Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.
Aqui eu disponho de regras diferentes para o site da CAIXA :
echo "Liberando sites da caixa.gov.br..."
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
# conectividade social
echo "Liberando IPs conhecidos da caixa.gov.br"
# debug :
# $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
# $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE
EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.
2009/3/3 "Flávio R. Lopes" <flavio.linux@paradoxo.inf.br>:
Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
algumas dificuldades!!
Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080
Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT
# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
-j RETURN
# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080
Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.207
CAIXA4=200.201.174.0/24
lan=192.168.1.0/24
rh=192.168.1.10
Obs: Estas regras foram colocadas ANTES da regra que faz o redirecionamento
para a porta do Proxy!!!
Agora para deixar eu maluco de vez:
Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue efetuar
a troca de chaves e conecta normalmente na Conectividade Social!!, Até aí
ótimo...resolve parcialmente meu problema!
O problema é que ao tentar fazer uma tranferência usando o programa
(instalado no computador) da SEFIP - Envio do RE (Selo) dá um erro na hora
do envio dizendo que "a máquina sem conexão com a internet."
Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar dos
browsers a configuração para passar pelo Proxy aí funciona tudo !!!
Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO??
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org