Squid + iptables + NFe [RESOLVIDO]

Prezados amigos participante do Viva o Linux.

Estou tendo uma dificuldade em relação a servidor squid.

Na empresa em que trabalho, ultilizamos um software que emiti Nota Fiscal Eletrônica.

Quando as maquinas clientes estao conectado a internet atravez do switch. Emitem a NFe normalmente. Mas quando ligo a rede toda passando pelo Servidor. Da erro.. não consegue conexão com o servidores responsaveis. Se eu nao me engano utilizam as portas 80 e 443.

ultilizei o script abraixo, para liberar todo tipo de acesso.

#!/bin/sh

IPT="/sbin/iptables"
REDE_INTERNA=192.168.1.0/24

$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
#$IPT -X

# These will setup our policies.
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE




mesmo com esse script de liberação, a emissao da NFe. nao funciona.

Gostaria muito de uma força ai. Meus serviços estão parado em decorrer desse contratempo.

Algme pode dar uma Mão bem grande ai?!
Obrigado

Uso Ubuntu 9.10
Placa Rede interna 192.168.1.*
Placa Modem 10.1.1.*

acho que você vai ter que fazer redirecionamento de portas, e liberação de endereços para os servidores de seu estado, e para o sistema de scan que assume quando o os servidores do estado para por algum motivo.

Meu caro amigo riesdra...
o proprio sistema que usamos, ja faz uma checagem. mas no meu caso ele tenta se conectar no nfe.sefaz.rs.gov.br mesmo eu sendo de rondonia (ro).. se ao mesmo tempo eu retirar o servidor e religar as maquinas clientes diretamente no switch, eles enviam normalmente. entao creio eu que nao seria o caso do sistema estar fora do ar.

no caso da liberação, me corrija se eu estiver errado...
com o script que eu fiz, nao seria para deixar a navegação livre? sem restrições nenhuma?
Obrigado pela compreensão.

O problema não tá sendo na liberação, pois está ACCEPT para todos, mas nas regras d NAT q vc deverá fazer. Eu não sei como funciona o sistema, mas é bom estudar como é feito a conexão através d um sniffer (wireshark d preferência) e estudar o caso. Depois disso, d uma resposta pra gente q faremos umas regras d NAT pra vc.

se não me engano, a máquina vai fazer uma chamada de envio de pacotes, ai o servidor o recebe e retorna como aprovado ou rejeitado por algum problema na nota, agora como acertar isto eu não sei.
mas se quando você deixa no switch passa normal, é uma regra no servidor que não esta liberando está conexão.

Se eu tivesse esse software, eu poderia testar pra vcs...

Bom dia a todos, por enquanto obrigado pela ajuda de vocês.. estou estudando soluções ainda, e sei que encontrarei com vocês aqui.

andei dando uma olhada, sera que mesmo com a regra que apliquei, como citado acima, o que me dizem se eu add a regra copiada ai.

# Libera o tráfego de pacotes da rede interna para a rede externa na porta 443 (ssl)
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 443 -j ACCEPT

??

Obrigado por enquanto. e tenham uma otima semana.

André Petinati

meu caro amigo Renato Pacheco..

Infelizmente nao iria funcionar ai com vc, pois ele é liberado somente para a rede interna aqui da empresa para ativação. mas caso tenha interesse em dar uma olhada da mesma maneira, posso disponibilizar para vc.

Obrigado por mais essa força.

resolvido o problema.

firewall.sh

#!/bin/sh

IPT="/sbin/iptables"
REDE_INTERNA=192.168.1.0/24
RECEITA1=200.233.3.103/32
RECEITA2=200.233.3.104/32
TESTE=192.168.1.199/32
SERV_SISTEMA=192.168.1.200/32

$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
#$IPT -X

$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

#$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA1 -j LOG --log-prefix "** RECEITA1 **"
$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA1 -j MASQUERADE
#$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA2 -j LOG --log-prefix "** RECEITA2 **"
$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA2 -j MASQUERADE
~

pra mim deu certo essas regras,
iptables -t nat -A PREROUTING -p tcp -d 201.55.62.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -d 201.55.62.0/24 --dport 80 -j ACCEPT


rs, apesar de o topico ser antigo.

abraços....

Esse ip é o da receita federal de que estado? preciso liberar aqui para o RS

Meu caro amigo lucascatani

seu eu nao me engano, todos sao direcionado para o mesmo servidor. Tente usar esse ip citado acima, que bem possivel que funcione.


forte abraço.

Estamos aqui para qualquer duvida.

andré Petinati