Resolvendo problemas com o Conexão Segura da CAIXA
Esse artigo fala sobre minha experiência e como resolvi o problema do Conexão Segura, um site da CAIXA para retirar extratos de FGTS. Não abordarei o programa Conectividade Social em si, mas é possível que a regra de firewall apresentada aqui resolva possíveis problemas com ele também.
[ Hits: 761.091 ]
Por: Everton da Silva em 16/05/2005
Problema 1: Firewall
Pois bem, em um material disponível no site da CAIXA eles dizem para aplicar uma regra de
ipfwadm no servidor, tipo uma coisa bem pré-histórica mesmo, mas é claro
que meu servidor não tem ipfwadm. Com a ajuda de alguns fóruns, principalmente do
pessoal do VOL, conseguimos "traduzir" a regra para iptables. Depois de várias
e várias tentativas, a regra que resolveu o problema foi:
# iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port porta_do_proxy
Onde:
Basicamente, o que essa regra faz é desviar todo tráfego da porta 80, exceto àqueles cujo destino é o site da CAIXA (200.201.174.207). Assim quando esse site é acessado, não é feito cache no proxy, fazendo acesso direto.
# iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port porta_do_proxy
Onde:
- ethx - é a placa de rede do servidor conectada à rede interna;
- porta_do_proxy - é a porta usada pelo proxy do servidor, no caso do Squid geralmente é a 3128;
- 200.201.174.207 - IP do site da CAIXA.
Basicamente, o que essa regra faz é desviar todo tráfego da porta 80, exceto àqueles cujo destino é o site da CAIXA (200.201.174.207). Assim quando esse site é acessado, não é feito cache no proxy, fazendo acesso direto.
Páginas do artigo
1. Introdução2. Mensagem de erro
3. Problema 1: Firewall
4. Problema 2: Java
5. Problema 3: Porta bloqueada
6. Conclusões
Outros artigos deste autor
Mostrar nome da música no aMSN
Controlando acesso às páginas do Apache na rede interna
Instalando o DBDesigner no Linux
Leitura recomendada
Instalação e correção de erros do DBDesigner 4 no Linux
Usando as muitas funcionalidades do Aterm
Instalando ou atualizando o seu KDE
Asterisk - Instalação e Configuração
Conhecendo e usando o gerenciador de pacotes pacman
Comentários
[1] Comentário enviado por fabio em 16/05/2005 - 12:38h
Muito bom! Essa semana um cliente me pediu solução pra isso, seu artigo me poupou e muito o tempo de pesquisa. Meus parabéns!
[]'s,
Fábio
Muito bom! Essa semana um cliente me pediu solução pra isso, seu artigo me poupou e muito o tempo de pesquisa. Meus parabéns!
[]'s,
Fábio
[2] Comentário enviado por bestlinux em 16/05/2005 - 13:13h
Parabéns, ótimo artigo :-)
Espero que resolva de uma vez por todas esse problema em relação ao Conexão Segura. Este problema já apareceu diversas vezes nos fóruns Linux. Agora ficou mais fácil para solucionar as duvidas do pessoal :-)
Falow !
Parabéns, ótimo artigo :-)
Espero que resolva de uma vez por todas esse problema em relação ao Conexão Segura. Este problema já apareceu diversas vezes nos fóruns Linux. Agora ficou mais fácil para solucionar as duvidas do pessoal :-)
Falow !
[3] Comentário enviado por gigiow em 16/05/2005 - 14:31h
Muito bom!, a um tempo atrás me deparei com este problema, momentaneamente consegui usando esta regra que acabei removendo depois:
iptables -t nat -I PREROUTING -i ethx -m tcp -p tcp -d <ip> --dport 80 -j ACCEPT
Mas vou registrar aqui a minha indgnação: A caixa deve ter o programador mais amaldiçoado da face da terra! os caras são uns jacus, criaram conexão ssl na porta 80. Também vou começar a inventar coisas como conexões de web pela porta de email, email criptografado por telnet e site seguro por vnc.
Se a gente fica resolvendo esses problemas sem reclamar, a gente esta sendo conivente. Tenho que dizer O PROBLEMA É DA CAIXA!
A caixa tem a maior rede de windows NT do mundo, a um tempo atrás só era possível acessar a caixa pelo internet explorer!, A caixa até chegou a lançar a versão do kurumin deles, mas alguem ficou sabendo????
Pessoal desculpe se eu escrevi besteira!
A minha intenção não é agredir, mas reclamar!
obrigado!
Muito bom!, a um tempo atrás me deparei com este problema, momentaneamente consegui usando esta regra que acabei removendo depois:
iptables -t nat -I PREROUTING -i ethx -m tcp -p tcp -d <ip> --dport 80 -j ACCEPT
Mas vou registrar aqui a minha indgnação: A caixa deve ter o programador mais amaldiçoado da face da terra! os caras são uns jacus, criaram conexão ssl na porta 80. Também vou começar a inventar coisas como conexões de web pela porta de email, email criptografado por telnet e site seguro por vnc.
Se a gente fica resolvendo esses problemas sem reclamar, a gente esta sendo conivente. Tenho que dizer O PROBLEMA É DA CAIXA!
A caixa tem a maior rede de windows NT do mundo, a um tempo atrás só era possível acessar a caixa pelo internet explorer!, A caixa até chegou a lançar a versão do kurumin deles, mas alguem ficou sabendo????
Pessoal desculpe se eu escrevi besteira!
A minha intenção não é agredir, mas reclamar!
obrigado!
[4] Comentário enviado por reimassupilami em 16/05/2005 - 15:29h
gigiow, realmente cara, você tem razão... Não entendo também como eles fazem uma aplicação que funcione dessa maneira, é um caos de portas, hehehe...
Aquele manual que tem no site é bem antigo... Outro dia conheci um cara que trabalhava na caixa, foi ele que fez aquele manual... Ele me disse que antes de sair de lá ele tinha apresentado a atualização do manual (há quatro anos atras), mas até hoje nem mexeram... Estranho né?
gigiow, realmente cara, você tem razão... Não entendo também como eles fazem uma aplicação que funcione dessa maneira, é um caos de portas, hehehe...
Aquele manual que tem no site é bem antigo... Outro dia conheci um cara que trabalhava na caixa, foi ele que fez aquele manual... Ele me disse que antes de sair de lá ele tinha apresentado a atualização do manual (há quatro anos atras), mas até hoje nem mexeram... Estranho né?
[5] Comentário enviado por Xxoin em 16/05/2005 - 16:11h
Não desmerecendo o ótimo artigo, mas com o objetivo de contribuir com a Comunidade:
- A configuração abordada no artigo, não funciona para squid com autenticação. Neste caso utilize as regras abaixo:
# Acesso ao Conectividade Social e SEFIP (host - cmt.caixa.gov.br):
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.173.68 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.166.200 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.204 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.207 -j ACCEPT
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.173.68 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.166.200 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.204 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.207 -j SNAT --to $IP_ext
# Ou -j MASQUERADE
Não desmerecendo o ótimo artigo, mas com o objetivo de contribuir com a Comunidade:
- A configuração abordada no artigo, não funciona para squid com autenticação. Neste caso utilize as regras abaixo:
# Acesso ao Conectividade Social e SEFIP (host - cmt.caixa.gov.br):
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.173.68 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.166.200 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.204 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.207 -j ACCEPT
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.173.68 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.166.200 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.204 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.207 -j SNAT --to $IP_ext
# Ou -j MASQUERADE
[6] Comentário enviado por reimassupilami em 16/05/2005 - 16:23h
owpa, ótima... blz Xxoin, realmente eu esqueci de comentar que fiz tudo isso usando proxy transparente, portanto não saberia dizer como seria no autenticado....
owpa, ótima... blz Xxoin, realmente eu esqueci de comentar que fiz tudo isso usando proxy transparente, portanto não saberia dizer como seria no autenticado....
[7] Comentário enviado por wberbert em 16/05/2005 - 16:43h
No meu caso ainda não funcionou... dá erro de troca de chaves, se alguem puder publicar um firewall configurado seria de grande ajuda.
No meu caso ainda não funcionou... dá erro de troca de chaves, se alguem puder publicar um firewall configurado seria de grande ajuda.
[8] Comentário enviado por reimassupilami em 16/05/2005 - 16:50h
weberbert, o seu caso é proxy transparente? vc verificou os outros dois ítens: jvm e programas usando a porta 80?
weberbert, o seu caso é proxy transparente? vc verificou os outros dois ítens: jvm e programas usando a porta 80?
[9] Comentário enviado por shocker em 16/05/2005 - 16:58h
Eu sabia que esta novela iria virar um artigo!!! :P
Parabéns, ficou excelente e muito bem detalhado!
[]'s
Alan Cota.
Eu sabia que esta novela iria virar um artigo!!! :P
Parabéns, ficou excelente e muito bem detalhado!
[]'s
Alan Cota.
[10] Comentário enviado por Xxoin em 16/05/2005 - 19:32h
Boa tarde wberbert.
Libere a saída com destino à porta 2631 e aceite a resposta.
CAIXA ECONÔMICA FEDERAL:
http://www.caixa.gov.br = 200.201.166.200
http://cmt.caixa.gov.br = 200.201.173.68 --> programa "Conectividade"
Conectividade Social:
200.201.174.207:80
Desabilitar java_sun nas propriedades do IE e habilitar JVM
Programa Sefip:
200.201.174.204:2631
Desabilitar java_sun nas propriedades do IE e habilitar JVM
Esta dica de desabilitar java_sun e habiltar JVM nas propriedades do IE é do Suporte da Caixa.
Boa tarde wberbert.
Libere a saída com destino à porta 2631 e aceite a resposta.
CAIXA ECONÔMICA FEDERAL:
http://www.caixa.gov.br = 200.201.166.200
http://cmt.caixa.gov.br = 200.201.173.68 --> programa "Conectividade"
Conectividade Social:
200.201.174.207:80
Desabilitar java_sun nas propriedades do IE e habilitar JVM
Programa Sefip:
200.201.174.204:2631
Desabilitar java_sun nas propriedades do IE e habilitar JVM
Esta dica de desabilitar java_sun e habiltar JVM nas propriedades do IE é do Suporte da Caixa.
[11] Comentário enviado por edvan.barros em 16/05/2005 - 20:59h
Olá reimassupilami, em 1º lugar, para vc que não sabe ou melhor para as pessoas que não sabem sobre o Help Desk da Caixa, o mesmo é Terceirizado, não são funcionários Caixa, vc se equivocou em generalizar que "todo" o Help Desk não conchece o Linux... Claro ondem tem mais de 500 Funcionários, tem uma grande parte que não sabe sobre o Linux...
Sobre o Java, realmente o Conectividade Social Empregador (Conexão Segura) só acessa com a Máquina Virtual Java da Microsoft e com o Navegador IE mesmo. O Aplicativo não acessa com outros Navegadores e nem com o Java da Sun.
Help Desk funciona assim mesmo, eles dão a solução, mas não fazem a Solução junto com o cliente, pois como vc sabe, ficar configurando a Rede de empresas é muito complicado, além do mais por telefone. Por isso que existem nós, Adm. de Redes.
