Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    whinston
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Atualizado 24/11/05 - Estou usando em VÁRIOS clientes e funciona.
    Coloque as linhas abaixo no seu Firewall:

    # ETH0 = LAN/ ETH1 = REDE EXTERNA = INTERNET

    fw = /sbin/iptables
    lan = 192.168.0.0/24
    mundo=0/0
    conectividade = 200.201.174.0/24
    outrosite1 = x.x.x.x/32
    outrosite2 = y.y.y.y/25

    # LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
    $fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
    $fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT


    # LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
    $fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
    $fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT

    # EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
    $fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $conectividade --dport 80 -j RETURN

    # EXCLUE OUTRO SITE (1) DO PROXY TRANSPARENTE
    $fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite1 --dport 80 -j RETURN

    # EXCLUE OUTRO SITE (2) DO PROXY TRANSPARENTE
    $fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $outrosite2 --dport 80 -j RETURN

    # REDIRECIONA TRÁFEGO INTERNO PARA PROXY TRANSPARENTE
    $fw -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128
    $fw -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128

    *Caso seu proxy seja autenticado, você cria uma ACL com o endereço do conectividade social ou da URL que deseja liberar e coloca ANTES DE TODAS as ACL, assim, ele não vai pedir senha quando o programa tentar acessar o conectividade, evitando assim, que o usuário tenha que ficar desmarcando o proxy no browser.

  2. #2

    Padrão Conectividade Social - Antes de postar, leia aqui

    Faltou o NAT na porta 2631 :P

  3. #3
    whinston
    Visitante

    Padrão isto ae

    Citação Postado originalmente por DropALL
    Faltou o NAT na porta 2631 :P

    num guento + ler sobre conectivadade rapaz, rs..
    achei que merecia 1 FIXO aki.. toda pagina praticamente tem 1 duvida do bicho

  4. #4
    HunTer
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    # Falai pessoALL
    #
    # no meu caso funfo assim
    #
    $IPTABLES -A FORWARD -s $rede_interna -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -s 200.201.174.0/24 -p tcp -d $rede_interna --dport 80 -j ACCEPT
    #
    # Ai no SQUID fiz assim
    $IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #
    #
    #
    :toim:
    #
    #
    []´sssss 4ALL

  5. #5

    Padrão Pesquise antes de perguntar.

    Aew,

    Bacana a ideia, resta saber se o pessoal vai ler antes de perguntar!!




    flws,

  6. #6
    void_main_void
    Visitante

    Padrão Re: Conectividade Social - Antes de postar, leia aqui

    Citação Postado originalmente por whinston
    Coloque as linhas abaixo no seu Firewall:

    fw = /sbin/iptables
    lan = 192.168.0.0/24
    conectividade = 200.201.174.0/24

    $fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
    $fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT
    $fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
    $fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT

    # se você usa proxy sem autenticação e transparente:
    $fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

    Caso seu proxy seja autenticado, a única opção é desmarcar o proxy quando for utilizar o programa, uma vez que o programa é super moderno e não permite o fornecimento de dados para conexão com este tipo de proxy.
    Bom dia... Esta sua dica é só para o programa do conectividade ou também resolve o problema do cmt.caixa.gov.br? No meu caso o conectividade stá funcionando bem, até enviando e rebendo mensagens... O meu problema aqui é com esse maldito applet que roda nesse site da caixa, usado pra pegar extrato de FGTS... Mais detalhes do problema em: https://under-linux.org/modules.php?...=125720#125720

    Espero que alguém possa me ajudar, pois a coisa tá feia aqui...

  7. #7
    whinston
    Visitante

    Padrão cache

    ola cara
    pelo que andei lendo é problema de cache
    este programa não pode usar fz cache, pq senão ele não autentica
    ou seja, não pode usar o squid

  8. #8
    void_main_void
    Visitante

    Padrão Re: cache

    Citação Postado originalmente por whinston
    ola cara
    pelo que andei lendo é problema de cache
    este programa não pode usar fz cache, pq senão ele não autentica
    ou seja, não pode usar o squid
    e vc pode me ajudar a contornar isso? como faço pra que somente essa maquina cliente não faça cache pra rodar esse programinha?

  9. #9
    whinston
    Visitante

    Padrão vamos tentar

    então cara, vc tem esta regra (ou similar) no teu fw ?

    $fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

    ela redireciona o trafego da porta 80, vindo da sua LAN, pra porta 3128, do proxy. com isto, tudo q passar por la, será feito cache pelo squid
    não tenho experiência com este cenário pq eu trabalho com proxy autenticado e este tipo de coisa não funciona, mas creio que deveria ter algo ! ali pra não permitir que quando o destino fosse os IPs da caixa, fosse redirecionado o tráfego. peço ajuda a meus caros amigos com + experiência.

  10. #10
    Visitante

    Padrão Re: vamos tentar

    Citação Postado originalmente por whinston
    então cara, vc tem esta regra (ou similar) no teu fw ?

    $fw -t nat -A PREROUTING -i eth0 -p tcp -s $lan -d $conectividade --dport 80 -j REDIRECT --to-port 3128

    ela redireciona o trafego da porta 80, vindo da sua LAN, pra porta 3128, do proxy. com isto, tudo q passar por la, será feito cache pelo squid
    não tenho experiência com este cenário pq eu trabalho com proxy autenticado e este tipo de coisa não funciona, mas creio que deveria ter algo ! ali pra não permitir que quando o destino fosse os IPs da caixa, fosse redirecionado o tráfego. peço ajuda a meus caros amigos com + experiência.
    isso mesmo , minha regra pra o proxy transparente é parecida com essa...

  11. #11
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Está acontecendo uma coisa aqui com o java também... Quando abro a página cmt.caixa.gov.br aparece no rodapé da página "Applet SlimCli notinited", e realmente nem foi instalado o applet, não sei porque...

    Pelo console do java tenho a seguinte mensagem:

    Java Plug-in 1.5.0_02
    Using JRE version 1.5.0_02 Java HotSpot(TM) Client VM
    User home directory = C:\Documents and Settings\Administrador


    ----------------------------------------------------
    c: clear console window
    f: finalize objects on finalization queue
    g: garbage collect
    h: display this help message
    l: dump classloader list
    m: print memory usage
    o: trigger logging
    p: reload proxy configuration
    q: hide console
    r: reload policy configuration
    s: dump system and deployment properties
    t: dump thread list
    v: dump thread stack
    x: clear classloader cache
    0-5: set trace level to <n>
    ----------------------------------------------------

    load: class COM.arx.pw.SlimCli not found.
    java.lang.ClassNotFoundException: COM.arx.pw.SlimCli
    at sun.applet.AppletClassLoader.findClass(Unknown Source)
    at java.lang.ClassLoader.loadClass(Unknown Source)
    at sun.applet.AppletClassLoader.loadClass(Unknown Source)
    at java.lang.ClassLoader.loadClass(Unknown Source)
    at sun.applet.AppletClassLoader.loadCode(Unknown Source)
    at sun.applet.AppletPanel.createApplet(Unknown Source)
    at sun.plugin.AppletViewer.createApplet(Unknown Source)
    at sun.applet.AppletPanel.runLoader(Unknown Source)
    at sun.applet.AppletPanel.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)
    Caused by: java.io.IOException: open HTTP connection failed.
    at sun.applet.AppletClassLoader.getBytes(Unknown Source)
    at sun.applet.AppletClassLoader.access$100(Unknown Source)
    at sun.applet.AppletClassLoader$1.run(Unknown Source)
    at java.security.AccessController.doPrivileged(Native Method)
    ... 10 more

    Pare que tem alguma coisa com a conexão mesmo, mas não consigo identificar o que é... Desta vez está bem pior, pois nem consegue instalar o applet... Até já atualizei o jsdk pra testar, mas não resolveu... Configurei o proxy manualmente também, tanto no IE quanto nas configurações do Java, mas nada também...

    O que mais pode ser?

  12. #12
    void_main_void
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    owpa, macada... só pra registrar que fui eu que mandei as duas ultimas respostas... tinha esquecido de logar... ehhehe..

  13. #13
    Jorge Iwano
    Visitante

    Padrão CONECTIVIDADE SOCIAL

    Se o programa nao pode passar pelo proxy que da problema...
    Não usem o metodo "! -d" para o redirect!

