Re: Proxy Autenticado + Conectividade Social (SEFIP)

[hamacker <sirhamacker@gmail.com>]

Sim, todos eles autenticam usando smb_auth num servidor PDC Samba assim :
auth_param basic program /usr/lib/squid/smb_auth -W DOMINIO -U 192.168.1.2
auth_param basic children 50
auth_param basic realm "Autenticacao para internet corporativa"
auth_param basic credentialsttl 120 minute

A autenticacao é no servidor SAMBA, mas a partir da semana que vem
eles terao de autenticar num dominio AD windows 2003, por isso, eu tô
pesquisando a diferença entre autenticacao smb_auth e ntlm. A rede é
mixta e tem de tudo : windows 98, win2000, linux e winxp. Se alguem
souber qual é essa diferença por gentileza reply-me.

2009/3/3 "Flávio R. Lopes" <flavio.linux@paradoxo.inf.br>:
> Olá Hamacker, obrigado pelo reply.
> Viu, deixa te fazer uma pergunta.
> Seu Squid é Autenticado? Ou seja, estas regras funcionam com o Squid
> Autenticado?
>
> hamacker escreveu:
>>
>> Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
>> Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
>> mantemos uma virtual machine com win98.
>> Segundamente, voce deve configurar o navegador para não usar proxy
>> para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
>> usa internet com esse endereço (suportamente) remoto.
>>
>> Aqui eu disponho de regras diferentes para o site da CAIXA :
>>  echo "Liberando sites da caixa.gov.br..."
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> cmt.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> webp.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> www.caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> caixa.gov.br -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> obsupgdp.caixa.gov.br -j MASQUERADE
>>  # conectividade social
>>  echo "Liberando IPs conhecidos da caixa.gov.br"
>> # debug :
>> #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
>> MASQUERADE
>> #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
>> MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.162.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.166.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.173.0/24 -j MASQUERADE
>>  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
>> 200.201.174.0/24 -j MASQUERADE
>>
>> EXTERNAL=eth0 (externa)
>> INTERNAL_NET=192.168.1.0/24
>> Os endereços de destino eu peguei do site da receita, já faz um tempo.
>> Outros endereços IPs governamentais (federal, estadual, prefeitura)
>> são complicadores porque eles mudam e não avisam. E a menos que voce
>> use netstat ou tcpdump não tem como descobrir porque a documentação
>> eles também não atualizam. Assim, na maioria das vezes que posso uso
>> masquerade desde que eu saiba o IP.
>>
>>
>> 2009/3/3 "Flávio R. Lopes" <flavio.linux@paradoxo.inf.br>:
>>
>>>
>>> Olá galera.
>>> Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
>>> e
>>> tentei implementar as diversas soluções que achei no GOOGLE, mas estou
>>> com
>>> algumas dificuldades!!
>>>
>>> Antes vou lhes passar os detalhes das configurações:
>>> Num cliente meu implementei um Proxy(Squid) Autenticado.
>>> - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
>>> manualmente.
>>> - No firewall tambem coloquei uma regra para redirecionar o tráfego para
>>> a
>>> porta do proxy, para que se algum espertinho tirar as configurações dos
>>> Browsers ele não consiga navegar!!. A baixo segue a regra:
>>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
>>> --to-port 8080
>>>
>>> Agora começa a briga!
>>> Das regras para colocar no firewall que achei na Net(Google) deram certo
>>> só
>>> quando era Proxy Transparente.
>>> Pesquisando mais, achei as seguintes regras que resolveram parcialmente
>>> meu
>>> caso. Abaixo seguem elas:
>>> ## LIBERA TRAFEGO NA PORTA 80
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
>>>
>>> ## LIBERA TRAFEGO DA LAN NA PORTA 2631
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
>>>
>>> ## LIBERA O TRAFEGO PARA uma Maquina no RH
>>> $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
>>> $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT
>>>
>>>
>>> # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
>>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport
>>> 80
>>> -j RETURN
>>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport
>>> 80
>>> -j RETURN
>>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport
>>> 80
>>> -j RETURN
>>>
>>> # REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
>>> $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport
>>> 80
>>> -j REDIRECT --to-port 8080
>>> $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport
>>> 80
>>> -j REDIRECT --to-port 8080
>>>
>>> Onde:
>>> CAIXA=200.201.173.68
>>> CAIXA2=200.201.166.200
>>> CAIXA3=200.201.174.207
>>> CAIXA4=200.201.174.0/24
>>> lan=192.168.1.0/24
>>> rh=192.168.1.10
>>>
>>> Obs: Estas regras foram colocadas ANTES da regra que faz o
>>> redirecionamento
>>> para a porta do Proxy!!!
>>>
>>> Agora para deixar eu maluco de vez:
>>> Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue
>>> efetuar
>>> a troca de chaves e conecta normalmente na Conectividade Social!!, Até aí
>>> ótimo...resolve parcialmente meu problema!
>>>
>>> O problema é que ao tentar fazer uma tranferência usando o programa
>>> (instalado no computador) da  SEFIP - Envio do RE (Selo) dá um erro na
>>> hora
>>> do envio dizendo que "a máquina sem conexão com a internet."
>>>
>>> Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar
>>> dos
>>> browsers a configuração para passar pelo Proxy aí funciona tudo !!!
>>>
>>> Alguém pode me ajudar?..Como resolvo esta parada usando PROXY
>>> ANTENTICADO??
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmaster@lists.debian.org
>>>
>>>
>>>
>>
>>
>>
>
>