[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Proxy Autenticado + Conectividade Social (SEFIP)



Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e tentei implementar as diversas soluções que achei no GOOGLE, mas estou com algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta) manualmente. - No firewall tambem coloquei uma regra para redirecionar o tráfego para a porta do proxy, para que se algum espertinho tirar as configurações dos Browsers ele não consiga navegar!!. A baixo segue a regra: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo só quando era Proxy Transparente. Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80 -j RETURN $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80 -j RETURN $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80 -j RETURN

# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 8080 $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 8080

Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.207
CAIXA4=200.201.174.0/24
lan=192.168.1.0/24
rh=192.168.1.10

Obs: Estas regras foram colocadas ANTES da regra que faz o redirecionamento para a porta do Proxy!!!

Agora para deixar eu maluco de vez:
Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue efetuar a troca de chaves e conecta normalmente na Conectividade Social!!, Até aí ótimo...resolve parcialmente meu problema!

O problema é que ao tentar fazer uma tranferência usando o programa (instalado no computador) da SEFIP - Envio do RE (Selo) dá um erro na hora do envio dizendo que "a máquina sem conexão com a internet."

Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar dos browsers a configuração para passar pelo Proxy aí funciona tudo !!!

Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO??


Reply to: