Caixa x Receitanet x Sintegra-MT

PESSOAL AINDA NUAM FOI DESSA VEZ
ELE APARECEU UMA MSG
" FALHA AO RECEBER MENSAGEM DE TROCA DE CHAVES DO GATEWAY"
AINDA ESPERO AJUDA

E ai fera..

vc ta usando o squid como proxy transparente?

no meu caso eu estou entao eu habilitei a porta 80 para todos os servers da caixa com iptables

IPTABLES -A FORWARD -s 10.0.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT

IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d 10.0.0.0/24 --dport 80 -j ACCEPT

e neguei os servers no cache, deixando as makinas de minha rede acessarem diretos os servers da caixa

IPTABLES -t nat -A PREROUTING -s 10.0.0.0/24 -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

me diz como vc ta fazendo ai, pra gente pode te ajuda

[]´s

vale lembrar que a faixa de ip da caixa.gov.br é 200.201.160.0/20 a conectividade social e o receita net são porta 3456 e 2631 ambas tcp, para acessar o FGTS que pede a chave de criptografia coloca no internet explorer em opções de internet, conexões, conf de lan, avançado-> onde fala não usar proxy para:
127.0.0.1;localhost;www.caixa.gov.br;www1.caixa.gov.br


questão de ver log.

tipoe meu nat ta assim:
[root@srv84 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 108K packets, 11M bytes)
pkts bytes target prot opt in out source destination
282 13536 REDIRECT tcp -- * * 129.0.0.0/16 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
49902 3106K MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 34347 packets, 2238K bytes)
pkts bytes target prot opt in out source destination
[root@srv84 ~]#

e o meu FORWARD:
[root@srv84 ~]# iptables -nvL FORWARD
Chain FORWARD (policy DROP 680 packets, 33816 bytes)
pkts bytes target prot opt in out source destination
20 836 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
225K 63M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:21
6311 303K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 144 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2631
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3456
8014 533K ACCEPT udp -- * * 129.0.0.0/16 200.199.252.68 udp dpt:53
7745 513K ACCEPT udp -- * * 129.0.0.0/16 200.199.252.72 udp dpt:53
0 0 ACCEPT udp -- * * 200.199.252.68 129.0.0.0/16 udp spt:53
0 0 ACCEPT udp -- * * 200.199.252.72 129.0.0.0/16 udp spt:53
241 11568 ACCEPT tcp -- * * 129.0.0.0/16 0.0.0.0/0 tcp dpt:25
2405 115K ACCEPT tcp -- * * 129.0.0.0/16 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 ACCEPT tcp -- * * 129.0.0.0/16 200.201.174.0/24 tcp dpt:80
0 0 ACCEPT tcp -- * * 200.201.174.0/24 129.0.0.0/16 tcp dpt:80
[root@srv84 ~]#

com o pessoal da caixa eles indicaram para fazer telnet para 200.201.174.207 80 ma soh no server que ele da login, nos outros ele da conexão ao host perdida.

Citação:

---

Postado originalmente por HunTer

Fala cambada de malakabados baum? melhor agora

tai a solução pra kem tem o squid como proxy transparente com iptables

IPTABLES -A FORWARD -s 10.0.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT

IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d 10.0.0.0/24 --dport 80 -j ACCEPT

IPTABLES -t nat -A PREROUTING -s 10.0.0.0/24 -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

[]´s pessoALL

:D :D :D :D :D :D :D :D :D :D

---

VALEU KRA AGORA COM TUA DICA TA TUDO FUNCIONANDO.........

tentei as coisas que tinham aqui no forumo e nada... to com esse mesmo problema. to com proxy transparente e porta 80 no squid.

ipfwadm -F -i accept -m -P tcp -S 10.0.0.0/8 1024:65535 -D 200.201.174.0/24) 80
-S: source é a rede interna
1024:65535: porta de origem da sua rede
-D: destination é o ip da caixa
80: porta destina (caixa)
-P tcp: protocolo tcp
-F: forward (?)

Citação:

---

Postado originalmente por HunTer

Falai pessoALL

To com o mesmo problema com a Conectividade social... Estou usando iptables com squid, mas quando eu desligo o squid ele funciona legal.

tem um manual para admistradores de rede no site da caixa falando sobre isso, e tem a regra assim

manual em pdf
http://downloads.caixa.gov.br/pj/_ar...p_internet.pdf

ipfwadm -F -i accept -m -P tcp -S 10.0.0.0/8 1024:65535 -D 200.201.174.0/24) 80

só q não consegui traduzir para o iptables .... alguem se habilita??

vlwwww

---

As regras que o Hunter postou travam minha net para os clientes, meu squid está como http_port 80 e com proxy transparente. eu alterei o 10.0.0.0/24 por 192.168.0.0/24 (que é minha rede).

meu server tá assim (sem as regras novas):

[root@lucy root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:3456
ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:8017

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

cara, vc reviveu um tópico antigo, levei até um susto! o grande lance é na hora de vc fazer o proxy transparente negar a rede da conectividade social. o resto é de acordo com a sua rede, se vc não usa a porta 3128, coloque a que vc usa...

Código :

---

iptables -t nat -A PREROUTING  -i  ethx -p tcp -d !  200.201.174.207 --dport 80 -j  REDIRECT --to-port xxxx

---

Citação:

---

Postado originalmente por HunTer

ipfwadm -F -i accept -m -P tcp -S 10.0.0.0/8 1024:65535 -D 200.201.174.0/24) 80

só q não consegui traduzir para o iptables .... alguem se habilita??

vlwwww

---

Pessoal, alguem sabe fazer essa regra no ipfw???

Valeu!!!