subject:"Proxy Autenticado \+ Conectividade Social \(SEFIP\)"

Re: Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-04 Por tôpico Flávio R. Lopes


Ae galera
Ae Hamackerdeu tudo certo aki!!...tá tudo funfando agora nos 
conformes !!!

Valeu pela dicaeu tava fazendo uma caca por aki!
Obrigado

hamacker escreveu:

Também esquecí de dizer : hoje, o cmt.caixa.gov.br está fora do ar.
Então é um péssimo dia para voce ver se as suas regras funcionavam ou
nao.

2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:
  

Ah!...esqueci de responderSim!...nas máquinas que acessam o
conectividade estão instalados o MSJAVA (e devidamente configurado no I.E)

hamacker escreveu:


Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
 echo Liberando sites da caixa.gov.br...
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
 # conectividade social
 echo Liberando IPs conhecidos da caixa.gov.br
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
 $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:

  

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou
com
algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para
a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo
só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente
meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport
80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport
80
-j RETURN
$iptables -t nat -A

Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-03 Por tôpico Flávio R. Lopes


Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei 
e tentei implementar as diversas soluções que achei no GOOGLE, mas estou 
com algumas dificuldades!!


Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e 
Porta) manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para 
a porta do proxy, para que se algum espertinho tirar as configurações 
dos Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 8080


Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo 
só quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente 
meu caso. Abaixo seguem elas:

## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 
80 -j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 
80 -j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 
80 -j RETURN


# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 
80 -j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 
80 -j REDIRECT --to-port 8080


Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200
CAIXA3=200.201.174.207
CAIXA4=200.201.174.0/24
lan=192.168.1.0/24
rh=192.168.1.10

Obs: Estas regras foram colocadas ANTES da regra que faz o 
redirecionamento para a porta do Proxy!!!


Agora para deixar eu maluco de vez:
Quando o usuário do RH acessa o site cmt.caixa.gov.br ele consegue 
efetuar a troca de chaves e conecta normalmente na Conectividade 
Social!!, Até aí ótimo...resolve parcialmente meu problema!


O problema é que ao tentar fazer uma tranferência usando o programa 
(instalado no computador) da  SEFIP - Envio do RE (Selo) dá um erro na 
hora do envio dizendo que a máquina sem conexão com a internet.


Se eu fizer simplesmente o NAT (somente compartilhar a conexão) e tirar 
dos browsers a configuração para passar pelo Proxy aí funciona tudo !!!


Alguém pode me ajudar?..Como resolvo esta parada usando PROXY ANTENTICADO??


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-03 Por tôpico hamacker

Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo Liberando sites da caixa.gov.br...
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo Liberando IPs conhecidos da caixa.gov.br
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:
 Olá galera.
 Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
 tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
 algumas dificuldades!!

 Antes vou lhes passar os detalhes das configurações:
 Num cliente meu implementei um Proxy(Squid) Autenticado.
 - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
 manualmente.
 - No firewall tambem coloquei uma regra para redirecionar o tráfego para a
 porta do proxy, para que se algum espertinho tirar as configurações dos
 Browsers ele não consiga navegar!!. A baixo segue a regra:
 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
 --to-port 8080

 Agora começa a briga!
 Das regras para colocar no firewall que achei na Net(Google) deram certo só
 quando era Proxy Transparente.
 Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
 caso. Abaixo seguem elas:
 ## LIBERA TRAFEGO NA PORTA 80
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

 ## LIBERA TRAFEGO DA LAN NA PORTA 2631
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

 ## LIBERA O TRAFEGO PARA uma Maquina no RH
 $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


 # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
 -j RETURN
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
 -j RETURN
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
 -j RETURN

 # REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
 -j REDIRECT --to-port 8080
 $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
 -j REDIRECT --to-port 8080

 Onde:
 CAIXA=200.201.173.68
 CAIXA2=200.201.166.200
 CAIXA3=200.201.174.207
 CAIXA4=200.201.174.0/24
 lan=192.168.1.0/24
 rh=192.168.1.10

 Obs: Estas regras foram colocadas

Re: Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-03 Por tôpico Flávio R. Lopes


Olá Hamacker, obrigado pelo reply.
Viu, deixa te fazer uma pergunta.
Seu Squid é Autenticado? Ou seja, estas regras funcionam com o Squid 
Autenticado?


hamacker escreveu:

Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo Liberando sites da caixa.gov.br...
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo Liberando IPs conhecidos da caixa.gov.br
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:
  

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
-j RETURN

# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080

Onde:
CAIXA=200.201.173.68

Re: Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-03 Por tôpico Flávio R. Lopes

Ah!...esqueci de responderSim!...nas máquinas que acessam o 
conectividade estão instalados o MSJAVA (e devidamente configurado no I.E)


hamacker escreveu:

Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
mantemos uma virtual machine com win98.
Segundamente, voce deve configurar o navegador para não usar proxy
para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
usa internet com esse endereço (suportamente) remoto.

Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo Liberando sites da caixa.gov.br...
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo Liberando IPs conhecidos da caixa.gov.br
# debug :
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
MASQUERADE
#  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
200.201.174.0/24 -j MASQUERADE

EXTERNAL=eth0 (externa)
INTERNAL_NET=192.168.1.0/24
Os endereços de destino eu peguei do site da receita, já faz um tempo.
Outros endereços IPs governamentais (federal, estadual, prefeitura)
são complicadores porque eles mudam e não avisam. E a menos que voce
use netstat ou tcpdump não tem como descobrir porque a documentação
eles também não atualizam. Assim, na maioria das vezes que posso uso
masquerade desde que eu saiba o IP.


2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:
  

Olá galera.
Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei e
tentei implementar as diversas soluções que achei no GOOGLE, mas estou com
algumas dificuldades!!

Antes vou lhes passar os detalhes das configurações:
Num cliente meu implementei um Proxy(Squid) Autenticado.
- Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
manualmente.
- No firewall tambem coloquei uma regra para redirecionar o tráfego para a
porta do proxy, para que se algum espertinho tirar as configurações dos
Browsers ele não consiga navegar!!. A baixo segue a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080

Agora começa a briga!
Das regras para colocar no firewall que achei na Net(Google) deram certo só
quando era Proxy Transparente.
Pesquisando mais, achei as seguintes regras que resolveram parcialmente meu
caso. Abaixo seguem elas:
## LIBERA TRAFEGO NA PORTA 80
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

## LIBERA TRAFEGO DA LAN NA PORTA 2631
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

## LIBERA O TRAFEGO PARA uma Maquina no RH
$iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
$iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


# EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport 80
-j RETURN
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport 80
-j RETURN

# REDIRECIONA TRAFEGO INTERNO PARA PROXY TRANSPARENTE
$iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080
$iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80
-j REDIRECT --to-port 8080

Onde:
CAIXA=200.201.173.68
CAIXA2=200.201.166.200

Re: Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-03 Por tôpico hamacker

Sim, todos eles autenticam usando smb_auth num servidor PDC Samba assim :
auth_param basic program /usr/lib/squid/smb_auth -W DOMINIO -U 192.168.1.2
auth_param basic children 50
auth_param basic realm Autenticacao para internet corporativa
auth_param basic credentialsttl 120 minute

A autenticacao é no servidor SAMBA, mas a partir da semana que vem
eles terao de autenticar num dominio AD windows 2003, por isso, eu tô
pesquisando a diferença entre autenticacao smb_auth e ntlm. A rede é
mixta e tem de tudo : windows 98, win2000, linux e winxp. Se alguem
souber qual é essa diferença por gentileza reply-me.

2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:
 Olá Hamacker, obrigado pelo reply.
 Viu, deixa te fazer uma pergunta.
 Seu Squid é Autenticado? Ou seja, estas regras funcionam com o Squid
 Autenticado?

 hamacker escreveu:

 Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
 Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
 mantemos uma virtual machine com win98.
 Segundamente, voce deve configurar o navegador para não usar proxy
 para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
 usa internet com esse endereço (suportamente) remoto.

 Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo Liberando sites da caixa.gov.br...
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo Liberando IPs conhecidos da caixa.gov.br
 # debug :
 #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
 MASQUERADE
 #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
 MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.174.0/24 -j MASQUERADE

 EXTERNAL=eth0 (externa)
 INTERNAL_NET=192.168.1.0/24
 Os endereços de destino eu peguei do site da receita, já faz um tempo.
 Outros endereços IPs governamentais (federal, estadual, prefeitura)
 são complicadores porque eles mudam e não avisam. E a menos que voce
 use netstat ou tcpdump não tem como descobrir porque a documentação
 eles também não atualizam. Assim, na maioria das vezes que posso uso
 masquerade desde que eu saiba o IP.


 2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:


 Olá galera.
 Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
 e
 tentei implementar as diversas soluções que achei no GOOGLE, mas estou
 com
 algumas dificuldades!!

 Antes vou lhes passar os detalhes das configurações:
 Num cliente meu implementei um Proxy(Squid) Autenticado.
 - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
 manualmente.
 - No firewall tambem coloquei uma regra para redirecionar o tráfego para
 a
 porta do proxy, para que se algum espertinho tirar as configurações dos
 Browsers ele não consiga navegar!!. A baixo segue a regra:
 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
 --to-port 8080

 Agora começa a briga!
 Das regras para colocar no firewall que achei na Net(Google) deram certo
 só
 quando era Proxy Transparente.
 Pesquisando mais, achei as seguintes regras que resolveram parcialmente
 meu
 caso. Abaixo seguem elas:
 ## LIBERA TRAFEGO NA PORTA 80
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

 ## LIBERA TRAFEGO DA LAN NA PORTA 2631
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

 ## LIBERA O TRAFEGO PARA uma Maquina no RH
 $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
 $iptables -A

Re: Proxy Autenticado + Conectividade Social (SEFIP)

2009-03-03 Por tôpico hamacker

Também esquecí de dizer : hoje, o cmt.caixa.gov.br está fora do ar.
Então é um péssimo dia para voce ver se as suas regras funcionavam ou
nao.

2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:
 Ah!...esqueci de responderSim!...nas máquinas que acessam o
 conectividade estão instalados o MSJAVA (e devidamente configurado no I.E)

 hamacker escreveu:

 Primeiramente qual java voce usa para acessar o cmt.caixa.gov.br ?
 Aqui ele só é acessivel pelo msjava, que não existe mais e por isso
 mantemos uma virtual machine com win98.
 Segundamente, voce deve configurar o navegador para não usar proxy
 para o loopback (127.0.0.1), parece esquisito, mas a aplicação java
 usa internet com esse endereço (suportamente) remoto.

 Aqui eu disponho de regras diferentes para o site da CAIXA :
  echo Liberando sites da caixa.gov.br...
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 cmt.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 webp.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 www.caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 caixa.gov.br -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 obsupgdp.caixa.gov.br -j MASQUERADE
  # conectividade social
  echo Liberando IPs conhecidos da caixa.gov.br
 # debug :
 #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j
 MASQUERADE
 #  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j
 MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.162.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.166.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.173.0/24 -j MASQUERADE
  $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -s $INTERNAL_NET -d
 200.201.174.0/24 -j MASQUERADE

 EXTERNAL=eth0 (externa)
 INTERNAL_NET=192.168.1.0/24
 Os endereços de destino eu peguei do site da receita, já faz um tempo.
 Outros endereços IPs governamentais (federal, estadual, prefeitura)
 são complicadores porque eles mudam e não avisam. E a menos que voce
 use netstat ou tcpdump não tem como descobrir porque a documentação
 eles também não atualizam. Assim, na maioria das vezes que posso uso
 masquerade desde que eu saiba o IP.


 2009/3/3 Flávio R. Lopes flavio.li...@paradoxo.inf.br:


 Olá galera.
 Antes que vcs me xinguem por causa deste desgastado assunto, eu procurei
 e
 tentei implementar as diversas soluções que achei no GOOGLE, mas estou
 com
 algumas dificuldades!!

 Antes vou lhes passar os detalhes das configurações:
 Num cliente meu implementei um Proxy(Squid) Autenticado.
 - Nos browsers (IE e Mozilla) coloco as informações (IP do Proxy e Porta)
 manualmente.
 - No firewall tambem coloquei uma regra para redirecionar o tráfego para
 a
 porta do proxy, para que se algum espertinho tirar as configurações dos
 Browsers ele não consiga navegar!!. A baixo segue a regra:
 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
 --to-port 8080

 Agora começa a briga!
 Das regras para colocar no firewall que achei na Net(Google) deram certo
 só
 quando era Proxy Transparente.
 Pesquisando mais, achei as seguintes regras que resolveram parcialmente
 meu
 caso. Abaixo seguem elas:
 ## LIBERA TRAFEGO NA PORTA 80
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 80 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 80 -j ACCEPT

 ## LIBERA TRAFEGO DA LAN NA PORTA 2631
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA2 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA2 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $lan -d $CAIXA3 --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $lan -s $CAIXA3 --dport 2631 -j ACCEPT

 ## LIBERA O TRAFEGO PARA uma Maquina no RH
 $iptables -A FORWARD -p udp -s $rh -d $mundo --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p udp -d $rh -s $mundo --sport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -s $rh -d $mundo --dport 2631 -j ACCEPT
 $iptables -A FORWARD -p tcp -d $rh -s $mundo --sport 2631 -j ACCEPT


 # EXCLUI IP DA CX. FEDERAL DO PROXY TRANSPARENTE
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA --dport
 80
 -j RETURN
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA2 --dport
 80
 -j RETURN
 $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d $CAIXA3 --dport
 80
 -j RETURN

 # REDIRECIONA TRAFEGO INTERNO PARA

Re: Proxy Autenticado + Conectividade Social (SEFIP)

Proxy Autenticado + Conectividade Social (SEFIP)

Re: Proxy Autenticado + Conectividade Social (SEFIP)

Re: Proxy Autenticado + Conectividade Social (SEFIP)

Re: Proxy Autenticado + Conectividade Social (SEFIP)

Re: Proxy Autenticado + Conectividade Social (SEFIP)

Re: Proxy Autenticado + Conectividade Social (SEFIP)

7 matches

Site Navigation

Mail list logo

Footer information