Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21

    Padrão Conectividade Social - Antes de postar, leia aqui

    Corrigindo alguns erros!

    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128


    Na terceira regra, era pra ser assim!
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128


    E aonde tem
    $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

    era pra ser assim, errei no parametro! Eh a pressa, kkkk!
    $IPTABLES -t nat -A POSTROUTING -o $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL
    ou
    $IPTABLES -t nat -A POSTROUTING -o $IF_EXTERNAL -p tcp --dport 80 -j MASQUERADE




    qualquer coisa eh a mesma coisa!

  2. #22
    bouncer
    Visitante

    Padrão faz assim,

    entao eu ja passei muita raiva com isso..entao testa ai ee relaxa mente

    # Proxy transparente
    $IPTABLES -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 9090
    $IPTABLES -t nat -A PREROUTING -p udp -i eth1 --dport 80 -j REDIRECT --to-port 9090
    $IPTABLES -A INPUT -p tcp -d 200.xxx.xx --dport 9090 -s 192.168.0.0/24 -j ACCEPT
    $IPTABLES -A INPUT -p tcp -s 0/0 --dport 9090 -j DROP

  3. #23

    Padrão Conectividade Social - Antes de postar, leia aqui

    Ola Galera,

    Gostaria de divulgar um artigo sobre o Conexão que meu amigo void_main_void fez:

    http://www.vivaolinux.com.br/artigos...hp?codigo=2542

    Esta artigo esta centralizando todas as duvidas que o pessoal vem tendo com este programa da Caixa.

    Falow ! :good:

  4. #24
    paulo_sergio
    Visitante

    Padrão conectividade

    Amigo,
    Eu uso o conectividade social aqui na empresa onde trabalho com o TUXFRW - Um ótimo programa para automação de regras do iptables.

    - Bom em primeiro lugar para resolver seu problema você precisa fazer com que os pacotes do conectividade social não passem pelo proxy autenticado.
    - Crie uma regra para não fazer cache e uma de ips sem autenticação.
    - Se sua rede usa NAT coloque a regra abaixo para não passar pelo proxy :
    $IPTABLES -A PREROUTING -t nat -d 200.201.174.207/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
    $IPTABLES -A PREROUTING -t nat -s 10.0.x.x/16 -d 200.201.174.207 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 80

    Abs,

  5. #25
    bouncer
    Visitante

    Padrão entra aqui

    www.zoioroxo.com.br

    isso da certo

  6. #26
    void_main_void
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Citação Postado originalmente por marmth
    Boa tarde,
    Eu li tudo o que pude encontrar na internet a respeito do conectividade social e testei tudo e nada deu resultado, ou eu recebo a mensagem "Troca de chaves falhou" ou a janela com o applet de autenticação nem funciona corretamente. Li também tudo o que pude encontrar aqui neste forum mas não obtive resultados positivos.
    Aqui na empresa utilizo o CL 8 com squid e iptables. O squid é configurado para somente permitir a navegação na internet por meio de autenticação. Se no navegador eu retirar a configuração com o ip do meu proxy, a estação não navega na internet.
    Testei vários scripts para o iptables e não sei mas o que pode ser feito.
    Gostaria de obter ajuda deste forum e caso alguem necessite do meu scrpit de firewall ou do squid.conf eu os envio via msn.
    Grato a todos.
    []´s
    Marcos Maia
    essa semana postei um artigo mais completo sobre isso:

    http://www.vivaolinux.com.br/artigos...hp?codigo=2542

    espero que ajude...

  7. #27
    drginfo
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Estive lendo a pouco tempo um livro muito bom " a quem interessar o livro é: TÉCNICAS AVANÇADAS DE CONECTIVIDADE E FIREWALL EM GNU LINUX - Autor: Humberto L. Jucá - Brasport" que falava do RETURN e acho que funciona bem para o conectividade e cmt da caixa.
    Basta criar uma nova chain de redirecionamento na chain PREROUTING e ficaria assim:

    IPT=/usr/sbin/iptables ## path do iptables
    LAN=192.168.0.0/24 ## range da rede
    REDE=eth0 ## interface da rede

    $IPT -t nat -N SRed
    $IPT -t nat -A SRed -p tcp -j REDIRECT --to-port 3120
    $IPT -t nat -I SRed -s $LAN -d 200.201.174.0/24 -j RETURN
    $IPT -t nat -A PREROUTING -i $REDE -s $LAN -p tcp --dport 80 -j SRed

    ou seja tudo que fosse para o end. 200.201.174.0/24 não cairá na porta do squid, não esqueçam o detalhe da regra que é "I" e ñ "A" pois se vc colocar -A ele grava a regra no final e o -I no início das regras.
    Espero que desta vez resolva esse problema da caixa...conectividade ... etc...

  8. #28
    whinston
    Visitante

    Padrão novidd

    Citação Postado originalmente por drginfo
    Estive lendo a pouco tempo um livro muito bom " a quem interessar o livro é: TÉCNICAS AVANÇADAS DE CONECTIVIDADE E FIREWALL EM GNU LINUX - Autor: Humberto L. Jucá - Brasport" que falava do RETURN e acho que funciona bem para o conectividade e cmt da caixa.
    Basta criar uma nova chain de redirecionamento na chain PREROUTING e ficaria assim:

    IPT=/usr/sbin/iptables ## path do iptables
    LAN=192.168.0.0/24 ## range da rede
    REDE=eth0 ## interface da rede

    $IPT -t nat -N SRed
    $IPT -t nat -A SRed -p tcp -j REDIRECT --to-port 3120
    $IPT -t nat -I SRed -s $LAN -d 200.201.174.0/24 -j RETURN
    $IPT -t nat -A PREROUTING -i $REDE -s $LAN -p tcp --dport 80 -j SRed

    ou seja tudo que fosse para o end. 200.201.174.0/24 não cairá na porta do squid, não esqueçam o detalhe da regra que é "I" e ñ "A" pois se vc colocar -A ele grava a regra no final e o -I no início das regras.
    Espero que desta vez resolva esse problema da caixa...conectividade ... etc...
    vivendo e aprendendo, esta do -I pra minha nova e será muito útil qdo precisar colocar uma regra de liberação nova, tendo uma drop no script, sem ter que reiniciar todo script. valeu !

  9. #29

    Padrão conectividade social

    opa pessoal aqui no meu firewall eu so fiz essa linha aqui o e ta funcionando normal

    IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    obs: meu squid não esta como autenticado esta normal mesmo

    e eu segui esse tutorial do void que pelo menos pra mim foi o melhor que vi na net
    falow

  10. #30
    Mr_Mind
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    acl java15 browser Java/1.5
    acl java14 browser Java/1.4
    http_access allow java15
    http_access allow java14

    o java tem tido problemas com autenticação via ntlm_auth, quanto a outros não sei.

    isto resolveu o meu problema :-)

  11. #31

    Padrão IPs

    bom vale lembrar que o range de ip é 200.201.160.0/20 no caso de transferencia de IR o da serpro é 161.148.0.0/16.
    e outra poe o iptables pra gerar log melhor coisa.
    tchau

  12. #32

    Padrão Re: Conectividade Social - Antes de postar, leia aqui

    [quote="whinston"]
    $fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 443 -j REDIRECT --to-port 3128
    [quote]

    só lembrando que squid n suporta HTTPS TRANSPARENTE.

    sem +

  13. #33
    whinston
    Visitante

    Padrão verdd - valeu

    verdd, o ice tentou me explicar pq mas não entendi, mas pelo que entendi, tem a ver com segurança

  14. #34
    guerreiroRJ
    Visitante

    Padrão conectividade social

    Caros amigos não sou nenhum expert em linux, mas..

    Segundo a Caixa o problema não é de firewall, mas sim do java o site para solicitar os extratos do FGTS só funciona como java da Microsoft, Sun nem pensar...isto eu ouvi de funcionários do Help Desk da Caixa!

  15. #35
    Luis Isique
    Visitante

    Padrão Conectividade Social

    É MOÇA SEI O QUE TODOS COM O PROBLEMA DA CONECTIVIDADE DA CAIXA , PASSARAM, fiquei 15 dias, pro negócio funcionar,,
    Como não tenho firewal, mais uso o iptables para fazer o NAT, depois de muito custo só alterei uma linha e tudo funcionou, tambem não uso autenticação no squid, intão por isso foi mais simples,

    a linha ficou assim:
    ##Está linha faz o masquerada da minha rede interna, isso é tranquilo
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

    ##agora o redirect que tem que mudar,ficando assim
    iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128

    ##Ai moçada reparem que o ! (exclamação) tem que por senão o negócio não funciona.

    Espero ter ajudado, como muitos de vcis, me ajudarao a definir meus parametros.

    Atenciosamente
    Luis Isique

  16. #36
    Visitante

    Padrão Conectividade Social

    Saudações,

    Tenho o PROXY transparente, no navegador não tem proxy, já executei todos os procedimentos e ainda tenho o erro "Falha na troca de chaves com o Gateway"

    Obrigado pela ajuda

  17. #37
    shaw
    Visitante

    Padrão Re: conectividade social

    Citação Postado originalmente por guerreiroRJ
    Caros amigos não sou nenhum expert em linux, mas..

