firewall

pessoal alguem pode me ajuda de como fazer com q os programas de receita federal, conectividade social mande seus dados sem q o proxy barre isso, agradeco se alguem puder me ajudar ....

gostaria de fazer isso pelo firewall em vez do proxy

http://www.google.com.br/custom?domains=www.vivaolinux.com.br&sitesearch=www.vivaolinux.com.br&a...

Boa tarde kara, olha, utilizo iptables e proxy transparente, tive este stress tambem no começo, resolvi este pepino usando a seguinte regra no final do script de firewall, para o conectividade social:

iptables -t nat -A PREROUTING -s $REDEINTERNA -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128,

E isso mesmo que vcs estão pensando, liberei a toda esta faixa de ips, isso foi algo emergencial, para evitar o stress do pessoal do rh, contudo ainda estou em busca de uma alternativa melhor, mas, garanto que funciona.

Quanto aos da Receita federal, ou qualquer outro orgao governamental, e so liberar os dominios *.gov.br no squid, que nao tem stress.

amigo vou testa depois te falo obrigado pela dica

neste caso acima, vc ta liberando um range enorme de endereço..

Eu faço de uma forma mais segura, monitoro a conexão dos softwares e libero as portas e ips especificos...

Também acho que seria mais seguro sniffar o tráfego da máquina cliente só com o programa da receita aberto e verificar qual IP ele tenta acessar. Assim você não precisa liberar um range tão grande de IP's. Imagino que com Wireshark ou TCPDump você consiga fazer isso sem muita dor de cabeça.

Talvez este texto ajude vocês: http://www.guiadohardware.net/tutoriais/wireshark/

[]'s
Pedro Pereira
www.pedropereira.net

Dessa forma funciona:

iptables -A FORWARD -s IP_DA_ESTACAO -i eth1 -d 0/0 -o eth0 -j ACCEPT
iptables -A FORWARD -s 0/0 -i eth0 -d IP_DA_ESTACAO -o eth1 -j ACCEPT

se vc colocar as regras de conectividade on-line na chain forward, provavelmente nao ira funcionar. Pq pela ordem de leitura das chain, a chain PREROUTING que cria o redirecinamento para o proxy, ira rotear o mesmo, como o forward tem a regra que libera a maquina se comunicar, sua requisição já foi mandada para o proxy...

vc tem que liberar/rotear direto na CHAIN PREROUTING.

um exemplo seria

iptables -t nat -A PREROUTING -i eth1 -d IP_Conectividade -p tcp --dport 80 -j ACCEPT

Esta regra vem antes da regra que direciona o acesso para o proxy...


flw;;

pessoal to sem tempo pra testa quando eu puder vou testa ai falo pra vc´s agradeco a dica valeu mesmo