Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
e tentei implementar as diversas soluções que achei no GOOGLE, mas estou
com algumas dificuldades!!
Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e
Porta) manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para
a porta do proxy, para que se algum espertinho tirar as configurações
dos Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080
Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo
só quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente
meu caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT
## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT
## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT
# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport
80 -j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport
80 -j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport
80 -j RETURN
# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport
80 -j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport
80 -j REDIRECT --to-port 8080
Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.207
CAIXA4=200.201.174.0/24
lan=192.168.1.0/24
rh=192.168.1.10
Obs: Estas regras foram colocadas ANTES da regra que faz o
redirecionamento para a porta do Proxy!!!
Agora para deixar eu maluco de vez:
Quando o usuário do RH acessa o site "cmt.caixa.gov.br" ele consegue
efetuar a troca de chaves e conecta normalmente na Conectividade
Social!!, Até aí ótimo...resolve parcialmente meu problema!
O problema é que ao tentar fazer uma tranferência usando o programa
(instalado no computador) da SEFIP - Envio do RE (Selo) dá um erro na
hora do envio dizendo que "a máquina sem conexão com a internet."
Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar
dos browsers a configuração para passar pelo Proxy aí funciona tudo !!!
Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO??
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
