Re: Proxy Autenticado + Conectividade Social (SEFIP)
Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.
Aqui eu disponho de regras diferentes para o site da CAIXA :
echo "Liberando sites da caixa.gov.br..."
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
# conectividade social
echo "Liberando IPs conhecidos da caixa.gov.br"
# debug :
# $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
# $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE
EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.
2009/3/3 "Flávio R. Lopes" <flavio.linux@paradoxo.inf.br>:
> Olá galera.
> Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
> tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
> algumas dificuldades!!
>
> Antes vou lhes passar os detalhes das configurações:
> Num cliente meu implementei um Proxy(Squid) Autenticado.
> - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
> manualmente.
> - No firewall tambem coloquei uma regra para redirecionar o tráfego para a
> porta do proxy, para que se algum espertinho tirar as configurações dos
> Browsers ele não consiga navegar!!. A baixo segue a regra:
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 8080
>
> Agora começa a briga!
> Das regras para colocar no firewall que achei na Net(Google) deram certo só
> quando era Proxy Transparente.
> Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
> caso. Abaixo seguem elas:
> ## LIBERA TRAFEGO NA PORTA 80
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
>
> ## LIBERA TRAFEGO DA LAN NA PORTA 2631
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
>
> ## LIBERA O TRAFEGO PARA uma Maquina no RH
> $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
> $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT
>
>
> # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
> -j RETURN
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
> -j RETURN
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
> -j RETURN
>
> # REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
> -j REDIRECT --to-port 8080
> $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
> -j REDIRECT --to-port 8080
>
> Onde:
> CAIXA=200.201.173.68
> CAIXA2=200.201.166.200
> CAIXA3=200.201.174.207
> CAIXA4=200.201.174.0/24
> lan=192.168.1.0/24
> rh=192.168.1.10
>
> Obs: Estas regras foram colocadas ANTES da regra que faz o redirecionamento
> para a porta do Proxy!!!
>
> Agora para deixar eu maluco de vez:
> Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue efetuar
> a troca de chaves e conecta normalmente na Conectividade Social!!, Até aí
> ótimo...resolve parcialmente meu problema!
>
> O problema é que ao tentar fazer uma tranferência usando o programa
> (instalado no computador) da SEFIP - Envio do RE (Selo) dá um erro na hora
> do envio dizendo que "a máquina sem conexão com a internet."
>
> Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar dos
> browsers a configuração para passar pelo Proxy aí funciona tudo !!!
>
> Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO??
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
Reply to: