Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal, tudo tranquilo com vcs.

    Tô aqui pra passar minha experiencia com o bendito programa da Caixa, aquele que não faz cache... E que já provocou muita insonia em muita gente...

    Mas vamos lá:

    Quebrei muito a cabeça e testei mais ou menos umas 50 configurações diferentes no meu firewall, até chegar a esta abaixo.

    Meu ambiente:
    Slackware 11 / cada cliente em uma sub-rede.

    PARTE DO FIREWALL

    * Passivo da rede
    ## Passivo
    $IPTABLES -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

    * Regras do redirecionamento, tirando do cache
    # Conectividade Social
    $IPTABLES -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

    * Redirecionando todo o resto pro cache
    ## Cache:
    $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t nat -A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Como vcs puderam observar, tenho a eth0 entrando e as eth's 1,2 e 3 saindo, então tudo mundo que quiser usar o Conectividade vai usar sem problemas.

  2. Achei bacana essa idéia de compartilhar a configuração de firewall para acessar o conectividade social.
    E pegando um gancho no que você disse, é muito importante verificar também os outros serviços que estão rodando na rede ou até mesmo no servidor firewall pois, as vezes, mesmo evitando de passar pelo cache, pode dar algum conflito ou até mesmo excesso de tempo de espera.

    Bom é isso...

    abracos



  3. na verdade.. eh muito mais simples.. basta usar esta regra aqui:

    iptables -t nat -I PREROUTING -d 200.201.160.0/20 -j ACCEPT

    esta deve ser a ultima regra a ser executada... sendo assim.. tudo que tiver o destino para o bloco de ip da caixa.. nao passa pelo proxy ...

  4. Citação Postado originalmente por portalink Ver Post
    Olá pessoal, tudo tranquilo com vcs.




    Tô aqui pra passar minha experiencia com o bendito programa da Caixa, aquele que não faz cache... E que já provocou muita insonia em muita gente...

    Mas vamos lá:

    Quebrei muito a cabeça e testei mais ou menos umas 50 configurações diferentes no meu firewall, até chegar a esta abaixo.

    Meu ambiente:
    Slackware 11 / cada cliente em uma sub-rede.

    PARTE DO FIREWALL

    * Passivo da rede
    ## Passivo
    $IPTABLES -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

    * Regras do redirecionamento, tirando do cache
    # Conectividade Social
    $IPTABLES -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

    * Redirecionando todo o resto pro cache
    ## Cache:
    $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t nat -A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-port 3128


    Como vcs puderam observar, tenho a eth0 entrando e as eth's 1,2 e 3 saindo, então tudo mundo que quiser usar o Conectividade vai usar sem problemas.
    e essa aqui funcionaria nao iptables -t nat -A PREROUTING -d 200.201.173.0/24 -j RETURN ?XD



  5. se voce der um RETURN a regra ainda pode passar por uma outra regra e ser desviada..

    o ACCEPT aceita o pacote e pronto... o RETURN somente PULA a chain atual.. e passa para a proxima..






Tópicos Similares

  1. Respostas: 19
    Último Post: 08-08-2007, 07:16
  2. squid iptables cmt.caixa.gov.br
    Por diegofsousarn no fórum Servidores de Rede
    Respostas: 9
    Último Post: 21-09-2006, 20:22
  3. Conectividade social e Site cmt.caixa.gov.br não funciona no squid
    Por rodrigofsantos no fórum Servidores de Rede
    Respostas: 5
    Último Post: 22-07-2006, 13:04
  4. cmt.caixa.gov.br (que bomba!)
    Por vagnosantana no fórum Servidores de Rede
    Respostas: 3
    Último Post: 17-08-2005, 09:32
  5. Liberando acesso ao Conectividade Social da CAIXA
    Por emferrari no fórum Servidores de Rede
    Respostas: 7
    Último Post: 17-06-2005, 00:41

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L