Conectividade Social - Antes de postar, leia aqui

Atualizado 24/11/05 - Estou usando em VÁRIOS clientes e funciona.
Coloque as linhas abaixo no seu Firewall:

# ETH0 = LAN/ ETH1 = REDE EXTERNA = INTERNET

fw = /sbin/iptables
lan = 192.168.0.0/24
mundo=0/0
conectividade = 200.201.174.0/24
outrosite1 = x.x.x.x/32
outrosite2 = y.y.y.y/25

# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT


# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT

# EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $conectividade --dport 80 -j RETURN

# EXCLUE OUTRO SITE (1) DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite1 --dport 80 -j RETURN

# EXCLUE OUTRO SITE (2) DO PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite2 --dport 80 -j RETURN

# REDIRECIONA TRÁFEGO INTERNO PARA PROXY TRANSPARENTE
$fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128
$fw -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128

*Caso seu proxy seja autenticado, você cria uma ACL com o endereço do conectividade social ou da URL que deseja liberar e coloca ANTES DE TODAS as ACL, assim, ele não vai pedir senha quando o programa tentar acessar o conectividade, evitando assim, que o usuário tenha que ficar desmarcando o proxy no browser.

Faltou o NAT na porta 2631 :P

Citação:

---

Postado originalmente por DropALL

Faltou o NAT na porta 2631 :P

---

:)
num guento + ler sobre conectivadade rapaz, rs..
achei que merecia 1 FIXO aki.. toda pagina praticamente tem 1 duvida do bicho

# Falai pessoALL
#
# no meu caso funfo assim
#
$IPTABLES -A FORWARD -s $rede_interna -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d $rede_interna --dport 80 -j ACCEPT
#
# Ai no SQUID fiz assim
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
#
#
:toim:
#
#
[]´sssss 4ALL

Aew,

Bacana a ideia, resta saber se o pessoal vai ler antes de perguntar!!

:)


flws,

Citação:

---

Postado originalmente por whinston

Coloque as linhas abaixo no seu Firewall:

fw = /sbin/iptables
lan = 192.168.0.0/24
conectividade = 200.201.174.0/24

$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT

# se você usa proxy sem autenticação e transparente:
$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

Caso seu proxy seja autenticado, a única opção é desmarcar o proxy quando for utilizar o programa, uma vez que o programa é super moderno e não permite o fornecimento de dados para conexão com este tipo de proxy.

---

Bom dia... Esta sua dica é só para o programa do conectividade ou também resolve o problema do cmt.caixa.gov.br? No meu caso o conectividade stá funcionando bem, até enviando e rebendo mensagens... O meu problema aqui é com esse maldito applet que roda nesse site da caixa, usado pra pegar extrato de FGTS... Mais detalhes do problema em: https://under-linux.org/modules.php?...=125720#125720

Espero que alguém possa me ajudar, pois a coisa tá feia aqui...

ola cara
pelo que andei lendo é problema de cache
este programa não pode usar fz cache, pq senão ele não autentica
ou seja, não pode usar o squid

Citação:

---

Postado originalmente por whinston

ola cara
pelo que andei lendo é problema de cache
este programa não pode usar fz cache, pq senão ele não autentica
ou seja, não pode usar o squid

---

e vc pode me ajudar a contornar isso? como faço pra que somente essa maquina cliente não faça cache pra rodar esse programinha?

então cara, vc tem esta regra (ou similar) no teu fw ?

$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

ela redireciona o trafego da porta 80, vindo da sua LAN, pra porta 3128, do proxy. com isto, tudo q passar por la, será feito cache pelo squid
não tenho experiência com este cenário pq eu trabalho com proxy autenticado e este tipo de coisa não funciona, mas creio que deveria ter algo ! ali pra não permitir que quando o destino fosse os IPs da caixa, fosse redirecionado o tráfego. peço ajuda a meus caros amigos com + experiência.

Citação:

---

Postado originalmente por whinston

então cara, vc tem esta regra (ou similar) no teu fw ?