    Usem o "RETURN"

    No lugar dessa regra que vi aqui
    $IPTABLES -t nat -A PREROUTING -s $rede_interna -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Utilizar essa
    $IPTABLES -t nat -A PREROUTING -s $rede_interna -d 200.201.174.0/24 -p tcp --dport 80 -j RETURN

    Que pode ser feito em outros casos também! Quando proxy estiver atrapalhando algum acesso na porta 80!

  14. #14
    Visitante

    Padrão Re: CONECTIVIDADE SOCIAL

    Isto resolveu ? Qual e a regra ideal para se fazer. Tb estou com esse problema.


    Carlos V.Ramos

  15. #15
    marmth
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Boa tarde,
    Eu li tudo o que pude encontrar na internet a respeito do conectividade social e testei tudo e nada deu resultado, ou eu recebo a mensagem "Troca de chaves falhou" ou a janela com o applet de autenticação nem funciona corretamente. Li também tudo o que pude encontrar aqui neste forum mas não obtive resultados positivos.
    Aqui na empresa utilizo o CL 8 com squid e iptables. O squid é configurado para somente permitir a navegação na internet por meio de autenticação. Se no navegador eu retirar a configuração com o ip do meu proxy, a estação não navega na internet.
    Testei vários scripts para o iptables e não sei mas o que pode ser feito.
    Gostaria de obter ajuda deste forum e caso alguem necessite do meu scrpit de firewall ou do squid.conf eu os envio via msn.
    Grato a todos.
    []´s
    Marcos Maia

  16. #16

    Padrão Conectividade Social - Antes de postar, leia aqui

    Minhas regras ta tabela NAT estao assim!

    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

    a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
    Isso faz com que o pacote saia da chain prerouting indo para a proxima!
    Nao se esqueça de usar o nat também! o SNAT.


    qualquer duvida posta ae!

  17. #17
    marmth
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Citação Postado originalmente por japaeye4u
    Minhas regras ta tabela NAT estao assim!

    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d 200.201.174.0/24 -j RETURN
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j RETURN
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

    a primeira e a segunda regra sao de aplicações que usam a porta 80 mais que nao podem passar pelo squid! entao de um JUMP para RETURN.
    Isso faz com que o pacote saia da chain prerouting indo para a proxima!
    Nao se esqueça de usar o nat também! o SNAT.


    qualquer duvida posta ae!
    Com estas regras eu não preciso desabilitar a navegação pelo proxy do meu navegador ???
    Tb não é necessário fazer redirecionamento de porta para que o conectividade funcione ?
    Quanto ao SNAT eu irei tentar fazê-lo aqui na empresa mesmo e coloco o resultado aqui .. :good:

    []
    Marcos

  18. #18
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    ops, cometi um erro nas regras
    ao invez de
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

    na terceira linha, deveria ficar como
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128

    sim! vc deve tb coloca a regra

    $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

    entendeu?

  19. #19
    marmth
    Visitante

    Padrão Conectividade Social - Antes de postar, leia aqui

    Citação Postado originalmente por Anonymous
    ops, cometi um erro nas regras
    ao invez de
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -d www.trt19.gov.br -j REDIRECT 3128

    na terceira linha, deveria ficar como
    $IPTABLES -t nat -A PREROUTING -i $IF_INTERNAL -p tcp --dport 80 -j REDIRECT 3128

    sim! vc deve tb coloca a regra

    $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j SNAT --to-source $IP_EXTERNAL

    entendeu?
    No caso da linha destacada acima, ela pode ser escreita como esta $IPTABLES -t nat -A POSTROUTING -i $IF_EXTERNAL -p tcp --dport 80 -j MASQUERADE ?? Pois aqui na empresa usamos o velox e a cada conexão eu recebo um ip diferente ...

    E onde esta escrito $IF_EXTERNAL é a placa de rede externa que esta conectada a internet, é isso mesmo ???

    Grato
    Marcos

  20. #20
    Visitante

    Padrão Conectividade social

    :@: Eu nunca vi coisa mais chata do que esses programas da caixa. Que absurdo, eles fazem as coisas e nem sabem resolver. Coloca uma informação idiota desatualizada ha meses ou anos. E brincadeira..... só dar dor de cabeça e atrapalha a vida de quem realmente tem muito o que fazer.