E a solução que vc deu é essa aí mesmo! Muito Bom!
Valeu!
Olá reimassupilami, em 1º lugar, para vc que não sabe ou melhor para as pessoas que não sabem sobre o Help Desk da Caixa, o mesmo é Terceirizado, não são funcionários Caixa, vc se equivocou em generalizar que "todo" o Help Desk não conchece o Linux... Claro ondem tem mais de 500 Funcionários, tem uma grande parte que não sabe sobre o Linux...
Sobre o Java, realmente o Conectividade Social Empregador (Conexão Segura) só acessa com a Máquina Virtual Java da Microsoft e com o Navegador IE mesmo. O Aplicativo não acessa com outros Navegadores e nem com o Java da Sun.
Help Desk funciona assim mesmo, eles dão a solução, mas não fazem a Solução junto com o cliente, pois como vc sabe, ficar configurando a Rede de empresas é muito complicado, além do mais por telefone. Por isso que existem nós, Adm. de Redes.
E a solução que vc deu é essa aí mesmo! Muito Bom!
Valeu!
[12] Comentário enviado por edvan.barros em 16/05/2005 - 21:04h
Xxoin....
Conectividade Social (Envia RE's do Sefip)
Porta: 2631
Protocolo: TCP
IP: 200.201.174.204
Conectividade Social Empregador (Conexão Segura)
Porta: 80 (Porta Criptografa, Exemplo: parametros da 443)
Protocolo: TCP
IP: 200.201.174.207
OBS.: Habilitado o Java da Microsoft.
Todos os 02 aplicativos tem que usar um Proxy Transparente ou NAT.
Xxoin....
Conectividade Social (Envia RE's do Sefip)
Porta: 2631
Protocolo: TCP
IP: 200.201.174.204
Conectividade Social Empregador (Conexão Segura)
Porta: 80 (Porta Criptografa, Exemplo: parametros da 443)
Protocolo: TCP
IP: 200.201.174.207
OBS.: Habilitado o Java da Microsoft.
Todos os 02 aplicativos tem que usar um Proxy Transparente ou NAT.
[13] Comentário enviado por peregrino em 16/05/2005 - 21:22h
kkkkkkkkkkkkkk cara quando tive problemas com o conectividade social eu tambem tive que recorrer a esse tutorial podre deles aii tambem não aguentei e procurei o forum mas quem me mando as regrasmesmo foi um amigo do icq mas com esse firewall fico muito bom parabens
mas em vez de criticar o tutorial da caixa que na verdade é uma merda mesmo que tal fazermos um e evnviar para eles
falow
kkkkkkkkkkkkkk cara quando tive problemas com o conectividade social eu tambem tive que recorrer a esse tutorial podre deles aii tambem não aguentei e procurei o forum mas quem me mando as regrasmesmo foi um amigo do icq mas com esse firewall fico muito bom parabens
mas em vez de criticar o tutorial da caixa que na verdade é uma merda mesmo que tal fazermos um e evnviar para eles
falow
[14] Comentário enviado por lacierdias em 16/05/2005 - 23:48h
Meu amigo isso não é um programa é um castigo uma maldição...Deus me livre disso espero nunca ter uma pane assim..rsrrs
Valeu pelo artigo ficou exelênte...
Meu amigo isso não é um programa é um castigo uma maldição...Deus me livre disso espero nunca ter uma pane assim..rsrrs
Valeu pelo artigo ficou exelênte...
[15] Comentário enviado por power_d0wn em 17/05/2005 - 08:47h
Só complementando com meus 2 cents, no meu caso foi necessário todas as vezes que fossem utilizar os aplicativos da caixa, desabilitar as configurações de proxy do IE. =)
Abraços.
Só complementando com meus 2 cents, no meu caso foi necessário todas as vezes que fossem utilizar os aplicativos da caixa, desabilitar as configurações de proxy do IE. =)
Abraços.
[16] Comentário enviado por reimassupilami em 17/05/2005 - 09:39h
edvan.barros, que isso cara... eu não disse nada sobre todo Help Desk, apenas disse que o cara que me atendeu nem sabe o que é Linux... ehhehe... mas tudo bem, valeu ae pelos coments...
peregrino, entaum cara, derepente até rola mesmo montarmos um tutorial completo e VENDER pra eles, hehehe... mas como eu disse, parece que até já foi apresentada uma nova versão mas não aprovaram até hoje...
edvan.barros, que isso cara... eu não disse nada sobre todo Help Desk, apenas disse que o cara que me atendeu nem sabe o que é Linux... ehhehe... mas tudo bem, valeu ae pelos coments...
peregrino, entaum cara, derepente até rola mesmo montarmos um tutorial completo e VENDER pra eles, hehehe... mas como eu disse, parece que até já foi apresentada uma nova versão mas não aprovaram até hoje...
[17] Comentário enviado por mast3r em 13/06/2005 - 18:27h
Ah que mane ficar defendendo eles que nada, todos os administradores de redes ja falaram com a caixa e leram o "MANUEL" e nunca da em nada, realmente ja tinha ligado pra lá umas 20 vezes e todos sem excessao todos que eu falei nao conheciam nada de linux e acabava em nada, agora consegui so que tive q tirar o proxy e eu uso autenticacao de usuarios vo testar o post de cima pra ver se funciona, e agora tem outra em modems speedstream roteado tb nao funciona
Ah que mane ficar defendendo eles que nada, todos os administradores de redes ja falaram com a caixa e leram o "MANUEL" e nunca da em nada, realmente ja tinha ligado pra lá umas 20 vezes e todos sem excessao todos que eu falei nao conheciam nada de linux e acabava em nada, agora consegui so que tive q tirar o proxy e eu uso autenticacao de usuarios vo testar o post de cima pra ver se funciona, e agora tem outra em modems speedstream roteado tb nao funciona
[18] Comentário enviado por reimassupilami em 14/06/2005 - 08:14h
realmente, a grande maioria do pessoal que trabalha com redes, e que eu já conversei, já teve alguma experiência parecida, lutando com a CAIXA, heehhehe...
realmente, a grande maioria do pessoal que trabalha com redes, e que eu já conversei, já teve alguma experiência parecida, lutando com a CAIXA, heehhehe...
[19] Comentário enviado por ash em 30/09/2005 - 10:03h
Muito útil seu artigo amigo ! Estava com problemas no java havia meses e finalmente consegui resolver graças ao seu artigo . Muito grato. Abraços ...
Muito útil seu artigo amigo ! Estava com problemas no java havia meses e finalmente consegui resolver graças ao seu artigo . Muito grato. Abraços ...
[20] Comentário enviado por LostGirl em 31/10/2005 - 09:08h
Cara...
antes eu usava o conectiva com essa mesma regra... dae instalei o debian e não deu certo... mas ai eu fui olhar direitinho e eu tinha colocado uma regra de porta udp para proxy transparente também... ce acredita que o programa fdp da caixa num confunde a porta? *Omg*
Se eu achasse o programador eu mandava matar =/ q saco!
Cara...
antes eu usava o conectiva com essa mesma regra... dae instalei o debian e não deu certo... mas ai eu fui olhar direitinho e eu tinha colocado uma regra de porta udp para proxy transparente também... ce acredita que o programa fdp da caixa num confunde a porta? *Omg*
Se eu achasse o programador eu mandava matar =/ q saco!
[21] Comentário enviado por PCMasterPB em 05/11/2005 - 22:16h
A caixa deveria rebatizar o nome, ao invés de "Conexão Segura Caixa" deveria estar "Conexão Dor-de-Cabeça Caixa". Que programinha mais sux eu hein ...
A caixa deveria rebatizar o nome, ao invés de "Conexão Segura Caixa" deveria estar "Conexão Dor-de-Cabeça Caixa". Que programinha mais sux eu hein ...
[22] Comentário enviado por hernandi em 07/11/2005 - 09:04h
Mas que coisa. O depto de TI da caixa nao se coça para atualizar aquela ...... de programa. Tambem passei pelo mesmo problema, mas na epoca a solução foi liberar todo o trafego para a maquina interna. O mais incrivel é que a Microsoft já anunciou a um tempão que nao vai mais manter seu JVM, e é para começar a utilizar a maquina JRE, da SUN e atualizarem seus programas que rodam sob esta plataforma MS.
Mas o pessoal da caixa não se toca de em ajeitar aquele programa de conectividade.
Ja viu né.
O site do BB que agora apena aceita o Java da SUN, principalmente depois que eles, na ultima FISH, se nao estou enganado(corrijam-me), foram os patrocinadores tiveram que rapidinho corrigir seus sistemas do banco online para funcionarem sem problemas pelo JRE, que antes disto só funcionavam pelo Microsoft Java VM tambem; lembro-me de passar poucas e boas por causa do BB.0 Mas eles, do BB fizeram tudo funcionar bonitinho, mas a caixa persiste a mais de 1 ano no mesmo problema. Eu fico indignado com estas sistuações.
Mas que coisa. O depto de TI da caixa nao se coça para atualizar aquela ...... de programa. Tambem passei pelo mesmo problema, mas na epoca a solução foi liberar todo o trafego para a maquina interna. O mais incrivel é que a Microsoft já anunciou a um tempão que nao vai mais manter seu JVM, e é para começar a utilizar a maquina JRE, da SUN e atualizarem seus programas que rodam sob esta plataforma MS.
Mas o pessoal da caixa não se toca de em ajeitar aquele programa de conectividade.
Ja viu né.
O site do BB que agora apena aceita o Java da SUN, principalmente depois que eles, na ultima FISH, se nao estou enganado(corrijam-me), foram os patrocinadores tiveram que rapidinho corrigir seus sistemas do banco online para funcionarem sem problemas pelo JRE, que antes disto só funcionavam pelo Microsoft Java VM tambem; lembro-me de passar poucas e boas por causa do BB.0 Mas eles, do BB fizeram tudo funcionar bonitinho, mas a caixa persiste a mais de 1 ano no mesmo problema. Eu fico indignado com estas sistuações.
[23] Comentário enviado por reimassupilami em 07/11/2005 - 10:12h
é, realmente causa indignação mesmo... eu conheci no irc o cara que trabalhou na elaboração desse material da caixa... faz coisa de 5 anos ja q ele saiu de lá, e antes de sair tinha feito um documento revisado que até hoje não foi aprovado... q coisa hein... hehehee...
é, realmente causa indignação mesmo... eu conheci no irc o cara que trabalhou na elaboração desse material da caixa... faz coisa de 5 anos ja q ele saiu de lá, e antes de sair tinha feito um documento revisado que até hoje não foi aprovado... q coisa hein... hehehee...
[24] Comentário enviado por foca em 07/11/2005 - 14:56h
Otimo Artigo!
Como o negocio e contribuir eu tive que em alguns casos alterar o IP de origem para pegar tambem toda a rede desse IP ficando assim 200.201.174.0/24 para funcionar. Ate hoje não sei entendi o por que sendo que em outros lugares funcinou como esta descrito no artigo.
[]'s
Otimo Artigo!
Como o negocio e contribuir eu tive que em alguns casos alterar o IP de origem para pegar tambem toda a rede desse IP ficando assim 200.201.174.0/24 para funcionar. Ate hoje não sei entendi o por que sendo que em outros lugares funcinou como esta descrito no artigo.