$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

ela redireciona o trafego da porta 80, vindo da sua LAN, pra porta 3128, do proxy. com isto, tudo q passar por la, será feito cache pelo squid
não tenho experiência com este cenário pq eu trabalho com proxy autenticado e este tipo de coisa não funciona, mas creio que deveria ter algo ! ali pra não permitir que quando o destino fosse os IPs da caixa, fosse redirecionado o tráfego. peço ajuda a meus caros amigos com + experiência.

---

isso mesmo , minha regra pra o proxy transparente é parecida com essa...

Está acontecendo uma coisa aqui com o java também... Quando abro a página cmt.caixa.gov.br aparece no rodapé da página "Applet SlimCli notinited", e realmente nem foi instalado o applet, não sei porque...

Pelo console do java tenho a seguinte mensagem:

Java Plug-in 1.5.0_02
Using JRE version 1.5.0_02 Java HotSpot(TM) Client VM
User home directory = C:\Documents and Settings\Administrador


----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
p: reload proxy configuration
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

load: class COM.arx.pw.SlimCli not found.
java.lang.ClassNotFoundException: COM.arx.pw.SlimCli
at sun.applet.AppletClassLoader.findClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.applet.AppletClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.applet.AppletClassLoader.loadCode(Unknown Source)
at sun.applet.AppletPanel.createApplet(Unknown Source)
at sun.plugin.AppletViewer.createApplet(Unknown Source)
at sun.applet.AppletPanel.runLoader(Unknown Source)
at sun.applet.AppletPanel.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.IOException: open HTTP connection failed.
at sun.applet.AppletClassLoader.getBytes(Unknown Source)
at sun.applet.AppletClassLoader.access$100(Unknown Source)
at sun.applet.AppletClassLoader$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
... 10 more

Pare que tem alguma coisa com a conexão mesmo, mas não consigo identificar o que é... Desta vez está bem pior, pois nem consegue instalar o applet... Até já atualizei o jsdk pra testar, mas não resolveu... Configurei o proxy manualmente também, tanto no IE quanto nas configurações do Java, mas nada também...

O que mais pode ser?

owpa, macada... só pra registrar que fui eu que mandei as duas ultimas respostas... tinha esquecido de logar... ehhehe..

Se o programa nao pode passar pelo proxy que da problema...
Não usem o metodo "! -d" para o redirect!

Usem o "RETURN"

No lugar dessa regra que vi aqui
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Utilizar essa
$IPTABLES -t nat -A PREROUTING -s $rede_interna -d 200.201.174.0/24 -p tcp --dport 80 -j RETURN

Que pode ser feito em outros casos também! Quando proxy estiver atrapalhando algum acesso na porta 80!

Isto resolveu ? Qual e a regra ideal para se fazer. Tb estou com esse problema.


Carlos V.Ramos

:help: Boa tarde,
Eu li tudo o que pude encontrar na internet a respeito do conectividade social e testei tudo e nada deu resultado, ou eu recebo a mensagem "Troca de chaves falhou" ou a janela com o applet de autenticação nem funciona corretamente. Li também tudo o que pude encontrar aqui neste forum mas não obtive resultados positivos.
Aqui na empresa utilizo o CL 8 com squid e iptables. O squid é configurado para somente permitir a navegação na internet por meio de autenticação. Se no navegador eu retirar a configuração com o ip do meu proxy, a estação não navega na internet.
Testei vários scripts para o iptables e não sei mas o que pode ser feito.
Gostaria de obter ajuda deste forum e caso alguem necessite do meu scrpit de firewall ou do squid.conf eu os envio via msn.
Grato a todos.
[]´s
Marcos Maia

Minhas regras ta tabela NAT estao assim!

$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
Isso faz com que o pacote saia da chain prerouting indo para a proxima!
Nao se esqueça de usar o nat também! o SNAT.


qualquer duvida posta ae!

Citação:

---

Postado originalmente por japaeye4u

Minhas regras ta tabela NAT estao assim!

$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
Isso faz com que o pacote saia da chain prerouting indo para a proxima!
Nao se esqueça de usar o nat também! o SNAT.


qualquer duvida posta ae!

