PESSOAL AINDA NUAM FOI DESSA VEZ
ELE APARECEU UMA MSG
" FALHA AO RECEBER MENSAGEM DE TROCA DE CHAVES DO GATEWAY"
AINDA ESPERO AJUDA
PESSOAL AINDA NUAM FOI DESSA VEZ
ELE APARECEU UMA MSG
" FALHA AO RECEBER MENSAGEM DE TROCA DE CHAVES DO GATEWAY"
AINDA ESPERO AJUDA
E ai fera..
vc ta usando o squid como proxy transparente?
no meu caso eu estou entao eu habilitei a porta 80 para todos os servers da caixa com iptables
IPTABLES -A FORWARD -s 10.0.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d 10.0.0.0/24 --dport 80 -j ACCEPT
e neguei os servers no cache, deixando as makinas de minha rede acessarem diretos os servers da caixa
IPTABLES -t nat -A PREROUTING -s 10.0.0.0/24 -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
me diz como vc ta fazendo ai, pra gente pode te ajuda
[]´s
vale lembrar que a faixa de ip da caixa.gov.br é 200.201.160.0/20 a conectividade social e o receita net são porta 3456 e 2631 ambas tcp, para acessar o FGTS que pede a chave de criptografia coloca no internet explorer em opções de internet, conexões, conf de lan, avançado-> onde fala não usar proxy para:
127.0.0.1;localhost;www.caixa.gov.br;www1.caixa.gov.br
questão de ver log.
tipoe meu nat ta assim:
[root@srv84 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 108K packets, 11M bytes)
pkts bytes target prot opt in out source destination
282 13536 REDIRECT tcp -- * * 129.0.0.0/16 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
49902 3106K MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 34347 packets, 2238K bytes)
pkts bytes target prot opt in out source destination
[root@srv84 ~]#
e o meu FORWARD:
[root@srv84 ~]# iptables -nvL FORWARD
Chain FORWARD (policy DROP 680 packets, 33816 bytes)
pkts bytes target prot opt in out source destination
20 836 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
225K 63M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:21
6311 303K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 144 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2631
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3456
8014 533K ACCEPT udp -- * * 129.0.0.0/16 200.199.252.68 udp dpt:53
7745 513K ACCEPT udp -- * * 129.0.0.0/16 200.199.252.72 udp dpt:53
0 0 ACCEPT udp -- * * 200.199.252.68 129.0.0.0/16 udp spt:53
0 0 ACCEPT udp -- * * 200.199.252.72 129.0.0.0/16 udp spt:53
241 11568 ACCEPT tcp -- * * 129.0.0.0/16 0.0.0.0/0 tcp dpt:25
2405 115K ACCEPT tcp -- * * 129.0.0.0/16 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 ACCEPT tcp -- * * 129.0.0.0/16 200.201.174.0/24 tcp dpt:80
0 0 ACCEPT tcp -- * * 200.201.174.0/24 129.0.0.0/16 tcp dpt:80
[root@srv84 ~]#
com o pessoal da caixa eles indicaram para fazer telnet para 200.201.174.207 80 ma soh no server que ele da login, nos outros ele da conexão ao host perdida.
Postado originalmente por HunTer
VALEU KRA AGORA COM TUA DICA TA TUDO FUNCIONANDO.........
tentei as coisas que tinham aqui no forumo e nada... to com esse mesmo problema. to com proxy transparente e porta 80 no squid.
ipfwadm -F -i accept -m -P tcp -S 10.0.0.0/8 1024:65535 -D 200.201.174.0/24) 80
-S: source é a rede interna
1024:65535: porta de origem da sua rede
-D: destination é o ip da caixa
80: porta destina (caixa)
-P tcp: protocolo tcp
-F: forward (?)
Postado originalmente por HunTer
As regras que o Hunter postou travam minha net para os clientes, meu squid está como http_port 80 e com proxy transparente. eu alterei o 10.0.0.0/24 por 192.168.0.0/24 (que é minha rede).
meu server tá assim (sem as regras novas):
[root@lucy root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:3456
ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:8017
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
cara, vc reviveu um tópico antigo, levei até um susto! o grande lance é na hora de vc fazer o proxy transparente negar a rede da conectividade social. o resto é de acordo com a sua rede, se vc não usa a porta 3128, coloque a que vc usa...Código :iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port xxxx
Pessoal, alguem sabe fazer essa regra no ipfw???Postado originalmente por HunTer
Valeu!!!