[]'s
[25] Comentário enviado por mtolledo em 18/11/2005 - 11:05h
estou com o problema de troca de chaves falhou, alguem sabe o motivo
estou com o problema de troca de chaves falhou, alguem sabe o motivo
[26] Comentário enviado por lazarolima em 18/11/2005 - 12:37h
Putz
Já fiz isso e não consigo conectar ainda na caixa e uso proxy transparente sem autenticação.
Vc pode me ajudar com mas alguma coisa..
Putz
Já fiz isso e não consigo conectar ainda na caixa e uso proxy transparente sem autenticação.
Vc pode me ajudar com mas alguma coisa..
[27] Comentário enviado por mtolledo em 18/11/2005 - 22:01h
Caro amigo lazarolima - estava com problemas parecido com o seu, depois de seguir essas regras acima, o meu tbm naum funfo, mais depois de quebrar um pouco a cabeca, descobri q tinha programa rodando na porta 80, o negocio e fechar tu quanto e programa q utilize a porta 80 na maquina cliente, caso vc use XP, feche anti virus como avast, msn, ou outro de troca de mensagem , p2ps da vida, IIS , apache, entre outros, feito isso, manda bala que funfa sim.
Abracos t+
mtolledo
Caro amigo lazarolima - estava com problemas parecido com o seu, depois de seguir essas regras acima, o meu tbm naum funfo, mais depois de quebrar um pouco a cabeca, descobri q tinha programa rodando na porta 80, o negocio e fechar tu quanto e programa q utilize a porta 80 na maquina cliente, caso vc use XP, feche anti virus como avast, msn, ou outro de troca de mensagem , p2ps da vida, IIS , apache, entre outros, feito isso, manda bala que funfa sim.
Abracos t+
mtolledo
[28] Comentário enviado por reimassupilami em 21/11/2005 - 08:31h
pessoal, no artigo, além das regras de firewall, eu falei tambem sobre essa questão d aporta 80... vejam lá...
pessoal, no artigo, além das regras de firewall, eu falei tambem sobre essa questão d aporta 80... vejam lá...
[29] Comentário enviado por Renan_ em 21/11/2005 - 17:58h
Rapaz, o meu problema aqui é o Java. Eu uso o Galeon e o Firefox como navegador, então nao há como resolver o problema por aqui, certo?
Abraços e aguardo resposta
[]z
Rapaz, o meu problema aqui é o Java. Eu uso o Galeon e o Firefox como navegador, então nao há como resolver o problema por aqui, certo?
Abraços e aguardo resposta
[]z
[30] Comentário enviado por reimassupilami em 22/11/2005 - 08:23h
cara, infelizmente não tenho notícias de alguém que tenha conseguido acessar isso por outro navegador que não fosse o IE... pelo menos pra isso vai ter q ser feito pelo IE mesmo viu... e da-le java nele, aff... hehe...
cara, infelizmente não tenho notícias de alguém que tenha conseguido acessar isso por outro navegador que não fosse o IE... pelo menos pra isso vai ter q ser feito pelo IE mesmo viu... e da-le java nele, aff... hehe...
[31] Comentário enviado por mtolledo em 23/11/2005 - 00:03h
Po ai ja naum sei mano, mais eles pedem navegador IE.. vai saber né rere......
Po ai ja naum sei mano, mais eles pedem navegador IE.. vai saber né rere......
[32] Comentário enviado por lero em 28/12/2005 - 09:50h
Pelo o Amor de Deus alguém pode me ajudar?Eu uso o IPCop www.ipcop.org com proxy autenticado e não consigo fazer funcionar o conectividade social nem a pau...se alguém souber me da uma luz aê sei q tem fazer nat e o ip da caixa passa por fora, acontece q sou totalmente leigo no assunto
Aguardo contado dos colegas
Abraço
Lero
Pelo o Amor de Deus alguém pode me ajudar?Eu uso o IPCop www.ipcop.org com proxy autenticado e não consigo fazer funcionar o conectividade social nem a pau...se alguém souber me da uma luz aê sei q tem fazer nat e o ip da caixa passa por fora, acontece q sou totalmente leigo no assunto
Aguardo contado dos colegas
Abraço
Lero
[33] Comentário enviado por lazarolima em 28/12/2005 - 10:01h
Lero,
Vc tem algum firewall na sua rede?
Lero,
Vc tem algum firewall na sua rede?
[34] Comentário enviado por lero em 04/01/2006 - 11:13h
Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Valeu e sucesso a todos
Lero
Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Valeu e sucesso a todos
Lero
[35] Comentário enviado por Emerzon em 05/01/2006 - 21:38h
Pessoal, eu tive esse mesmo problema com a caixa, mas no meu caso a coisa foi bem mais complicada.
Se tudo der errado na hora de resolver o problema das chaves, isso pode ajudar.
Eu quebrei muita cabeça com esse mesmo problema, mas acontece que o problema não se tratava de regras no firewall, mas sim a um problema de conectividade do backbone embratel/telemar (os servidores da caixa são conectados a telemar).
Depois de testar tudo, acionei o provedor e tambem depois de muita investigação acionou a embratel.
Conversei pessoalmente com um dos técnicos da embratel, e ele disse que o link embratel-telemar está MUITO saturado e que a Telemar simplesmente ignora os pedidos da Embratel em ampliação do link. E realmente, pelo meu provedor que tinha backbone embratel, eu não conseguia nem sequer pingar o IP da caixa, bastou conectar num iG da vida, funcionou normalmente. (que usa backbone da telefonica).
Com um traceroute, a conexão morria logo ao entrar no 1º roteador da telemar.
Então se o seu provedor for powered by Embratel e nada mais der certo, provavelmente esse é o problema. Infelizmente nao tenho mais o IP do servidor da caixa aqui, mas só fazer um teste simples pingando ele (peça o IP no 0800).
Não sei se conseguiram arrumar o problema atualmente, pois acabei trocando o meu acesso em seguida para Speedy, o que acabou resolvendo isso pra mim.
PS: Foi impossível falar com alguém competente do suporte da caixa sobre esse assunto.
Pessoal, eu tive esse mesmo problema com a caixa, mas no meu caso a coisa foi bem mais complicada.
Se tudo der errado na hora de resolver o problema das chaves, isso pode ajudar.
Eu quebrei muita cabeça com esse mesmo problema, mas acontece que o problema não se tratava de regras no firewall, mas sim a um problema de conectividade do backbone embratel/telemar (os servidores da caixa são conectados a telemar).
Depois de testar tudo, acionei o provedor e tambem depois de muita investigação acionou a embratel.
Conversei pessoalmente com um dos técnicos da embratel, e ele disse que o link embratel-telemar está MUITO saturado e que a Telemar simplesmente ignora os pedidos da Embratel em ampliação do link. E realmente, pelo meu provedor que tinha backbone embratel, eu não conseguia nem sequer pingar o IP da caixa, bastou conectar num iG da vida, funcionou normalmente. (que usa backbone da telefonica).
Com um traceroute, a conexão morria logo ao entrar no 1º roteador da telemar.
Então se o seu provedor for powered by Embratel e nada mais der certo, provavelmente esse é o problema. Infelizmente nao tenho mais o IP do servidor da caixa aqui, mas só fazer um teste simples pingando ele (peça o IP no 0800).
Não sei se conseguiram arrumar o problema atualmente, pois acabei trocando o meu acesso em seguida para Speedy, o que acabou resolvendo isso pra mim.
PS: Foi impossível falar com alguém competente do suporte da caixa sobre esse assunto.
[36] Comentário enviado por reimassupilami em 05/01/2006 - 22:09h
pois é, cada dia tenho mais certeza de que existem diversar formas diferente de resolver isso, porque cada um enfrenta um problema ou um pequeno detalhe bem diferente, hehehe...
mas tá legal, ja deu pra reunir varios casos diferentes aqui hein... se desse coragem até rolava de montar um novo artigo compilando tudo isso, hehehe... quem sabe outra hora...
é isso ae caras...
pois é, cada dia tenho mais certeza de que existem diversar formas diferente de resolver isso, porque cada um enfrenta um problema ou um pequeno detalhe bem diferente, hehehe...
mas tá legal, ja deu pra reunir varios casos diferentes aqui hein... se desse coragem até rolava de montar um novo artigo compilando tudo isso, hehehe... quem sabe outra hora...
é isso ae caras...
[37] Comentário enviado por kleber NJ em 27/01/2006 - 17:42h
cara vc´s estão de parabens o artigo me ajudou muito e tenho que frizar que os comentarios tambem, obrigado e espero sempre contar com vc´s
cara vc´s estão de parabens o artigo me ajudou muito e tenho que frizar que os comentarios tambem, obrigado e espero sempre contar com vc´s
[38] Comentário enviado por noturno em 24/02/2006 - 17:37h
Caramba, é exelente ter uma galera assim, muito bom, com essas dicas tirei a corda do pescoço
Obrigado a todos
Caramba, é exelente ter uma galera assim, muito bom, com essas dicas tirei a corda do pescoço
Obrigado a todos
[39] Comentário enviado por fiedler em 28/02/2006 - 11:15h
Prezados colegas, já fiz diversas leituras neste tutorial, mais não consigo encontrar nenhuma solução. No começo o sistema da CMT travou o micro aonde eu tentava acessar. Agora neste PC que tem o IP 192.168.1.33 eu setei no IE para ele pegar o proxy 192.168.1.1 porta 3128. Já verifiquei o JVM e está OK, as opções do IE também já foram verificadas e estão OK tbem. Para entenderem um pouco o que eu tenho aqui é, um Servidor Linux com o SO CentOS + Squid e o Modem ADSL é um Dynalink configurado no modo Bridge. Ja verifiquei a porta 80 neste Windows XP e ela também não está sendo utilizada. Sinceramente não sei mais o que fazer. Será que alguém tem o MSN ou algum n° de celular pra poder me ajudar? As configurações do IPTABLES também já foram verificadas, e tentei várias formas repassadas neste site. Mas nenhuma das operações resolveu meu problema.
Prezados colegas, já fiz diversas leituras neste tutorial, mais não consigo encontrar nenhuma solução. No começo o sistema da CMT travou o micro aonde eu tentava acessar. Agora neste PC que tem o IP 192.168.1.33 eu setei no IE para ele pegar o proxy 192.168.1.1 porta 3128. Já verifiquei o JVM e está OK, as opções do IE também já foram verificadas e estão OK tbem. Para entenderem um pouco o que eu tenho aqui é, um Servidor Linux com o SO CentOS + Squid e o Modem ADSL é um Dynalink configurado no modo Bridge. Ja verifiquei a porta 80 neste Windows XP e ela também não está sendo utilizada. Sinceramente não sei mais o que fazer. Será que alguém tem o MSN ou algum n° de celular pra poder me ajudar? As configurações do IPTABLES também já foram verificadas, e tentei várias formas repassadas neste site. Mas nenhuma das operações resolveu meu problema.
[40] Comentário enviado por reimassupilami em 01/03/2006 - 08:26h
fiedler, seu squid esta rodando como proxy transparente?
fiedler, seu squid esta rodando como proxy transparente?