---

Com estas regras eu não preciso desabilitar a navegação pelo proxy do meu navegador ???
Tb não é necessário fazer redirecionamento de porta para que o conectividade funcione ?
Quanto ao SNAT eu irei tentar fazê-lo aqui na empresa mesmo e coloco o resultado aqui .. :good:

[]
Marcos

ops, cometi um erro nas regras
ao invez de
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

na terceira linha, deveria ficar como
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128

sim! vc deve tb coloca a regra

$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

entendeu?

Citação:

---

Postado originalmente por Anonymous

ops, cometi um erro nas regras
ao invez de
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

na terceira linha, deveria ficar como
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128

sim! vc deve tb coloca a regra

$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

entendeu?

---

No caso da linha destacada acima, ela pode ser escreita como esta $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j MASQUERADE ?? Pois aqui na empresa usamos o velox e a cada conexão eu recebo um ip diferente ...

E onde esta escrito $IF_EXTERNAL é a placa de rede externa que esta conectada a internet, é isso mesmo ???

Grato
Marcos

:@: Eu nunca vi coisa mais chata do que esses programas da caixa. Que absurdo, eles fazem as coisas e nem sabem resolver. Coloca uma informação idiota desatualizada ha meses ou anos. E brincadeira..... só dar dor de cabeça e atrapalha a vida de quem realmente tem muito o que fazer.

Corrigindo alguns erros!

$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128


Na terceira regra, era pra ser assim!
$IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128


E aonde tem
$IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

era pra ser assim, errei no parametro! Eh a pressa, kkkk! :)
$IPTABLES -t nat -A POSTROUTING -o $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL
ou
$IPTABLES -t nat -A POSTROUTING -o $IF_EXTERNAL -p tcp --dport 80 -j MASQUERADE



:) :) :)
qualquer coisa eh a mesma coisa!

entao eu ja passei muita raiva com isso..entao testa ai ee relaxa mente

# Proxy transparente
$IPTABLES -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 9090
$IPTABLES -t nat -A PREROUTING -p udp -i eth1 --dport 80 -j REDIRECT --to-port 9090
$IPTABLES -A INPUT -p tcp -d 200.xxx.xx --dport 9090 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 --dport 9090 -j DROP

Ola Galera,

Gostaria de divulgar um artigo sobre o Conexão que meu amigo void_main_void fez:

http://www.vivaolinux.com.br/artigos...hp?codigo=2542

Esta artigo esta centralizando todas as duvidas que o pessoal vem tendo com este programa da Caixa.

Falow ! :good:

Amigo,
Eu uso o conectividade social aqui na empresa onde trabalho com o TUXFRW - Um ótimo programa para automação de regras do iptables.

- Bom em primeiro lugar para resolver seu problema você precisa fazer com que os pacotes do conectividade social não passem pelo proxy autenticado.
- Crie uma regra para não fazer cache e uma de ips sem autenticação.
- Se sua rede usa NAT coloque a regra abaixo para não passar pelo proxy :
$IPTABLES -A PREROUTING -t nat -d 200.201.174.207/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
$IPTABLES -A PREROUTING -t nat -s 10.0.x.x/16 -d 200.201.174.207 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 80

Abs,

www.zoioroxo.com.br

isso da certo :help:

Citação:

---

Postado originalmente por marmth

:help: Boa tarde,
Eu li tudo o que pude encontrar na internet a respeito do conectividade social e testei tudo e nada deu resultado, ou eu recebo a mensagem "Troca de chaves falhou" ou a janela com o applet de autenticação nem funciona corretamente. Li também tudo o que pude encontrar aqui neste forum mas não obtive resultados positivos.
Aqui na empresa utilizo o CL 8 com squid e iptables. O squid é configurado para somente permitir a navegação na internet por meio de autenticação. Se no navegador eu retirar a configuração com o ip do meu proxy, a estação não navega na internet.
Testei vários scripts para o iptables e não sei mas o que pode ser feito.
Gostaria de obter ajuda deste forum e caso alguem necessite do meu scrpit de firewall ou do squid.conf eu os envio via msn.
Grato a todos.
[]´s
Marcos Maia

---

essa semana postei um artigo mais completo sobre isso:

http://www.vivaolinux.com.br/artigos...hp?codigo=2542

espero que ajude...

