underwanderson

Esta é minha primeira publicação no BLOG
começo com um assunto que deixou-me com muita dor de cabeça pois trabalho em uma empresa onde depois de quase 1ano eles me aparecem com um desafio, liberar a conectividade social da caixa e como administrador da rede nem imaginava que fosse precisar configurar tais regras porque nunca me falaram nada sobre conectividade por lá mas como sou fã de carteirinha do under-linux sempre lia no forum, uns aqui outros acolá quase implorando por uma ajuda pois estava passando por aqueles momentos cruciais que passei antes deste post, e me utilizei dos mesmos recursos que dispunha aqui no forum onde cansei de ficar instalando e desinstalando java sun e MVJ da microsoft que são utilizados pelo site da caixa para fechar comunicação com a conectividade social e acreditem com apenas 2 ou 3 regras que consegui aqui no under-linux mas sem sucesso algum já estava me desesperando mas foi ai que juntando estas regras com outras que fui encontrando pelos blog's da internet e outra metade fui compilando por conta própria na tentativa de acertar o tempero desta empreitada e acabar com as cobranças do setor contábil que precisavam acertar a recisão de um funcionário recém demitido e não podia pois dependiam de tal conexão, foi ai que nas minhas experiências configurei a última regra e testei a conectividade depois de ver várias vezes o site da caixa retornando mensagens de erro de gateway dizendo que não era posível comunicar-se com o servidor da caixa, mas derrepente a página saltou como uma mágica, a felicidade foi muito grande em saber que com a ajuda de muitos e de várias horas de pesquisa em blog's, forun's nacionais e internacionais conclui com este monte de código fechamos conexão com os servidores da caixa.

Mas de nada adiantará se a maquina que vai fechar conexão com a conectividade utiliza antivirus com bloqueio de portas e proteção em tempo real tipo avast pois o mesmo tem proteção residente e monitora o trafego da internet em tempo real então ai vem a primeira parte deste episódio, se não for configurado o antivirus de nada adiantará os códigos, no meu caso uso o avast porque entre os antivirus grátis do mercado é o que tem proteção residênte mais completa e confiável para rede local, internet, email e até mesmo execuções de código maliciosos para pendrive tudo em tempo real.




Vamos começar por ele, o antivirus.

• clique 2x sobre o ícone do avast perto do relógio do windows
• ao lado do botão ok clique em "Detalhes"
• selecione do lado esquerdo "Proteção da internet"
• clique no lado direito no botão "Personalisar"
• em redirecionamento de portas ponha uma virgula na frente do numero 80 e sem dar espaço algum digite a porta utilizada pela conectividade social que é 2631
• abaixo digite os ip's utilizados pela conectividade social que é 200.201.174.204,200.201.174.207 deste jeito sem espaço só a virgula separando
• agora la em cima selecione a aba exceções
• clique em acrescentar digite os seguintes endereços cmt.caixa.gov.br e repita este passo para incluir outro endereço que é cmt.caixa.gov.br/cse
• clique ok para sair desta tela e ok para fechar o avast.
• teste entrando no site com o endereçohttp://cmt.caixa.gov.br/cse localise a chave fornecida pela caixa digite a senha se carregar blz se não
• movimente as linhas das regras e teste os programas java, não se esqueça que tem que ir em ferramentas > opções de internet > va na aba avançadas > marque todas opções da MVJ da microsoft reinicie a maquina e teste novamente.

porque com o programa java já não entra funcionando? porque tem algumas versões do windows principalmente as versões pir... que ja vem com sp3 e inclui o WPI Installation vem com muitas funções desabilitada e com isso atrapalha a utilização e testes da conectividade social.
Ah! tem mais, tudo que fica conectado na barra do relogio atrapalha a conexão tipo msn, skype, emule, kaazar, torrentes e demais clique sair nestes aplicativos para entrar e testar a conectividade da caixa.


Então vamos lá, depois de configurar seu antvirus e colar as regras no seu terminal, e desabilitar os p2p, msn... não esquecendo de rever a forma descritiva das suas interfaces no seu mikrotik pois o exemplo dado aqui o nome dado é= REDE LOCAL para a interface dos clientes, movimente as regras do firewall para o topo da lista para que elas fiquem ativas e comecem a trabalhar depois pode move-las para baixo, claro isso vai depender da prioridade que elas terá na sua rede se precisa delas funcionando mais que nunca tem que deixa-las no topo mesmo, é por isso que temos que fazer os primeiros procedimentos com as regras no servidor para depois configurar o antivirus porque com a porta e os ip's liberados pelo antivirus é mais fácil vê as regras funcionarem.
Pois bem isso foi o que aconteceu comigo e resolvi desta forma e como já sabem é trabalhoso mas é muito bom quando corremos, pesquisamos e aprendemos com nossos erros e acertos conseguindo resultados satisfatórios e soluções que nunca imaginavamos que poderiamos fazer.

Ai vc me pergunta, mas qual regras faz o serviço funfa? eu respondo, como no under-linux o conjunto nós somos o conjunto e sem um ou dois de nós o under continua mas um dia podemos fazer falta para o forum e é a mesma coisa com as regras aqui postadas talves se tirar uma ou duas pode até ser que continue funcionando mas pode ser que mais pra frente as regras tiradas façam falta.

A instalação do java sun e o MVJ da microsoft é primordial para o funcionamento do serviço, o site da caixa exige isso, no meu caso eu estou utilizando o MVJ da microsoft apesar de ter feito muitos
testes com o java sun v.6.

Duvidas é só pergutar
obrigado a todos pela atenção e façam um bom proveito destas informações.

--------------------------------corte daqui--------------------------------------------------

/ ip firewall mangle
add chain=prerouting src-address=200.201.174.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semproxy passthrough=yes comment="." disabled=no

/ ip firewall nat
add chain=dstnat in-interface="REDE LOCAL" protocol=tcp dst-port=80 packet-mark=!semproxy action=redirect to-ports=3128 comment="" disabled=no
add chain=dstnat dst-address=200.201.174.0/24 action=accept comment="Conectividade Social Caixa Economia Federal" disabled=no
add chain=dstnat dst-address=200.201.173.0/24 action=accept comment="Conectividade Social Caixa Economia Federal 2" disabled=no
add chain=dstnat protocol=tcp dst-port=80 dst-address-list=noproxy action=accept comment="conectividade sem proxy" disabled=no
add chain=dstnat protocol=tcp src-port=80 action=dst-nat to-addresses=200.201.174.0-200.201.174.255 to-ports=3128 comment="" disabled=no
add chain=dstnat dst-address=200.201.173.0/24 action=return comment="" disabled=no
add chain=dstnat dst-address=200.201.174.0/24 action=return comment="" disabled=no
add chain=dstnat dst-address=200.201.166.0/24 action=return comment="" disabled=no
add chain=dstnat protocol=tcp src-port=80 action=dst-nat to-addresses=200.201.173.0-200.201.173.255 to-ports=3128 comment="" disabled=no
add chain=dstnat protocol=tcp src-port=80 action=dst-nat to-addresses=200.201.166.0-200.201.166.255 to-ports=3128 comment="" disabled=no
add chain=dstnat dst-address=200.201.160.0/24 action=return comment="" disabled=no
add chain=dstnat protocol=tcp src-port=80 action=dst-nat to-addresses=200.201.160.0-200.201.160.255 to-ports=3128 comment="" disabled=no

/ ip web-proxy cache
add url="cmt.caixa.gov.br/" action=deny comment="" disabled=no
add url="cmt.caixa.gov.br/cse" action=deny comment="" disabled=no
add dst-address=200.201.174.207/32 dst-port=2631 action=deny comment="conectividade sem cache" disabled=no
add dst-address=200.201.174.204/32 dst-port=2631 action=deny comment="" disabled=no

/ ip web-proxy direct
add dst-address=200.201.166.0/24 dst-port=80 action=allow comment="" disabled=no
add dst-address=200.201.173.0/24 dst-port=80 action=allow comment="" disabled=no
add dst-address=200.201.174.0/24 dst-port=80 action=allow comment="" disabled=no
add dst-port=80 url="cmt.caixa.gov.br" action=allow comment="" disabled=no
add url="cmt.caixa.gov.br/cse" action=allow comment="" disabled=no
add dst-port=80 url="caixa.gov.br/fgts/index.asp" action=deny comment="" disabled=no

/ ip web-proxy access
add src-address=10.1.10.0/24 url="cmt.caixa.gov.br" action=allow comment="" disabled=no
add src-address=10.1.10.0/24 url="cmt.caixa.gov.br/cse" action=allow comment="" disabled=no
[aqui altere para sua faixa de ip da sua rede]

-------------------------------------até aqui---------------------------------------