+ Responder ao Tópico



  1. #1

    Padrão Problema com programa do Hipercard !! URGENTE !!

    Bom pessoal gostaria de pedir a ajuda de vcs mais uma vez
    Bom estou com um problema sério. O cartão de crédito hipercard usa um programa para baixas recebimentos de faturas debito etc. desde que montei meu servidor este programa sempre falha ao estabelecer uma conexao com a central deles. Meu iptables está sem nenhuma regra de blokeio apenas de redirecionamento de trafego da porta 80 para porta 8080 (dansguardian --> 3128 squid).
    Não sei o que possa ser ... outro problema que estou experimentando também é em sites que vc faz buscas por produtos tipo submarino americanas procura de ceps no correio demoram demasiadamente para abrir e as vezes nao abrem simplesmente morre a conexao, sites como gmail, yahoo mail, live mail versão completa, simplesmente não abrem, o gmail acusa um tempo demasiado de espera por conexão e solicita que eu use a versão simplificada em html. ja o live mail nem abre acusa erro de script quando na verdade não a erro na pagina e sim algo errado no squid.
    ja tentei isso aki
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    E nao adiantou



    segue minhas configurações do squid:
    ##PROXY TRANSPARENTE SQUID 2.6 STABLE1 UBUNTU SERVER 6.10 ##



    # arruma a comunicação entre dansguardian e squid #
    #follow_x_forwarded_for



    # O parametro cache_replacement_policy determina qual a politica
    # de substituicao dos objetos quando se esgota o espaco destinado
    # ao cache em disco.
    # lru: mantem os objetos referenciados recentemente.
    # heap GDSF: otimiza o "hit rate" por manter objetos pequenos e
    # e populares no cache, guardando assim um numero maior de objetos.
    # heap LFUDA: otimiza o "byte hit rate" por manter objetos populares
    # no cache sem levar em conta o tamanho. Se for utilizado este, o
    # maximum_object_size devera ser aumentado para otimizar o LFUDA.
    cache_replacement_policy heap LFUDA

    # O memory_replacement_policy define a politica de substituicao dos
    # objetos em memoria, da mesma forma como o cache_replacement_policy.
    # Os valores possiveis são os mesmos. O padrao eh lru.
    memory_replacement_policy lru


    # opcoes que aumentam o tempo de permanenciam de objetos no cache #

    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280


    ## TENTATIVA DESESPERADA PARA SALVAR AS ATUALIZAÇÔES DO WINDOWS XP E NOD32 ##
    refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
    refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
    refresh_pattern eset.com/.*\.(rar|nup|ver) 4320 100% 43200 reload-into-ims


    # FLAGS PARA AUMENTAR O USO DO CACHE ... OU PELO MENOS TENTAR Razz #

    refresh_pattern -i exe$ 0 50% 999999
    refresh_pattern -i zip$ 0 50% 999999
    refresh_pattern -i flv$ 0 50% 999999 ignore-reload override-lastmod override-expire reload-into-ims
    refresh_pattern -i swf$ 0 50% 999999 ignore-reload override-lastmod override-expire reload-into-ims
    refresh_pattern -i cab$ 0 50% 999999 ignore-reload override-lastmod override-expire reload-into-ims
    refresh_pattern -i nup$ 0 50% 999999 ignore-reload override-lastmod override-expire reload-into-ims
    refresh_pattern -i ver$ 0 50% 999999 ignore-reload override-lastmod override-expire reload-into-ims
    refresh_pattern -i rar$ 0 50% 999999 ignore-reload override-lastmod override-expire reload-into-ims




    ## deixa os erros em portugues ##
    error_directory /usr/share/squid/errors/Portuguese


    # maximo de ips dns que serao armazedos no cache #
    ipcache_size 2048
    ipcache_low 90
    ipcache_high 95
    # maximo de ips dns que serao armazedos no cache #
    fqdncache_size 2048


    # Provoca um ganho de performance ao usar conexões Pipeline (requisições em
    # paralelo)
    pipeline_prefetch on

    ## bloqueia palavras para que nao entrem no cache ##
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    ## tamanho do cache de arquivos na memoria ##
    cache_mem 32 MB

    ## tamanho maximo de objetos em cache na memoria ##
    maximum_object_size_in_memory 256 KB

    ## tamanho maximo de objetos no cache do disco ##
    maximum_object_size 512 MB

    ## tamanho minimo de objetos no cache do disco ##
    minimum_object_size 0 KB

    ## parametros para esvaziar o cache quando necessario ##
    cache_swap_low 90
    cache_swap_high 95

    ## diretorio onde o cache sera salvo ##
    cache_dir aufs /var/spool/squid 32000 16 256
    cache_access_log /var/log/squid/access.log

    ## corrige bug de refresh do internet explorer 5.x ##
    ie_refresh on

    ## Informa o usuario e grupo que executam o squid ##
    cache_effective_user proxy
    cache_effective_group proxy


    ## parametros necessarios para que o proxy funcione corretamente ##
    acl all src 127.0.0.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsync
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow all


    ## deixa o proxy transparente ##
    http_port 3128 transparent


    ## corrige bug do squid 2.6 stable1 operando em transparente ##
    always_direct allow all


    ## nome do host ##
    visible_hostname linuxell-proxy





    ## FLAGS desesperadas para aumentar o uso do cache ###

    refresh_pattern -i \.gif$ 300 80% 43200
    refresh_pattern -i \.jpg$ 300 80% 43200
    refresh_pattern -i \.jpeg$ 300 80% 43200
    refresh_pattern -i \.doubleclick\.net 1440 40% 20160
    refresh_pattern -i \.benchmark\.kelkoo\.net: 1440 40% 20160
    refresh_pattern -i \.googleadservices\.com 1440 40% 20160
    refresh_pattern \.google\.br\/search$ 30 40% 20160
    refresh_pattern -i \.do? 3000 80% 432000 override-expire
    refresh_pattern -i \.do$ 3000 80% 432000 override-expire
    refresh_pattern -i \.do 3000 80% 432000
    refresh_pattern -i \.jsp? 3000 80% 432000 override-expire
    refresh_pattern -i \.jsp$ 3000 80% 432000 override-expire
    refresh_pattern -i \.jsp 3000 80% 432000 override-expire
    refresh_pattern -i \.sonystyle-europe 3000 80% 432000



    ## Abilita snmp no squid para monitoramento com o rrdtools ##
    snmp_port 3401
    acl snmppublic snmp_community public
    snmp_access allow snmppublic localhost
    snmp_access allow all
    Última edição por RYUDO; 29-01-2007 às 20:24.

  2. #2

    Padrão

    Se você tira o Squid e deixa apenas um NAT, ele funciona?

  3. #3

    Padrão

    Citação Postado originalmente por xstefanox Ver Post
    Se você tira o Squid e deixa apenas um NAT, ele funciona?
    Sim e resolvi de uma maneira não muito boa ... tirando a maquina do proxy e direcioando para a porta 80 direto ... preciso fazer a mesma coisa com outra maquina que acessa o visaonline.com.br , pois acho que tanto o hiper quanto o visa são o mesmo caso do programa da caixa ... me ajude a reforumular esta regra de modo que posso bloquear dois micros de passar pelo proxy por favor:

    eis a regra pra 1:
    192.168.0.25 = hipercard
    192.168.0.14= visaonline (quero colocar esse nessa regra como prosseguir ? )

    /sbin/iptables -s \! 192.168.0.25 \! 192.168.0.14 -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT --to-port 8080

  4. #4

    Padrão

    Eu recomendaria que você tirasse essa dúvida com o próprio pessoal da Visa, mas de qualquer forma, você pode criar a regra de redirecionamento de forma análoga ao caso do Conectividade Social, sniffando a rede para saber em qual IP ele se conecta na internet, assim você cria a sua regra de redirecionamento da seguinte maneira:

    Código :
    # iptables -t nat -A PREROUTING -i eth0 -p TCP -d ! $IP_DO_VISA --dport 80 -j REDIRECT --to 8080

    Você tem que ficar esperto também na configuração do Dansguardian e certificar-se que ele não esteja bloqueando alguma coisa.


    Abraços!

  5. #5

    Padrão

    e no caso amigo se eu quiser usar essa regra mais simples por enquanto, como faço para acrecentar um segundo host nela ? ela esta certa mesma ? veja :

    ** errado? ** (acho que ela quebrou a regra de redirecionamento e apenas o NAT esta funcionando .. acho ainda nao verifiquei pq acabou o expediente)
    sbin/iptables -t nat -A PREROUTING -s \! 192.168.0.25 -p tcp --dport 80 -j REDIRECT --to-port 8080

    ** certo? **
    /sbin/iptables -t nat -A PREROUTING -s 192.168.0.0\24 !192.168.0.25 -p tcp --dport 80 -j REDIRECT --to-port 8080

    ** 2 hosts certo ou errado ? **

    /sbin/iptables -t nat -A PREROUTING -s 192.168.0.0\24 !192.168.0.25 !192.168.0.14 -p tcp --dport 80 -j REDIRECT --to-port 8080