Estive lendo a pouco tempo um livro muito bom " a quem interessar o livro é: TÉCNICAS AVANÇADAS DE CONECTIVIDADE E FIREWALL EM GNU LINUX - Autor: Humberto L. Jucá - Brasport" que falava do RETURN e acho que funciona bem para o conectividade e cmt da caixa.
Basta criar uma nova chain de redirecionamento na chain PREROUTING e ficaria assim:

IPT=/usr/sbin/iptables ## path do iptables
LAN=192.168.0.0/24 ## range da rede
REDE=eth0 ## interface da rede

$IPT -t nat -N SRed
$IPT -t nat -A SRed -p tcp -j REDIRECT --to-port 3120
$IPT -t nat -I SRed -s $LAN -d 200.201.174.0/24 -j RETURN
$IPT -t nat -A PREROUTING -i $REDE -s $LAN -p tcp --dport 80 -j SRed

ou seja tudo que fosse para o end. 200.201.174.0/24 não cairá na porta do squid, não esqueçam o detalhe da regra que é "I" e ñ "A" pois se vc colocar -A ele grava a regra no final e o -I no início das regras.
Espero que desta vez resolva esse problema da caixa...conectividade ... etc...

Citação:

---

Postado originalmente por drginfo

Estive lendo a pouco tempo um livro muito bom " a quem interessar o livro é: TÉCNICAS AVANÇADAS DE CONECTIVIDADE E FIREWALL EM GNU LINUX - Autor: Humberto L. Jucá - Brasport" que falava do RETURN e acho que funciona bem para o conectividade e cmt da caixa.
Basta criar uma nova chain de redirecionamento na chain PREROUTING e ficaria assim:

IPT=/usr/sbin/iptables ## path do iptables
LAN=192.168.0.0/24 ## range da rede
REDE=eth0 ## interface da rede

$IPT -t nat -N SRed
$IPT -t nat -A SRed -p tcp -j REDIRECT --to-port 3120
$IPT -t nat -I SRed -s $LAN -d 200.201.174.0/24 -j RETURN
$IPT -t nat -A PREROUTING -i $REDE -s $LAN -p tcp --dport 80 -j SRed

ou seja tudo que fosse para o end. 200.201.174.0/24 não cairá na porta do squid, não esqueçam o detalhe da regra que é "I" e ñ "A" pois se vc colocar -A ele grava a regra no final e o -I no início das regras.
Espero que desta vez resolva esse problema da caixa...conectividade ... etc...

---

vivendo e aprendendo, esta do -I pra minha nova e será muito útil qdo precisar colocar uma regra de liberação nova, tendo uma drop no script, sem ter que reiniciar todo script. valeu !

opa pessoal aqui no meu firewall eu so fiz essa linha aqui o e ta funcionando normal

IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

obs: meu squid não esta como autenticado esta normal mesmo

e eu segui esse tutorial do void que pelo menos pra mim foi o melhor que vi na net
falow

acl java15 browser Java/1.5
acl java14 browser Java/1.4
http_access allow java15
http_access allow java14

o java tem tido problemas com autenticação via ntlm_auth, quanto a outros não sei.

isto resolveu o meu problema :-)

bom vale lembrar que o range de ip é 200.201.160.0/20 no caso de transferencia de IR o da serpro é 161.148.0.0/16.
e outra poe o iptables pra gerar log melhor coisa.
tchau

[quote="whinston"]
$fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 443 -j REDIRECT --to-port 3128
[quote]

só lembrando que squid n suporta HTTPS TRANSPARENTE.

sem +

verdd, o ice tentou me explicar pq mas não entendi, mas pelo que entendi, tem a ver com segurança

Caros amigos não sou nenhum expert em linux, mas..

Segundo a Caixa o problema não é de firewall, mas sim do java o site para solicitar os extratos do FGTS só funciona como java da Microsoft, Sun nem pensar...isto eu ouvi de funcionários do Help Desk da Caixa!