    Segundo a Caixa o problema não é de firewall, mas sim do java o site para solicitar os extratos do FGTS só funciona como java da Microsoft, Sun nem pensar...isto eu ouvi de funcionários do Help Desk da Caixa!
    De certa forma está correta. O programa da conectividade (que é muito bom, porém complicado) não tem problema com firewall, há não ser que você tenha bloqueado a porta 80. É porta 80 mas não http, tipo uma vpn pra conectar na intranet. Tem que fazer os usuários da conectividade passar por fora do squid. Eu não uso squid e no meu iptables NÃO TEM NADA relacionado ao Conectividade Social de I/O (entrada/saída, drop/accept), redirecionamento, etc, nada relacionado com conectivade.
    - Então qual seria o problema?
    Como eu falei, é um programa complicado de se "instalar". Mas vamos lá:
    Os usuários usam windows xp ambos dentro do firewall (iptables).
    Na máquina windows xp:
    Apague tudo relacionado ao IE: (cookies, arquivos e objetos). Passos: Em propriedades do IE, aba GERAL, Excluir cookies, Excluir arquivos > excluir todo conteúdo off-line, Configurações > Exibir objetos, delete tudo (só o GbPluginObj Class que não vai ser deletado), se você tiver algum java tipo o jre DESINSTALE, reinicie, baixe o JVM (msjvm.exe de aproximadamente 5mb). Você tem que estar com login dentro do grupo de administrador ou ser o administrador e para instalar o msjvm. Após instalado e reiniciado, mude as configs relacionadas ao Java no IE: Propriedades do IE, aba Segurança, >Internet< Nível personalizado, Microsoft VM, Permissões de Java, segurança baixa, scripts de miniaplicativos java: ativar| :::aba Avançado:::, Microsoft VM, acesso ao Java ativado. Feito isto, tente acessar o site cmt.caixa.gov.br.
    Como eu falei, o programa é muito bom porém complicado. Eu tenho três máquinas (windows) ambas atrás do iptables que tem configurações diferentes para este aplicativo, p. ex.: Uma funciona com as configurações acima, outra precisa do Java JRE para funcionar, uma outra tive que instalar o JVM, instalar o JRE e depois desinstalar o JRE, isto com configurações padrão. Em uma máquina eu tive que deletar o login de usuário e cria-lo diretamente com login de Administrador e não com um usuário do grupo de administradores. As mesmas configs do IE devem estar para o usuário que for usar a conectividade, talvez seja necessário colocar o usuário como adm para poder instalar o msjvm e depois tira-lo do grupo de adms (não necessáriamente), isto dependendo de sua política de segurança.

    Pra passar pelo squid, talvez isto:
    iptables -t nat -A PREROUTING -s $suanetlocal -d 200.194.179.90 -p tcp --dport
    80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 200.201.173.68 --dport 80 -j DNAT
    --to 200.201.173.68:80
    iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.173.68/32 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 200.201.166.200 --dport 80 -j DNAT
    --to 200.201.166.200:80
    iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.166.200/32 --dport 80 -j
    ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j DNAT
    --to 200.201.174.207:80
    iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.174.207/32 --dport 80 -j
    ACCEPT
    iptables -I FORWARD -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
    iptables -I OUTPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
    iptables -I INPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT

    Diogo Roos

  18. #38

    Padrão Conectividade Social - Antes de postar, leia aqui

    Já tentei de tudo.....agora com proxy autenticado (PAM), não funciona...
    Alguem tem alguma dica??

  19. #39

    Padrão Re: Conectividade Social

    Citação Postado originalmente por Luis Isique
    É MOÇA SEI O QUE TODOS COM O PROBLEMA DA CONECTIVIDADE DA CAIXA , PASSARAM, fiquei 15 dias, pro negócio funcionar,,
    Como não tenho firewal, mais uso o iptables para fazer o NAT, depois de muito custo só alterei uma linha e tudo funcionou, tambem não uso autenticação no squid, intão por isso foi mais simples,

    a linha ficou assim:
    ##Está linha faz o masquerada da minha rede interna, isso é tranquilo
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

    ##agora o redirect que tem que mudar,ficando assim
    iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128

    ##Ai moçada reparem que o ! (exclamação) tem que por senão o negócio não funciona.

    Espero ter ajudado, como muitos de vcis, me ajudarao a definir meus parametros.

    Atenciosamente
    Luis Isique
    Colega essa regra funcionou aqui para mim, só que eu preciso fazer excessão (usando !) para o o ip da conectividade (200.202.174.0/24) e outra classe que faço vpn aqui (200.202.x.x/24). A dúvida é essa como fazer a excessão para 2 classes de ip na mesma regra.

    Grato.

  20. #40