[41] Comentário enviado por fuzisawa em 02/03/2006 - 20:47h
Reimassupilami: preciso fazer o aplicativo funcionar aqui na nossa rede;li todo seu artigo, muito bom ...e também tirei umas dúvidas com um amigo que me mandou todas as regras do iptables q ele usa; surgiu uma dúvida: onde devo inserir a regra, antes de uma regra específica?meu amigo me disse que deve vir antes do redirecionamento para porta do squid... é isto mesmo?
Reimassupilami: preciso fazer o aplicativo funcionar aqui na nossa rede;li todo seu artigo, muito bom ...e também tirei umas dúvidas com um amigo que me mandou todas as regras do iptables q ele usa; surgiu uma dúvida: onde devo inserir a regra, antes de uma regra específica?meu amigo me disse que deve vir antes do redirecionamento para porta do squid... é isto mesmo?
[42] Comentário enviado por reimassupilami em 03/03/2006 - 08:34h
olha, pra fazer separado eu não saberia te explicar... no meu caso, essa regra é a duas coisas: redirecionamento do squid transparente e resolve o problema do conectividade... viu isso?
boa sorte... qualquer coisa posta ae...
olha, pra fazer separado eu não saberia te explicar... no meu caso, essa regra é a duas coisas: redirecionamento do squid transparente e resolve o problema do conectividade... viu isso?
boa sorte... qualquer coisa posta ae...
[43] Comentário enviado por fuzisawa em 03/03/2006 - 10:04h
entendi...pessoal dá uma ajuda aí...se alguém souber como faço separado ...meu ipt tá assim:
#!/bin/sh
#
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/ip_forward
# INSERINDO MODULOS NO KERNEL
insmod iptable_filter
insmod ipt_REDIRECT
insmod ipt_MASQUERADE
insmod ipt_REJECT
insmod ip_conntrack_ftp
insmod ip_nat_ftp
insmod ipt_LOG
#limpando todas regras existentes
iptables -t nat -F
iptables -F
#ativando mascaramento e input
#portas fechadas virus
iptables -I INPUT -i eth0 -p tcp --sport 445 -j DROP
iptables -I INPUT -i eth0 -p udp --sport 445 -j DROP
iptables -I INPUT -i eth+ -p tcp --dport 445 -j DROP
iptables -I INPUT -i eth+ -p udp --dport 445 -j DROP
iptables -I FORWARD -i eth0 -p tcp --sport 445 -j DROP
iptables -I FORWARD -i eth0 -p udp --sport 445 -j DROP
iptables -I FORWARD -i eth+ -p tcp --dport 445 -j DROP
iptables -I FORWARD -i eth+ -p udp --dport 445 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 21
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 20
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -i eth+ -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 20 -i eth+ -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to eth1
iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -d eth1-p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -d eth1 -p tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/2424 -d 0.0.0.0/0 -j ACCEPT
#FIM
posso trocar a regra de redirecionamento pela regra do reimassupilami, certo??? ou fazer uma regra separada que seria como...alguém sabe???
entendi...pessoal dá uma ajuda aí...se alguém souber como faço separado ...meu ipt tá assim:
#!/bin/sh
#
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/ip_forward
# INSERINDO MODULOS NO KERNEL
insmod iptable_filter
insmod ipt_REDIRECT
insmod ipt_MASQUERADE
insmod ipt_REJECT
insmod ip_conntrack_ftp
insmod ip_nat_ftp
insmod ipt_LOG
#limpando todas regras existentes
iptables -t nat -F
iptables -F
#ativando mascaramento e input
#portas fechadas virus
iptables -I INPUT -i eth0 -p tcp --sport 445 -j DROP
iptables -I INPUT -i eth0 -p udp --sport 445 -j DROP
iptables -I INPUT -i eth+ -p tcp --dport 445 -j DROP
iptables -I INPUT -i eth+ -p udp --dport 445 -j DROP
iptables -I FORWARD -i eth0 -p tcp --sport 445 -j DROP
iptables -I FORWARD -i eth0 -p udp --sport 445 -j DROP
iptables -I FORWARD -i eth+ -p tcp --dport 445 -j DROP
iptables -I FORWARD -i eth+ -p udp --dport 445 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 21
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 20
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -i eth+ -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 20 -i eth+ -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to eth1
iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -d eth1-p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -d eth1 -p tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/2424 -d 0.0.0.0/0 -j ACCEPT
#FIM
posso trocar a regra de redirecionamento pela regra do reimassupilami, certo??? ou fazer uma regra separada que seria como...alguém sabe???
[44] Comentário enviado por reimassupilami em 03/03/2006 - 10:09h
bom, na verdade, e não estiver enganado, a unica regra aí referente ao squid seria:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
nesse caso vc pode troca-la pela minha... foi isso q eu fiz, antes a minha era assim tambem... de qualquer forma nao custa nada testar, troque a linha e rode novamente as regras... se nao der faça mais um teste: coloque a regra no final...
boa sorte...
bom, na verdade, e não estiver enganado, a unica regra aí referente ao squid seria:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
nesse caso vc pode troca-la pela minha... foi isso q eu fiz, antes a minha era assim tambem... de qualquer forma nao custa nada testar, troque a linha e rode novamente as regras... se nao der faça mais um teste: coloque a regra no final...
boa sorte...
[45] Comentário enviado por fuzisawa em 06/03/2006 - 15:50h
oi galera...desculpem....fui dar uma olhada no meu ipt e as regras não são as q postei acima e sim as que segue:
# #
echo "Carregando Firewall"
# Iniciando Modulos
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Limpando Regras
/usr/sbin/iptables -F INPUT
/usr/sbin/iptables -F OUTPUT
/usr/sbin/iptables -F FORWARD
/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t mangle -X
/usr/sbin/iptables -t nat -X
# Nat
/usr/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/usr/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-dest 192.168.1.201
/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
# Filtragem
/usr/sbin/iptables -I INPUT -i eth0 -p tcp --sport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth0 -p udp --sport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth+ -p tcp --dport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth+ -p udp --dport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth0 -p tcp --sport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth0 -p udp --sport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth+ -p tcp --dport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth+ -p udp --dport 445 -j DROP
/usr/sbin/iptables -A FORWARD -m unclean -j DROP
/usr/sbin/iptables -A INPUT -m unclean -j DROP
/usr/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
/usr/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp -s 0/0 -i wlan0 --dport 33435:33525 -j DROP
/usr/sbin/iptables -A INPUT -m state --stat INVALID -j DROP
/usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 3128 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP
/usr/sbin/iptables -A INPUT -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p udp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p udp --dport 3456 -j ACCEPT
#Ignora pings
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Ignora spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "firewall: inicializando protecao contra spoofing ..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f ; done
echo " concluido"
else
echo "Erro ao iniciar protecao de spoofing ... abortando."
fi
o que eu fiz foi o seguinte:
substitui a minha regra de redirect pela do reimassupilami...
pelo menos agora eu consigo conexão...pelo netstat local na mqn cliente verifiquei isso....antes dava troca de chaves falhou ...agora da msg "Falha ao receber mensagem de troca de chaves do Gateway"
bom...parei antivírus, msn...e repassei as configurações da aplett e vm umas n vezes....de acordo com o q ta no manual...e nada...pode ser um outro serviço usando a porta 80?...como posso me certificar realmente que não tem nenhum outro serviço concorrendo??
help!!!
oi galera...desculpem....fui dar uma olhada no meu ipt e as regras não são as q postei acima e sim as que segue:
# #
echo "Carregando Firewall"
# Iniciando Modulos
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Limpando Regras
/usr/sbin/iptables -F INPUT
/usr/sbin/iptables -F OUTPUT
/usr/sbin/iptables -F FORWARD
/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t mangle -X
/usr/sbin/iptables -t nat -X
# Nat
/usr/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/usr/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-dest 192.168.1.201
/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
# Filtragem
/usr/sbin/iptables -I INPUT -i eth0 -p tcp --sport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth0 -p udp --sport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth+ -p tcp --dport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth+ -p udp --dport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth0 -p tcp --sport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth0 -p udp --sport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth+ -p tcp --dport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth+ -p udp --dport 445 -j DROP
/usr/sbin/iptables -A FORWARD -m unclean -j DROP
/usr/sbin/iptables -A INPUT -m unclean -j DROP
/usr/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
/usr/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp -s 0/0 -i wlan0 --dport 33435:33525 -j DROP
/usr/sbin/iptables -A INPUT -m state --stat INVALID -j DROP
/usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 3128 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP
/usr/sbin/iptables -A INPUT -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p udp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p udp --dport 3456 -j ACCEPT
#Ignora pings
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Ignora spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "firewall: inicializando protecao contra spoofing ..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f ; done
echo " concluido"
else
echo "Erro ao iniciar protecao de spoofing ... abortando."
fi
o que eu fiz foi o seguinte:
substitui a minha regra de redirect pela do reimassupilami...
pelo menos agora eu consigo conexão...pelo netstat local na mqn cliente verifiquei isso....antes dava troca de chaves falhou ...agora da msg "Falha ao receber mensagem de troca de chaves do Gateway"
bom...parei antivírus, msn...e repassei as configurações da aplett e vm umas n vezes....de acordo com o q ta no manual...e nada...pode ser um outro serviço usando a porta 80?...como posso me certificar realmente que não tem nenhum outro serviço concorrendo??
help!!!
[46] Comentário enviado por fiedler em 07/03/2006 - 10:38h
desculpem aí. reimassupilami aí vai as configurações do meu firewall. Eu uso proxy transparente, veja abaixo a regra:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Já fiz o diabo aqui. Desinstalei antivirtus, e o IIS do Windows XP tambem nao esta ativado, acredito que nao tenha mais nada utilizando a porta 80. Veja se consegues me ajudar.
desculpem aí. reimassupilami aí vai as configurações do meu firewall. Eu uso proxy transparente, veja abaixo a regra:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Já fiz o diabo aqui. Desinstalei antivirtus, e o IIS do Windows XP tambem nao esta ativado, acredito que nao tenha mais nada utilizando a porta 80. Veja se consegues me ajudar.
[47] Comentário enviado por reimassupilami em 07/03/2006 - 11:04h
pow caras, não adianta vcs mandarem o firewall inteiro de vcs aqui, isso só pului os comentários do artigo e não resolve nada, concordam?
o que interessa é só a regra de transparencia do squid, mais nada... é aquela regra que faz o redirecionamento para a porta do squid, geralmente 3128, depende de cada um... troquem ela pela do artigo e façam as adaptações...
boa sorte...
pow caras, não adianta vcs mandarem o firewall inteiro de vcs aqui, isso só pului os comentários do artigo e não resolve nada, concordam?
o que interessa é só a regra de transparencia do squid, mais nada... é aquela regra que faz o redirecionamento para a porta do squid, geralmente 3128, depende de cada um... troquem ela pela do artigo e façam as adaptações...
boa sorte...