É MOÇA SEI O QUE TODOS COM O PROBLEMA DA CONECTIVIDADE DA CAIXA , PASSARAM, fiquei 15 dias, pro negócio funcionar,,
Como não tenho firewal, mais uso o iptables para fazer o NAT, depois de muito custo só alterei uma linha e tudo funcionou, tambem não uso autenticação no squid, intão por isso foi mais simples,

a linha ficou assim:
##Está linha faz o masquerada da minha rede interna, isso é tranquilo
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

##agora o redirect que tem que mudar,ficando assim
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128

##Ai moçada reparem que o ! (exclamação) tem que por senão o negócio não funciona.

Espero ter ajudado, como muitos de vcis, me ajudarao a definir meus parametros.

Atenciosamente
Luis Isique

Saudações,

Tenho o PROXY transparente, no navegador não tem proxy, já executei todos os procedimentos e ainda tenho o erro "Falha na troca de chaves com o Gateway"

Obrigado pela ajuda

Citação:

---

Postado originalmente por guerreiroRJ

Caros amigos não sou nenhum expert em linux, mas..

Segundo a Caixa o problema não é de firewall, mas sim do java o site para solicitar os extratos do FGTS só funciona como java da Microsoft, Sun nem pensar...isto eu ouvi de funcionários do Help Desk da Caixa!

---

De certa forma está correta. O programa da conectividade (que é muito bom, porém complicado) não tem problema com firewall, há não ser que você tenha bloqueado a porta 80. É porta 80 mas não http, tipo uma vpn pra conectar na intranet. Tem que fazer os usuários da conectividade passar por fora do squid. Eu não uso squid e no meu iptables NÃO TEM NADA relacionado ao Conectividade Social de I/O (entrada/saída, drop/accept), redirecionamento, etc, nada relacionado com conectivade.
- Então qual seria o problema?
Como eu falei, é um programa complicado de se "instalar". Mas vamos lá:
Os usuários usam windows xp ambos dentro do firewall (iptables).
Na máquina windows xp:
Apague tudo relacionado ao IE: (cookies, arquivos e objetos). Passos: Em propriedades do IE, aba GERAL, Excluir cookies, Excluir arquivos > excluir todo conteúdo off-line, Configurações > Exibir objetos, delete tudo (só o GbPluginObj Class que não vai ser deletado), se você tiver algum java tipo o jre DESINSTALE, reinicie, baixe o JVM (msjvm.exe de aproximadamente 5mb). Você tem que estar com login dentro do grupo de administrador ou ser o administrador e para instalar o msjvm. Após instalado e reiniciado, mude as configs relacionadas ao Java no IE: Propriedades do IE, aba Segurança, >Internet< Nível personalizado, Microsoft VM, Permissões de Java, segurança baixa, scripts de miniaplicativos java: ativar| :::aba Avançado:::, Microsoft VM, acesso ao Java ativado. Feito isto, tente acessar o site cmt.caixa.gov.br.
Como eu falei, o programa é muito bom porém complicado. Eu tenho três máquinas (windows) ambas atrás do iptables que tem configurações diferentes para este aplicativo, p. ex.: Uma funciona com as configurações acima, outra precisa do Java JRE para funcionar, uma outra tive que instalar o JVM, instalar o JRE e depois desinstalar o JRE, isto com configurações padrão. Em uma máquina eu tive que deletar o login de usuário e cria-lo diretamente com login de Administrador e não com um usuário do grupo de administradores. As mesmas configs do IE devem estar para o usuário que for usar a conectividade, talvez seja necessário colocar o usuário como adm para poder instalar o msjvm e depois tira-lo do grupo de adms (não necessáriamente), isto dependendo de sua política de segurança.

Pra passar pelo squid, talvez isto:
iptables -t nat -A PREROUTING -s $suanetlocal -d 200.194.179.90 -p tcp --dport
80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.201.173.68 --dport 80 -j DNAT
--to 200.201.173.68:80
iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.173.68/32 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.201.166.200 --dport 80 -j DNAT
--to 200.201.166.200:80
iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.166.200/32 --dport 80 -j
ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j DNAT
--to 200.201.174.207:80
iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.174.207/32 --dport 80 -j
ACCEPT
iptables -I FORWARD -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -I OUTPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -I INPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT

Diogo Roos

Já tentei de tudo.....agora com proxy autenticado (PAM), não funciona...
Alguem tem alguma dica??

