aki explica muito bem qual o problema o motivo e sua soluçao:
http://www.vivaolinux.com.br/artigos...=2542&pagina=1

So outra duvida

$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port porta_do_proxy 3128

Essa regra ok. ela faz as requisições quando forem para o destino 200.201.174.207 passe por fora do proxy.
A duvida é

eu tenho outra regra
$IPTABLES -t nat -A PREROUTING -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-ports 3128


O que eu quero saber eh o seguinte.

Tem como colocar -p tcp -d ! 200.201.174.207 ! 200.201.174.0/24 --dport 80 -j REDIRECT .........

OU

eu teria que criar uma variavel suponha que $DESTINO_NEC e alterar a linha do prxy para
$IPTABLES -t nat -A PREROUTING -p tcp -d ! $DESTINO_NEC --dport 80 -j REDIRECT --to-ports 3128

sendo que
DESTINO_NEC=" 200.201.174.207/24 200.201.174.0/24"

No Aguardo

Citação:

---

Postado originalmente por turazzi

Bom dia Galera...
Muito Obrigado pela ajuda de todos vocês.. mais o que deu certo aqui foi o seguinte:
Meu proxy não era transparente, então coloquei o mesmo como transparente e executei as regras que o CHACARA postou, e funcionou que é uma beleza. Muito Obrigado. :-D

Abraços.

Rafael Turazzi

---

Disponha foi um prazer contribuir :wink:

Desculpe minnha burrice, mas se ja colocou 200.201.174.0/24 (libera toda essa faixa) para que colocar o 200.201.174.207 ?

Acredito que se vc ta usando o ! , vc deve especificar uma faixa em cada linha.


Talves eu não tenha entendido o que vc quiz dizer.

t+

Citação:

---

Postado originalmente por cvr

Agora funcionou blz. Proxy Transparente e Autenticado. Coloquei as regras do ilustríssimo cleciorodrigo e tudo funfo blz. Tirei o proxy de opções da internet, o usuário não consegue acessar pelo IE(Access Denied), mas ele consegue pelo Mozilla. blz,


Valeu mesmo galera!

---

Bom é o seguinte, esta tudo funfo como eu queria. Os usuários não passam pelo proxy mesmo tirando opçoes da net nas estações windows. Mas estava tendo problemas com o programa de atendimento ao publico do Banco Brasil, e o Edi do Itau. Ai nesta estação tirei opções da net, o proxy. Ai os dois programas funcionaram normalmente. Mas se tento acessar outra págia o proxy nega o acesso. Será aquelas portas que liberei e aquelas faixas de ip correspondem tb a esses programas ?

Citação:

---

Postado originalmente por spyderlinux

Só uma duvida. Você testou depois das regras do Célio programas p2p ?
Como ele liberou as portas altas talvez consigam usar para baixar musicas e comprometer a banda.


????

No aguardo

---

Ja fiz vários testes sem o proxy, e até agora não constatei que passasse. Vc teria alguma sugestão para eu tentar aqui. Por exemplo o kazaa é um desses programas/sites, etc ?

Da uma dica ai amigo.