[48] Comentário enviado por fiedler em 07/03/2006 - 11:16h
reimassupilami da uma olhada no meu comentário acima. sinceramente eu acho que é algum ajuste simples no meu rc.firewall deve ser algum caracter, ou alguma regra simples que precisa ser adicionado.
reimassupilami da uma olhada no meu comentário acima. sinceramente eu acho que é algum ajuste simples no meu rc.firewall deve ser algum caracter, ou alguma regra simples que precisa ser adicionado.
[49] Comentário enviado por fuzisawa em 08/03/2006 - 08:38h
ops...pessoal desculpa.... concordo....é que essa porcaria não funciona...
aí a gente começa a achar que tem algo errado com toda ou parte da configuração do firewall...isso não vai se repetir!!!
ops...pessoal desculpa.... concordo....é que essa porcaria não funciona...
aí a gente começa a achar que tem algo errado com toda ou parte da configuração do firewall...isso não vai se repetir!!!
[50] Comentário enviado por reimassupilami em 08/03/2006 - 08:46h
fiedler a questão do jvm vc seguiu certinho tambem?
fiedler a questão do jvm vc seguiu certinho tambem?
[51] Comentário enviado por fiedler em 08/03/2006 - 14:20h
reimassupilami, eu tinha instalado no micro aquele java da sun. removi ele, e instalei o proprio JVM. apenas para detalhar um pouco mais as configurações. eu utilizo o servidor proxy, com a versão do linux CentOS instalado. no internet explorer nao tenho nenhum proxy com porta habilitada, ele utiliza o proprio gateway do windows. vc nao tem como acessar o servidor, me passar seu email ou algo do genero? aguardo sua resposta.
reimassupilami, eu tinha instalado no micro aquele java da sun. removi ele, e instalei o proprio JVM. apenas para detalhar um pouco mais as configurações. eu utilizo o servidor proxy, com a versão do linux CentOS instalado. no internet explorer nao tenho nenhum proxy com porta habilitada, ele utiliza o proprio gateway do windows. vc nao tem como acessar o servidor, me passar seu email ou algo do genero? aguardo sua resposta.
[52] Comentário enviado por reimassupilami em 08/03/2006 - 14:26h
cara, entao nao sei o que mais pode ser hein, lamento... se tu conseguir alguma coisa posta aki pra gente, vai ser legal...
ma com certeza ainda deve ter algum furo hein, dificil dizer o que pode ser
cara, entao nao sei o que mais pode ser hein, lamento... se tu conseguir alguma coisa posta aki pra gente, vai ser legal...
ma com certeza ainda deve ter algum furo hein, dificil dizer o que pode ser
[53] Comentário enviado por kalkyn em 19/05/2006 - 14:22h
a tempos atras resolvi este problema com esse tutorial, mas agora como estava usando SuseFirewall2 recriei as regras dentro do firewall e funcionou, so que estive com mesmo problema usando autenticação PAM, nao tentei o comentario dos amigos ainda mas ja queria agradecer se funcionar vai ser muito bom que essa porcaria de programa da caixa nao da pal apenas com linux tive problemas tb usando Windows XP e Norton Internet Security, todos barram a imconpetencia da caixa. abraços valew
a tempos atras resolvi este problema com esse tutorial, mas agora como estava usando SuseFirewall2 recriei as regras dentro do firewall e funcionou, so que estive com mesmo problema usando autenticação PAM, nao tentei o comentario dos amigos ainda mas ja queria agradecer se funcionar vai ser muito bom que essa porcaria de programa da caixa nao da pal apenas com linux tive problemas tb usando Windows XP e Norton Internet Security, todos barram a imconpetencia da caixa. abraços valew
[54] Comentário enviado por venonc em 23/05/2006 - 14:19h
Colocar a seguinte regra antes do REDIR
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d www.site_direto_sem_proxy.com -j RETURN
Vai fazer que o site seja acesso diretamente dando um bypass no cache, nao passando pelo chain PREROUTING, vi a dica no forum do iptables
Colocar a seguinte regra antes do REDIR
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d www.site_direto_sem_proxy.com -j RETURN
Vai fazer que o site seja acesso diretamente dando um bypass no cache, nao passando pelo chain PREROUTING, vi a dica no forum do iptables
[56] Comentário enviado por Raufbh em 19/07/2006 - 17:53h
Galera mto bom os comentario, mas nao esta funcionando pra mim. Eu uso o shorewall num kurumim 5 e nao consigo fazer essa @@@ funcionar... Traduzi as regras para o shorewall mas ao q td indica nao tive sucesso.
Algum usa shorewall??? Alguem pode me ajudar.???
Galera mto bom os comentario, mas nao esta funcionando pra mim. Eu uso o shorewall num kurumim 5 e nao consigo fazer essa @@@ funcionar... Traduzi as regras para o shorewall mas ao q td indica nao tive sucesso.
Algum usa shorewall??? Alguem pode me ajudar.???
[57] Comentário enviado por Raufbh em 21/07/2006 - 15:31h
Galera para shorewall basta colocar esta linha.
#conexao segura
DNAT loc dmz:ip_rede_interna tcp 80 - 200.201.174.207
Galera para shorewall basta colocar esta linha.
#conexao segura
DNAT loc dmz:ip_rede_interna tcp 80 - 200.201.174.207
[58] Comentário enviado por linkinman em 21/07/2006 - 18:08h
Dica: para o WINDOWS XP, tem que instalar o JVM e desinstalar o JRE, pois existe algum tipo de conflito!!!! Abraçoossss
Dica: para o WINDOWS XP, tem que instalar o JVM e desinstalar o JRE, pois existe algum tipo de conflito!!!! Abraçoossss
[59] Comentário enviado por tardego em 24/07/2006 - 12:21h
Muito obrigado pela dica vcs salvaram o meu emprego.... rsrs
Muito obrigado pela dica vcs salvaram o meu emprego.... rsrs
[60] Comentário enviado por tardego em 24/07/2006 - 22:09h
agora o anti-virus avast e o nod32 nas estações não estão atualizando! o que fazer
HELP...
Abraços
agora o anti-virus avast e o nod32 nas estações não estão atualizando! o que fazer
HELP...
Abraços
[61] Comentário enviado por tardego em 25/07/2006 - 16:26h
Opa galera... para contribuir com a comunidade...
descobri como atualizar o NOD 32 e o Avast
#nod32
/sbin/iptables -t nat -I PREROUTING -p tcp -d 213.215.0.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 82.208.27.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 62.168.97.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 82.165.250.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 213.215.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 82.208.27.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 62.168.97.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 82.165.250.0 -j ACCEPT
#AVAST
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.19.162.146 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 209.85.5.41 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.15.227.15 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 70.87.106.130 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.19.216.186 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.19.162.146 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 209.85.5.41 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.15.227.15 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 70.87.106.130 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.19.216.186 -j ACCEPT
abraços a todos
Opa galera... para contribuir com a comunidade...
descobri como atualizar o NOD 32 e o Avast
#nod32
/sbin/iptables -t nat -I PREROUTING -p tcp -d 213.215.0.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 82.208.27.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 62.168.97.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 82.165.250.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 213.215.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 82.208.27.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 62.168.97.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 82.165.250.0 -j ACCEPT
#AVAST
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.19.162.146 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 209.85.5.41 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.15.227.15 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 70.87.106.130 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.19.216.186 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.19.162.146 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 209.85.5.41 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.15.227.15 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 70.87.106.130 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.19.216.186 -j ACCEPT
abraços a todos
[62] Comentário enviado por xxpanicoxx em 15/09/2006 - 18:01h
Aew pessoal... depois de um mês de puro sofrimento consegui fazer a porcaria do programa da conectividade da caixa rodar!!! no meu caso quando passei para o windows xp tentei tudo o qui esse tutorial me indicava + o unico problema era o NOD32.. nao adianta apenas sair do programa e necessario desisntalar para qui seja liberado o acesso a esse maldito programa. Espero qui tenha ajudado . vlw
Aew pessoal... depois de um mês de puro sofrimento consegui fazer a porcaria do programa da conectividade da caixa rodar!!! no meu caso quando passei para o windows xp tentei tudo o qui esse tutorial me indicava + o unico problema era o NOD32.. nao adianta apenas sair do programa e necessario desisntalar para qui seja liberado o acesso a esse maldito programa. Espero qui tenha ajudado . vlw
[63] Comentário enviado por Carlos_Lima em 19/09/2006 - 16:35h
Olá pessoal!
Parabens pelo artigo e comentarios!
Dúvida: creio que digitando os comandos acima (#iptables...), na console, funciona.
Agora, tem como carregar via arquivo de inicializacao? (tipo autoexec.bat).
Se sim, em que arquivo devo colocar essas configuracoes?
Esse arquivo de inicializacao difere do Kurumim 6.0 e Red Hat 7.3?
Desde já conto c/a colaboracao de todos.
[]´s,
Carlos Lima.
Olá pessoal!
Parabens pelo artigo e comentarios!
Dúvida: creio que digitando os comandos acima (#iptables...), na console, funciona.
Agora, tem como carregar via arquivo de inicializacao? (tipo autoexec.bat).
Se sim, em que arquivo devo colocar essas configuracoes?
Esse arquivo de inicializacao difere do Kurumim 6.0 e Red Hat 7.3?
Desde já conto c/a colaboracao de todos.
[]´s,
Carlos Lima.
[64] Comentário enviado por monica_lisboa em 10/10/2006 - 12:38h
Muito bom mesmo este artigo, eu concordo plenamente, deve ser algum castigo ter que por para funcionar esses programas da Caixa!!!
Eu estou tendo um problema com a conectividade social, eu acesso via linha discada, e aparece o erro abaixo, qdo. tento enviar ou receber arquivos:
Erro: -743
Descrição:Houve uma falha na sua tentativa de envio/recepção de mensagens.
EU já segui todos os passos citados neste e em outros fóruns e nada deu certo, se alguém já passou por isso e puder me ajudar, ficaria muito grata!!!!
Muito bom mesmo este artigo, eu concordo plenamente, deve ser algum castigo ter que por para funcionar esses programas da Caixa!!!
Eu estou tendo um problema com a conectividade social, eu acesso via linha discada, e aparece o erro abaixo, qdo. tento enviar ou receber arquivos:
Erro: -743
Descrição:Houve uma falha na sua tentativa de envio/recepção de mensagens.
EU já segui todos os passos citados neste e em outros fóruns e nada deu certo, se alguém já passou por isso e puder me ajudar, ficaria muito grata!!!!
[65] Comentário enviado por monica_lisboa em 10/10/2006 - 14:36h
Muito bom mesmo este artigo, fico mais conformada em saber que não sou apenas eu que apanho dos programas da caixa.
Eu estou com um problema no Conectivida Social, aparece o seguinte erro:
Erro: -743
Descrição:Houve uma falha na sua tentativa de envio/recepção de mensagens.
E eu não consigo nem enviar e nem receber arquivos, eu já tentei tudo que li neste forum e em alguns outros e nada funcionou.
Eu utilizo linha discada e WinXP, já desinstalei o java sun e instalei o JMV, mas nada acontece.
Se alguém já passou por isso e puder me dar uma ajuda!!!
Obrigada,
Abraços,
Mônica Lisboa
Muito bom mesmo este artigo, fico mais conformada em saber que não sou apenas eu que apanho dos programas da caixa.
Eu estou com um problema no Conectivida Social, aparece o seguinte erro:
Erro: -743
Descrição:Houve uma falha na sua tentativa de envio/recepção de mensagens.
E eu não consigo nem enviar e nem receber arquivos, eu já tentei tudo que li neste forum e em alguns outros e nada funcionou.
Eu utilizo linha discada e WinXP, já desinstalei o java sun e instalei o JMV, mas nada acontece.
Se alguém já passou por isso e puder me dar uma ajuda!!!
Obrigada,
Abraços,
Mônica Lisboa
[66] Comentário enviado por robinsonsilva em 06/02/2007 - 08:45h
Gostaria de acrescentar pra quem usa o filtro layer7 que o site da caixa pelo menos no meu caso quando eu ativava a filtragem do protocolo skypetoskype ou skypeout naum lembro bem ele tb bloqueava o site da caixa.
Naum sei o motivo mas era so eu desabilitar o filtro ele voltava a funcionar normalmente e acho que era a unica incompatibilidade que aconteceu.
Valew t+
Gostaria de acrescentar pra quem usa o filtro layer7 que o site da caixa pelo menos no meu caso quando eu ativava a filtragem do protocolo skypetoskype ou skypeout naum lembro bem ele tb bloqueava o site da caixa.
Naum sei o motivo mas era so eu desabilitar o filtro ele voltava a funcionar normalmente e acho que era a unica incompatibilidade que aconteceu.
Valew t+
[67] Comentário enviado por hbr em 09/02/2007 - 11:22h
Com este artigo consegui com que uma das maquinas funcionacem no windows xp.
Mas, tive problemas em outra maquina ao instalar o JMV. O seguinte erro apareceu "Problemas na instalação do Q816093 - A versão do Windows que você instalou não corresponde à atualização que você está tentando instalar", além de instalar outra versão do windows, vcs tem alguma solução para isso?
Obrigado
Com este artigo consegui com que uma das maquinas funcionacem no windows xp.
Mas, tive problemas em outra maquina ao instalar o JMV. O seguinte erro apareceu "Problemas na instalação do Q816093 - A versão do Windows que você instalou não corresponde à atualização que você está tentando instalar", além de instalar outra versão do windows, vcs tem alguma solução para isso?
Obrigado
[68] Comentário enviado por miana_8 em 28/02/2007 - 16:12h
Bom... fiquei 2 semanas pastando com essa mer...de programa.
Descobri que preciso ter:
- JavaVM ativado
- JavaRE desativado
- Anti virus desativado ( avast)
E muitaaaaaaa paciência.
Obrigado pela força..li todos os comentarios até conseguir chegar no meu objetivo.
To passando o meu.
Valew,
Bom... fiquei 2 semanas pastando com essa mer...de programa.
Descobri que preciso ter:
- JavaVM ativado
- JavaRE desativado
- Anti virus desativado ( avast)
E muitaaaaaaa paciência.
Obrigado pela força..li todos os comentarios até conseguir chegar no meu objetivo.
To passando o meu.
Valew,
[70] Comentário enviado por josemars em 25/06/2007 - 20:39h
Gostaria de colaborar aí, pois depois que tomei na cabeça realmente esse artigo foi demais.
Desativei Java Sun e utilizei as rotas conforme colegas acima informaram.
iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Gostaria de colaborar aí, pois depois que tomei na cabeça realmente esse artigo foi demais.
Desativei Java Sun e utilizei as rotas conforme colegas acima informaram.
iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
[71] Comentário enviado por danielbrandino em 06/07/2007 - 11:23h
Gostaria de saber galera como e o caminho para fazer essa configuração no endian firewall? não consigo conectar a essa conectividade social da caixa?
Gostaria de saber galera como e o caminho para fazer essa configuração no endian firewall? não consigo conectar a essa conectividade social da caixa?
[72] Comentário enviado por kirosangel em 11/07/2007 - 18:14h
Como eu posso fazer isso usando o IPCop como firewall?
Como eu posso fazer isso usando o IPCop como firewall?
[73] Comentário enviado por kirosangel em 27/07/2007 - 16:38h
Ola pesoal, como vcs podem ter percebido, resolvi meu problema com o FGTS da CAIXA usando as regras que postaram, mais ouve uma mudança lá na caixa e voltou a dar erro ao entrar, ficou uns 2 meses funcionando 100% e agora fica dando erro de novo, se alguém souber de algo por favor me contate, marketing@prodate.com.br
Grato
Ass.Kiros Angel
Ola pesoal, como vcs podem ter percebido, resolvi meu problema com o FGTS da CAIXA usando as regras que postaram, mais ouve uma mudança lá na caixa e voltou a dar erro ao entrar, ficou uns 2 meses funcionando 100% e agora fica dando erro de novo, se alguém souber de algo por favor me contate, marketing@prodate.com.br
Grato
Ass.Kiros Angel
[74] Comentário enviado por gflkdovs em 03/01/2008 - 17:29h
Muito bom isso vai ajuda bastante
parabens
t+
Muito bom isso vai ajuda bastante
parabens
t+
[75] Comentário enviado por esequielfilho em 05/03/2008 - 12:31h
?comentario=
Boa tarde a tdos...eu uso o sistema operacional WINXP SP2 e o IE7. Estou c/ problemas de acessar o conexão segura nossa caixa..se pde me ajuda em alguma solução fico agradecido...até ms meu e-mail esequiel.filho@ibest.com.br ou então esequielfilho@gmail.com
?comentario=
Boa tarde a tdos...eu uso o sistema operacional WINXP SP2 e o IE7. Estou c/ problemas de acessar o conexão segura nossa caixa..se pde me ajuda em alguma solução fico agradecido...até ms meu e-mail esequiel.filho@ibest.com.br ou então esequielfilho@gmail.com
[76] Comentário enviado por renan_ em 07/03/2008 - 01:51h
Esequiel, até onde sei o IE7 tem um problema com o site da caixa.. esqueci agora qual é este. Mas enquanto nao o acertam, tente usar o firefox. Este funciona e eu acesso aqui no XP e Vista por ele.
abraços.
Esequiel, até onde sei o IE7 tem um problema com o site da caixa.. esqueci agora qual é este. Mas enquanto nao o acertam, tente usar o firefox. Este funciona e eu acesso aqui no XP e Vista por ele.
abraços.
[77] Comentário enviado por PCMasterPB em 11/03/2008 - 19:01h
Porra, o artigo está aqui desde 2005 e o NTI da caixa ainda não se mancou que tem que corrigir isso. Pelo amor de Deus, coitado de quem depender usar esse ou outro serviço da Caixa Econômica. Vão ser imcompetentes assim bem longe de mim por favor hauahahauahuaha.
Me desculpem quem trabalhou/trabalha ou irá trabalhar lá, mas já havia postado um comentário aqui e não resisti postar novamente. Quem sabe lá pra 2010 eu poste novamente aqui hauhauhauauha. ;D
Porra, o artigo está aqui desde 2005 e o NTI da caixa ainda não se mancou que tem que corrigir isso. Pelo amor de Deus, coitado de quem depender usar esse ou outro serviço da Caixa Econômica. Vão ser imcompetentes assim bem longe de mim por favor hauahahauahuaha.
Me desculpem quem trabalhou/trabalha ou irá trabalhar lá, mas já havia postado um comentário aqui e não resisti postar novamente. Quem sabe lá pra 2010 eu poste novamente aqui hauhauhauauha. ;D
[78] Comentário enviado por dfabretti em 19/03/2008 - 12:01h
Aqui na empresa tanto o Internet Explorer 7 tanto o Firefox acessam normalmente... Realmente, tive o problema do avast!, coloquei como exceção! Realmente, depois de ficar martelando bastante, consegui resolver esse problemas que, aparentemente(1/2 irônico, não?), é de todos. Concordo plenamente a respeito de que a CAIXA nem se quer se coça pra atualizar, é uma vergonha! E quem acaba se ralando somos nós administradores de rede... Paciência fazer o q! Abraços a todos, fui!
Aqui na empresa tanto o Internet Explorer 7 tanto o Firefox acessam normalmente... Realmente, tive o problema do avast!, coloquei como exceção! Realmente, depois de ficar martelando bastante, consegui resolver esse problemas que, aparentemente(1/2 irônico, não?), é de todos. Concordo plenamente a respeito de que a CAIXA nem se quer se coça pra atualizar, é uma vergonha! E quem acaba se ralando somos nós administradores de rede... Paciência fazer o q! Abraços a todos, fui!
[79] Comentário enviado por claudinei.motta em 28/03/2008 - 14:34h
Concordo exatamente com oque você disse sobre o suporte da Caixa. Me dá a impressão que são robôs e estão lendo o manual pra gente. Ficam repetindo e batendo na mesma tecla. "Sr. a porta 80 tem que estar liberada". E sobre o seu artigo, está simples, sucinto e perfeito.
Concordo exatamente com oque você disse sobre o suporte da Caixa. Me dá a impressão que são robôs e estão lendo o manual pra gente. Ficam repetindo e batendo na mesma tecla. "Sr. a porta 80 tem que estar liberada". E sobre o seu artigo, está simples, sucinto e perfeito.
[80] Comentário enviado por alelelelele em 01/04/2008 - 14:54h
Cornélio
A Qs Organização Contabil agradece , pois depois de muitos e muitos meses.... conseguimos usar o conexão segura da caixa sem dor de cabeça , pois eu nunca, nunca ia imaginar que o avast anti virus bloqueava a tal da porta 80...afffff
Muito obrigada!!!!!!!
Cornélio
A Qs Organização Contabil agradece , pois depois de muitos e muitos meses.... conseguimos usar o conexão segura da caixa sem dor de cabeça , pois eu nunca, nunca ia imaginar que o avast anti virus bloqueava a tal da porta 80...afffff
Muito obrigada!!!!!!!
[81] Comentário enviado por micato em 04/04/2008 - 15:20h
Adicona ai PROBLEMA 04.
A caixa tem um link novo agora !! http://cmt.caixa.gov.br/nova
Interessante que por mais que você ligue lá eles não informam isso !
Adicona ai PROBLEMA 04.
A caixa tem um link novo agora !! http://cmt.caixa.gov.br/nova
Interessante que por mais que você ligue lá eles não informam isso !
[82] Comentário enviado por kalkin em 22/04/2008 - 09:02h
Se não me engano você deve colocar a porta 2631 como porta segura, ela é usada para o sefip mas também é usada como porta alternativa pro conectividade social e antes do conectividade conectar ele verifica a porta 80 e a 2631 para ver se estão disponiveis se nao ele nem inicia a conexão.
Se não me engano você deve colocar a porta 2631 como porta segura, ela é usada para o sefip mas também é usada como porta alternativa pro conectividade social e antes do conectividade conectar ele verifica a porta 80 e a 2631 para ver se estão disponiveis se nao ele nem inicia a conexão.
[83] Comentário enviado por bluesball em 23/04/2008 - 10:56h
o pessoal da empresa já esta economizando tylenol depois q o problema foi resolvido
hehehe
o pessoal da empresa já esta economizando tylenol depois q o problema foi resolvido
hehehe
[84] Comentário enviado por fernando-erik em 07/05/2008 - 18:18h
opaaaaaaaa ... ae gente ... quero dizer também q hostei do artigo e que
tenho presenciado um problema que não pude resolver.