Citação:

---

Postado originalmente por Luis Isique

É MOÇA SEI O QUE TODOS COM O PROBLEMA DA CONECTIVIDADE DA CAIXA , PASSARAM, fiquei 15 dias, pro negócio funcionar,,
Como não tenho firewal, mais uso o iptables para fazer o NAT, depois de muito custo só alterei uma linha e tudo funcionou, tambem não uso autenticação no squid, intão por isso foi mais simples,

a linha ficou assim:
##Está linha faz o masquerada da minha rede interna, isso é tranquilo
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

##agora o redirect que tem que mudar,ficando assim
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128

##Ai moçada reparem que o ! (exclamação) tem que por senão o negócio não funciona.

Espero ter ajudado, como muitos de vcis, me ajudarao a definir meus parametros.

Atenciosamente
Luis Isique

---

Colega essa regra funcionou aqui para mim, só que eu preciso fazer excessão (usando !) para o o ip da conectividade (200.202.174.0/24) e outra classe que faço vpn aqui (200.202.x.x/24). A dúvida é essa como fazer a excessão para 2 classes de ip na mesma regra.

Grato.

https://under-linux.org/modules.php?...=125228#125228

Quebrei a cabeça por 1 semana e meia consultei muita gente, inclusive este post aqui, que ajudou pacas, mas pra mim funciona assim: O contador que vai enviar os arquivos me liga e eu mando isso daqui:

#!/bin/sh

INTIF="eth0"
EXTIF="eth1"
EXTIP="teu ip com o mundo aqui"
IPMAQUINA= "maquina que vai usar os programas"

echo 1 > /proc/sys/net/ipv4/ip_forward
# This is first to clear any already existing rules
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F
/sbin/iptables -I FORWARD -i $INTIF -j ACCEPT
/sbin/iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#Porta da Receitanet
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 3456 -j ACCEPT
/sbin/iptables -I INPUT -p tcp -m tcp --dport 3456 -j ACCEPT

#Portas da Conectividade Social
/sbin/iptables -I OUTPUT -p tcp -m tcp --dport 2631 -j ACCEPT
/sbin/iptables -I INPUT -p tcp -m tcp --dport 2631 -j ACCEPT
/sbin/iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -I OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT


/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.173.68 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.173.68 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.166.200 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.166.200 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.174.204 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.174.204 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.174.207 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.174.207 --dport 80 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.173.68 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.173.68 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.166.200 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.166.200 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.174.204 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.174.204 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s IPMAQUINA -d 200.201.174.207 --dport 2631 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d IPMAQUINA -s 200.201.174.207 --dport 2631 -j ACCEPT


Após ele enviar eu tenho que reabilitar o firewall: service iptables restart.

E é isso aí.
Um abroço pessoal.

Po povão, parem de sofrer com mane "!" (excessão) :P

usem -j RETURN

Façam seus firewalls bonitinhos com proxy transparente e tudo mais...

Ai no FINAL do script do firewall só colocar o que não querem que seja tratado pelo PREROUTING, exemplo para o caso do CNS:

iptables -t nat -I PREROUTING -d 200.201.174.0/24 -j RETURN
iptables -t nat -I PREROUTING -d 200.202.0.0/16 -j RETURN

:P

Po povão, parem de sofrer com mane "!" (excessão) :P

usem -j RETURN

Façam seus firewalls bonitinhos com proxy transparente e tudo mais...

Ai no FINAL do script do firewall só colocar o que não querem que seja tratado pelo PREROUTING, exemplo para o caso do CNS:

iptables -t nat -I PREROUTING -d 200.201.174.0/24 -j RETURN
iptables -t nat -I PREROUTING -d 200.202.0.0/16 -j RETURN

:P

Mr Mind, boa noite .........
Nessa acl que você mencionou o Java/1.5 e Java/1.4, o que tem nesse Java/1.5 e Java/1.4
Dá uma explicadinha se for possível. Estou precisando de ajuda nesse lance de Java. Tem algumas páginas na empresa que não estão funcionando legal, quando alguma coisa precisa do Java.
Obrigado ............. :help:

cara, manda um wiki desse script...

dae tenho fedora +squid+guardian+sarg :D

e com esse post funcionol perfeitamente valeu e abraços !!! :good: