Conectividade Social - cmt.caixa.gov.br

**portalink** · 11-03-2008, 09:25

Olá pessoal, tudo tranquilo com vcs.

Tô aqui pra passar minha experiencia com o bendito programa da Caixa, aquele que não faz cache... E que já provocou muita insonia em muita gente...

Mas vamos lá:

Quebrei muito a cabeça e testei mais ou menos umas 50 configurações diferentes no meu firewall, até chegar a esta abaixo.

Meu ambiente:
Slackware 11 / cada cliente em uma sub-rede.

PARTE DO FIREWALL

* Passivo da rede
## Passivo
$IPTABLES -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

* Regras do redirecionamento, tirando do cache
# Conectividade Social
$IPTABLES -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

* Redirecionando todo o resto pro cache
## Cache:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-port 3128

Como vcs puderam observar, tenho a eth0 entrando e as eth's 1,2 e 3 saindo, então tudo mundo que quiser usar o Conectividade vai usar sem problemas.

**Frusciante** · 11-03-2008, 10:36

Achei bacana essa idéia de compartilhar a configuração de firewall para acessar o conectividade social.
E pegando um gancho no que você disse, é muito importante verificar também os outros serviços que estão rodando na rede ou até mesmo no servidor firewall pois, as vezes, mesmo evitando de passar pelo cache, pode dar algum conflito ou até mesmo excesso de tempo de espera.

Bom é isso...

abracos

**alexandrecorrea** · 12-03-2008, 02:56

na verdade.. eh muito mais simples.. basta usar esta regra aqui:

iptables -t nat -I PREROUTING -d 200.201.160.0/20 -j ACCEPT

esta deve ser a ultima regra a ser executada... sendo assim.. tudo que tiver o destino para o bloco de ip da caixa.. nao passa pelo proxy ...

**Joaosgnet** · 12-03-2008, 19:20

Postado originalmente por portalink

Olá pessoal, tudo tranquilo com vcs.

Tô aqui pra passar minha experiencia com o bendito programa da Caixa, aquele que não faz cache... E que já provocou muita insonia em muita gente...

Mas vamos lá:

Quebrei muito a cabeça e testei mais ou menos umas 50 configurações diferentes no meu firewall, até chegar a esta abaixo.

Meu ambiente:
Slackware 11 / cada cliente em uma sub-rede.

PARTE DO FIREWALL

* Passivo da rede
## Passivo
$IPTABLES -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

* Regras do redirecionamento, tirando do cache
# Conectividade Social
$IPTABLES -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

* Redirecionando todo o resto pro cache
## Cache:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-port 3128

Como vcs puderam observar, tenho a eth0 entrando e as eth's 1,2 e 3 saindo, então tudo mundo que quiser usar o Conectividade vai usar sem problemas.

e essa aqui funcionaria nao iptables -t nat -A PREROUTING -d 200.201.173.0/24 -j RETURN ?XD

**alexandrecorrea** · 12-03-2008, 19:31

se voce der um RETURN a regra ainda pode passar por uma outra regra e ser desviada..

o ACCEPT aceita o pacote e pronto... o RETURN somente PULA a chain atual.. e passa para a proxima..

**terencerocha** · 12-03-2008, 20:20

iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT # aqui estou pondo o ip da UOL para não passar pelo proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # fazendo redirecionamento da porta 80 para a porta do Squid 3128
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 554 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 554 -j ACCEPT
iptables -t nat -I PREROUTING -d app.radio.musica.uol.com.br -j ACCEPT
iptables -t nat -I PREROUTING -d radio.musica.uol.com.br -j ACCEPT

Aproveitando a deixa vo colocar as q usa pra radio uol...

**Bruno** · 14-03-2008, 08:55

lembrando que existe mais ips da caixa como
200.201.173.0/24 200.201.174.0/24 161.148.231.0/24 200.201.166.0/24 200.252.47.0/24 200.201.160.0/24

**alexandrecorrea** · 14-03-2008, 08:58

se fizer a regra q eu disse.. vai pegar o CIDR da caixa inteiro (/20)

Postado originalmente por alexandrecorrea

na verdade.. eh muito mais simples.. basta usar esta regra aqui:

iptables -t nat -I PREROUTING -d 200.201.160.0/20 -j ACCEPT

esta deve ser a ultima regra a ser executada... sendo assim.. tudo que tiver o destino para o bloco de ip da caixa.. nao passa pelo proxy ...

Conectividade Social - cmt.caixa.gov.br

Ferramentas de Tópicos

Conectividade Social - cmt.caixa.gov.br

Radio Uol