O que acontece é que ele acessa o conexão segura normalmente mas, apresenta um erro quando vou tirar extratos
se alguem puder me ajudar...,
por favor
grato
opaaaaaaaa ... ae gente ... quero dizer também q hostei do artigo e que
tenho presenciado um problema que não pude resolver.
O que acontece é que ele acessa o conexão segura normalmente mas, apresenta um erro quando vou tirar extratos
se alguem puder me ajudar...,
por favor
grato
[85] Comentário enviado por olivam em 16/06/2008 - 19:32h
so isso não adianta se vc não fechar o Skype, Msn, Anti-virus ou outro programa que utiliza a porta 80
so isso não adianta se vc não fechar o Skype, Msn, Anti-virus ou outro programa que utiliza a porta 80
[86] Comentário enviado por d.acordi em 17/06/2008 - 20:23h
boa noite pessoal
to com o mesmo problema
vo colocar o script e se alguem puder me ajudar
#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
### Libera SMTP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 25 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 25 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 25 -o eth1 -d 0/0 -j ACCEPT
### LIBERA POP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 110 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 110 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 110 -o eth1 -d 0/0 -j ACCEPT
### LIBERA DNS TCP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 53 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 53 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 53 -o eth1 -d 0/0 -j ACCEPT
### LIBERA DNS UDP
iptables -t nat -A POSTROUTING -o eth0 -p udp -s 0/0 -d 0/0 --dport 53 -j MASQUERADE
iptables -A FORWARD -i eth1 -p udp -d 0/0 --dport 53 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -s 0/0 --sport 53 -o eth1 -d 0/0 -j ACCEPT
# bloqueando orkut.com
iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d https://orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d https://orkut.com -p tcp --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
e continua dando o erro de troca de chaves, sera que escrevi algo errado? por favor me ajude urgente
boa noite pessoal
to com o mesmo problema
vo colocar o script e se alguem puder me ajudar
#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
### Libera SMTP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 25 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 25 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 25 -o eth1 -d 0/0 -j ACCEPT
### LIBERA POP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 110 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 110 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 110 -o eth1 -d 0/0 -j ACCEPT
### LIBERA DNS TCP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 53 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 53 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 53 -o eth1 -d 0/0 -j ACCEPT
### LIBERA DNS UDP
iptables -t nat -A POSTROUTING -o eth0 -p udp -s 0/0 -d 0/0 --dport 53 -j MASQUERADE
iptables -A FORWARD -i eth1 -p udp -d 0/0 --dport 53 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -s 0/0 --sport 53 -o eth1 -d 0/0 -j ACCEPT
# bloqueando orkut.com
iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d https://orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d https://orkut.com -p tcp --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
e continua dando o erro de troca de chaves, sera que escrevi algo errado? por favor me ajude urgente
[87] Comentário enviado por dvs em 26/07/2008 - 16:53h
Pessoal foi assim que consegui resolver o meu problema:
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.249.177.15/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.249.177.15/16 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Lembrando que a regra que libera para o conectividade deve ser implementada antes de tudo.
Vale salientar também que por incrivel que pareca as mesmas regras no meu link da Telemar que me da um ip 189.* o firewall da cef barrava, ja com o meu link da embratel fixo 200.* não, sera que o pessoal la nao sacou ainda que 189 é classe do brasil também? assim como 172 da Net por exemplo?
Pessoal foi assim que consegui resolver o meu problema:
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.249.177.15/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.249.177.15/16 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Lembrando que a regra que libera para o conectividade deve ser implementada antes de tudo.
Vale salientar também que por incrivel que pareca as mesmas regras no meu link da Telemar que me da um ip 189.* o firewall da cef barrava, ja com o meu link da embratel fixo 200.* não, sera que o pessoal la nao sacou ainda que 189 é classe do brasil também? assim como 172 da Net por exemplo?
[88] Comentário enviado por mgasparin em 28/07/2008 - 16:17h
Olá Senhores,
no caso do IPCop, se deve editar o arquivo /etc/rc.d/rc.firewall
no final da função iptables_init() coloque:
# Regra Conexao Segura Caixa
/sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 800
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
Olá Senhores,
no caso do IPCop, se deve editar o arquivo /etc/rc.d/rc.firewall
no final da função iptables_init() coloque:
# Regra Conexao Segura Caixa
/sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 800
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
[89] Comentário enviado por jlaudirt em 11/08/2008 - 16:26h
Boas..... baseado nestes vários artigos falando sobre a caixa e sua conecTITICAvidade criei um scriptzinho.... espero que ajude a vc´s
só usem o seguinte link pra acessar o prompt da conexão segura:
http://cmt.caixa.gov.br/nova (graças ao nosso amigo micato)
http://www.vivaolinux.com.br/contribuir/scripts/verScript.php?codigo=3523
abaixo meu squid-save de acordo com as dicas e de acordo com o meu script pra vc´s analizarem. Aqui está funcionando.
# Generated by iptables-save v1.4.0 on Fri Aug 15 10:41:48 2008
*filter
:INPUT ACCEPT [20852:10345331]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25123:11455548]
-A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT
-A FORWARD -s 200.201.173.68/32 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.173.68/32 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.188.201.153/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 200.188.201.153/32 -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.173.68/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 200.201.173.68/32 -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 201.11.159.8/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.9/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.5/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.6/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.7/32 -p tcp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 2631 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8081 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8017 -j ACCEPT
COMMIT
# Completed on Fri Aug 15 10:41:48 2008
# Generated by iptables-save v1.4.0 on Fri Aug 15 10:41:48 2008
*nat
:PREROUTING ACCEPT [545:57717]
:POSTROUTING ACCEPT [4:240]
:OUTPUT ACCEPT [1214:72840]
-A PREROUTING -d 200.201.173.68/32 -i eth0 -j ACCEPT
-A PREROUTING -s 200.201.173.68/32 -i eth0 -j ACCEPT
-A PREROUTING -d 200.201.169.69/32 -i eth0 -j ACCEPT
-A PREROUTING -s 200.201.169.69/32 -i eth0 -j ACCEPT
-A PREROUTING -d ! 200.201.174.207/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 200.201.173.68/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 200.201.169.69/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 2631 -j ACCEPT
-A PREROUTING -p tcp -m tcp --sport 2631 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 200.201.173.68/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.9/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.5/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.6/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.7/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.8/32 -j MASQUERADE
-A POSTROUTING -s 189.10.17.10/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Aug 15 10:41:48 2008
Boas..... baseado nestes vários artigos falando sobre a caixa e sua conecTITICAvidade criei um scriptzinho.... espero que ajude a vc´s
só usem o seguinte link pra acessar o prompt da conexão segura:
http://cmt.caixa.gov.br/nova (graças ao nosso amigo micato)
http://www.vivaolinux.com.br/contribuir/scripts/verScript.php?codigo=3523
abaixo meu squid-save de acordo com as dicas e de acordo com o meu script pra vc´s analizarem. Aqui está funcionando.
# Generated by iptables-save v1.4.0 on Fri Aug 15 10:41:48 2008
*filter
:INPUT ACCEPT [20852:10345331]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25123:11455548]
-A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT
-A FORWARD -s 200.201.173.68/32 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.173.68/32 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.188.201.153/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 200.188.201.153/32 -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.173.68/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 200.201.173.68/32 -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 201.11.159.8/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.9/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.5/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.6/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.7/32 -p tcp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 2631 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8081 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8017 -j ACCEPT
COMMIT
# Completed on Fri Aug 15 10:41:48 2008
# Generated by iptables-save v1.4.0 on Fri Aug 15 10:41:48 2008
*nat
:PREROUTING ACCEPT [545:57717]
:POSTROUTING ACCEPT [4:240]
:OUTPUT ACCEPT [1214:72840]
-A PREROUTING -d 200.201.173.68/32 -i eth0 -j ACCEPT
-A PREROUTING -s 200.201.173.68/32 -i eth0 -j ACCEPT
-A PREROUTING -d 200.201.169.69/32 -i eth0 -j ACCEPT
-A PREROUTING -s 200.201.169.69/32 -i eth0 -j ACCEPT
-A PREROUTING -d ! 200.201.174.207/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 200.201.173.68/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 200.201.169.69/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 2631 -j ACCEPT
-A PREROUTING -p tcp -m tcp --sport 2631 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 200.201.173.68/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.9/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.5/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.6/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.7/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.8/32 -j MASQUERADE
-A POSTROUTING -s 189.10.17.10/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Aug 15 10:41:48 2008
[90] Comentário enviado por verovan em 29/08/2008 - 09:51h
olá pessoal,
também estou enfrentando problemas com esta tal Conectividade Social, isso ja me deu muito trabalho antes, mas depois de pesquisar
consegui resolver, porém meu problema é o seguinte:
quando eu consegui resolver eu usava o proxy tranparent, usando os mesmo passos e regras deste artigo estava resolvi, porém
depois de uma mudança na estrutura o proxy passou a ser autenticado e aí minha dor de cabeça voltou, com um detalhe que a
autenticação é feita atravéz dos usuários de um PDC (windows). Agora não funciona nem com reza brava, ja estou tentando a algumas
semanas e não vai simplesmente não ta dando com proxy autenticado.
olá pessoal,
também estou enfrentando problemas com esta tal Conectividade Social, isso ja me deu muito trabalho antes, mas depois de pesquisar
consegui resolver, porém meu problema é o seguinte:
quando eu consegui resolver eu usava o proxy tranparent, usando os mesmo passos e regras deste artigo estava resolvi, porém
depois de uma mudança na estrutura o proxy passou a ser autenticado e aí minha dor de cabeça voltou, com um detalhe que a
autenticação é feita atravéz dos usuários de um PDC (windows). Agora não funciona nem com reza brava, ja estou tentando a algumas
semanas e não vai simplesmente não ta dando com proxy autenticado.
[91] Comentário enviado por removido em 28/10/2008 - 15:33h
pqp, essa caixa é foda, perdi a cabeça liguei varias vezes, liberei e fiz de tudo, nada dava certo, pra depois de umas 30 X ligando, me falaram que o sistema da caixa está intermetente, e está com quedas na cone segura , fiquei loco...
só lamento o sistema da pqp!!
pqp, essa caixa é foda, perdi a cabeça liguei varias vezes, liberei e fiz de tudo, nada dava certo, pra depois de umas 30 X ligando, me falaram que o sistema da caixa está intermetente, e está com quedas na cone segura , fiquei loco...
só lamento o sistema da pqp!!
[92] Comentário enviado por lm em 05/12/2008 - 16:52h
Bom pessoal aqui na empresa estamos com dificuldades com esta conectividade social.
Não funciona nas máquinas onde deveriam. Na máquina da mulher do DP funcionava, mas no começo do mês do nada começou a dar uma mensagem de erro na hora de logar referente a autalização da chave ou coisa parecida, inexpliavel pois funcionava bem até um tempo atrás e depois parou, e só na máquina dela.
Será que alguém pode ajudar, não vou mudar nenhuma regra no servidor pois está funcionado e trocar a máquina dela seria uma manobra dificultosa agora alguém tem uma sugestão.
Bom pessoal aqui na empresa estamos com dificuldades com esta conectividade social.
Não funciona nas máquinas onde deveriam. Na máquina da mulher do DP funcionava, mas no começo do mês do nada começou a dar uma mensagem de erro na hora de logar referente a autalização da chave ou coisa parecida, inexpliavel pois funcionava bem até um tempo atrás e depois parou, e só na máquina dela.
Será que alguém pode ajudar, não vou mudar nenhuma regra no servidor pois está funcionado e trocar a máquina dela seria uma manobra dificultosa agora alguém tem uma sugestão.
[93] Comentário enviado por Ricardo Camara em 09/05/2009 - 01:39h
Vou apresentar este artigo e demais comentários para o pessoal de TI lá da empresa onde trabalho. Existe a idéia de trabalharmos com Linux mas por enquanto só está valendo para os servidores. O problema é que a própria Caixa informa que seus programas SEFIP e Conectividade Social são aplicativos exclusivos para Windows.
Vou apresentar este artigo e demais comentários para o pessoal de TI lá da empresa onde trabalho. Existe a idéia de trabalharmos com Linux mas por enquanto só está valendo para os servidores. O problema é que a própria Caixa informa que seus programas SEFIP e Conectividade Social são aplicativos exclusivos para Windows.
[94] Comentário enviado por gorke em 06/08/2009 - 11:51h
Muito Bom. Parabéns.
Passei por isso a um tempo atrás e penei para resolver.
Fiz tudo que está aí. Pena que na época não tinha esse post.
O que a Caixa, e outras empresas deveriam fazer, como Bradesco e Nasajon, era deixar de ter essa visão bitolada, e criar sistemas multiplataformas.
Hoje tenho que manter uma máquina windows com Administrador logado para usar o Sistema da Nasajon.
Outra máquina windows para usar o Bradesco Internet Empresa.
O servidor de cameras de segurança, por ser Geovision, tem que ser windows, e os clientes também, pois não existe driver para linux ainda.
É o provedor de serviços que tem que se adequar ao cliente, e não o contrário.
Abraços
Muito Bom. Parabéns.
Passei por isso a um tempo atrás e penei para resolver.
Fiz tudo que está aí. Pena que na época não tinha esse post.
O que a Caixa, e outras empresas deveriam fazer, como Bradesco e Nasajon, era deixar de ter essa visão bitolada, e criar sistemas multiplataformas.
Hoje tenho que manter uma máquina windows com Administrador logado para usar o Sistema da Nasajon.
Outra máquina windows para usar o Bradesco Internet Empresa.
O servidor de cameras de segurança, por ser Geovision, tem que ser windows, e os clientes também, pois não existe driver para linux ainda.
É o provedor de serviços que tem que se adequar ao cliente, e não o contrário.
Abraços
[95] Comentário enviado por pardalz em 24/11/2009 - 10:06h
Caro Xxoin estou utilizando sua dica para fazer com que o conectividade funcione aqui.. so preciso que vc me esclareça umas coisas.
A dica funciona para o programa instalado no computador ou so para o site?
$LOCAL=Interface Interna?
$IP_ext=Interface Externa?
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.173.68 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.166.200 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.204 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.207 -j ACCEPT
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.173.68 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.166.200 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.204 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.207 -j SNAT --to $IP_ext
Desde ja agradeço pela antenção.
Caro Xxoin estou utilizando sua dica para fazer com que o conectividade funcione aqui.. so preciso que vc me esclareça umas coisas.
A dica funciona para o programa instalado no computador ou so para o site?
$LOCAL=Interface Interna?
$IP_ext=Interface Externa?
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.173.68 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.166.200 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.204 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.207 -j ACCEPT
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.173.68 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.166.200 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.204 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.207 -j SNAT --to $IP_ext
Desde ja agradeço pela antenção.
[96] Comentário enviado por fabio_tecnologo em 23/12/2009 - 14:28h
Para quem trabalha com PROXY MARCADO, e a porta 80 está bloqueada:
#ACL Conectividade Social e Conexão Segura CEF
acl conectividade_ip dst "/etc/squid/conectividade_ip"
acl conectividade_domain dstdomain "/etc/squid/conectividade_domain"
>>>> SÃO AS PRIMEIRAS REGRAS A SEREM APLICADAS NO SQUID <<<<
#Nao permite fazer cache para Conectividade Social e Conexão Segura CEF
no_cache deny conectividade_ip
no_cache deny conectividade_domain
always_direct allow conectividade_ip
always_direct allow conectividade_domain
#Libera acesso para Conectividade Social e Conexão Segura CEF
http_access allow rede_local conectividade_ip
http_access allow rede_local conectividade_domain
### Criar os arquivos ###
/etc/squid/conectividade_ip
200.201.173.0/24
200.201.174.0/24
/etc/squid/conectividade_domain
.caixa.gov.br
--------------------------------------------------------------------------------------------
Créditos:
Danilo M. Cabreira
Fábio R. Hernandes
Para quem trabalha com PROXY MARCADO, e a porta 80 está bloqueada:
#ACL Conectividade Social e Conexão Segura CEF
acl conectividade_ip dst "/etc/squid/conectividade_ip"
acl conectividade_domain dstdomain "/etc/squid/conectividade_domain"
>>>> SÃO AS PRIMEIRAS REGRAS A SEREM APLICADAS NO SQUID <<<<
#Nao permite fazer cache para Conectividade Social e Conexão Segura CEF
no_cache deny conectividade_ip
no_cache deny conectividade_domain
always_direct allow conectividade_ip
always_direct allow conectividade_domain
#Libera acesso para Conectividade Social e Conexão Segura CEF
http_access allow rede_local conectividade_ip
http_access allow rede_local conectividade_domain
### Criar os arquivos ###
/etc/squid/conectividade_ip
200.201.173.0/24
200.201.174.0/24
/etc/squid/conectividade_domain
.caixa.gov.br
--------------------------------------------------------------------------------------------
Créditos:
Danilo M. Cabreira
Fábio R. Hernandes
[97] Comentário enviado por bfw-ipu em 05/01/2010 - 20:34h
Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Vlew [34] Comentário enviado por lero em 04/01/2006 - 11:13h:
Depois de sofrer muito! aff! funcionou!! do mesmo jeitim!
Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Vlew [34] Comentário enviado por lero em 04/01/2006 - 11:13h:
Depois de sofrer muito! aff! funcionou!! do mesmo jeitim!
[98] Comentário enviado por pardalz em 08/01/2010 - 07:47h
[97] Comentário enviado por bfw-ipu em 05/01/2010 - 20:34h:
Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Vlew [34] Comentário enviado por lero em 04/01/2006 - 11:13h:
Depois de sofrer muito! aff! funcionou!! do mesmo jeitim!
Funcionou para squid autenticado?? o.O se sim.. bejo na boca!
[]'z
[97] Comentário enviado por bfw-ipu em 05/01/2010 - 20:34h:
Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
Vlew [34] Comentário enviado por lero em 04/01/2006 - 11:13h:
Depois de sofrer muito! aff! funcionou!! do mesmo jeitim!
Funcionou para squid autenticado?? o.O se sim.. bejo na boca!
[]'z
[99] Comentário enviado por luivilella em 09/08/2010 - 10:27h
Pessoal fiz de um geito mais simples, no meu caso uso o squid3:
acl sitesnocache url_regex -i "/etc/squid3/sitesnocache"
Coloquei acima das minhas http_access
no_cache deny sitesnocache
e no /etc/squid3/sitesnocache
coloquei
www.receita.fazenda.gov.br/
folhainvest.folha.com.br/
cmt.caixa.gov.br
Funciona normal
ops: Desculpe ja tinha sido falado isto:
Comentário enviado por fabio_tecnologo em 23/12/2009 - 14:28h:
Pessoal fiz de um geito mais simples, no meu caso uso o squid3:
acl sitesnocache url_regex -i "/etc/squid3/sitesnocache"
Coloquei acima das minhas http_access
no_cache deny sitesnocache
e no /etc/squid3/sitesnocache
coloquei
www.receita.fazenda.gov.br/
folhainvest.folha.com.br/
cmt.caixa.gov.br
Funciona normal
ops: Desculpe ja tinha sido falado isto:
Comentário enviado por fabio_tecnologo em 23/12/2009 - 14:28h:
[100] Comentário enviado por jvdrum em 11/03/2011 - 11:48h
Pessoal que estiver com o problema "Troca de chaves falhou!"
Vc deve verificar se existe algum programa usando a porta 80 ou 8080 no seu computador.
Vc pode fazer isso usando o programa system explorer (http://systemexplorer.net/) na aba connections vc consegue ver as portas que estão sendo usadas pelo seu pc (Ex.: ":80").
no meu caso era o proprio internet explorer, quando deixava ativada as opçoes de proxy do navegador no meu cador (Detectar automaticamente as configuraçoes) o navegador estabelecia uma conexão com o servidor e bloqueava.
Resumindo:
- Marque todas as opçoes de javaVM (Tres opçoes)
- Desmarque todas as opçoes de "Configuraçoes da lan"
e Pronto!
Abrass
Pessoal que estiver com o problema "Troca de chaves falhou!"
Vc deve verificar se existe algum programa usando a porta 80 ou 8080 no seu computador.
Vc pode fazer isso usando o programa system explorer (http://systemexplorer.net/) na aba connections vc consegue ver as portas que estão sendo usadas pelo seu pc (Ex.: ":80").
no meu caso era o proprio internet explorer, quando deixava ativada as opçoes de proxy do navegador no meu cador (Detectar automaticamente as configuraçoes) o navegador estabelecia uma conexão com o servidor e bloqueava.
Resumindo:
- Marque todas as opçoes de javaVM (Tres opçoes)
- Desmarque todas as opçoes de "Configuraçoes da lan"
e Pronto!
Abrass
[101] Comentário enviado por andersondantas em 21/10/2011 - 15:49h
Parabéns Vertão!!! To quebrando a cabeça aqui tb. Valew pela ajuda!
Parabéns Vertão!!! To quebrando a cabeça aqui tb. Valew pela ajuda!
[102] Comentário enviado por chaplinux em 27/10/2011 - 19:44h
Pelo Debian Squeeze teve uma pequena mudança. a posicao do parametro de exclamacao (!)
agora ficou antes do -d.
Ex:
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
Pronto! Funcionando!
Pelo Debian Squeeze teve uma pequena mudança. a posicao do parametro de exclamacao (!)
agora ficou antes do -d.
Ex:
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
Pronto! Funcionando!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.395 pts -
Fábio Berbert de Paula
2° lugar - 50.839 pts -
Buckminster
3° lugar - 17.543 pts -
Mauricio Ferrari
4° lugar - 15.308 pts -
Alberto Federman Neto.
5° lugar - 13.919 pts -
Diego Mendes Rodrigues
6° lugar - 13.622 pts -
Daniel Lara Souza
7° lugar - 12.989 pts -
Andre (pinduvoz)
8° lugar - 10.372 pts -
edps
9° lugar - 10.477 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.384 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
