Resolvendo problemas com o Conexão Segura da CAIXA

Esse artigo fala sobre minha experiência e como resolvi o problema do Conexão Segura, um site da CAIXA para retirar extratos de FGTS. Não abordarei o programa Conectividade Social em si, mas é possível que a regra de firewall apresentada aqui resolva possíveis problemas com ele também.

[ Hits: 761.110 ]

Por: Everton da Silva em 16/05/2005


Problema 1: Firewall



Pois bem, em um material disponível no site da CAIXA eles dizem para aplicar uma regra de ipfwadm no servidor, tipo uma coisa bem pré-histórica mesmo, mas é claro que meu servidor não tem ipfwadm. Com a ajuda de alguns fóruns, principalmente do pessoal do VOL, conseguimos "traduzir" a regra para iptables. Depois de várias e várias tentativas, a regra que resolveu o problema foi:

# iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port porta_do_proxy

Onde:
  • ethx - é a placa de rede do servidor conectada à rede interna;
  • porta_do_proxy - é a porta usada pelo proxy do servidor, no caso do Squid geralmente é a 3128;
  • 200.201.174.207 - IP do site da CAIXA.

Basicamente, o que essa regra faz é desviar todo tráfego da porta 80, exceto àqueles cujo destino é o site da CAIXA (200.201.174.207). Assim quando esse site é acessado, não é feito cache no proxy, fazendo acesso direto.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Mensagem de erro
   3. Problema 1: Firewall
   4. Problema 2: Java
   5. Problema 3: Porta bloqueada
   6. Conclusões
Outros artigos deste autor

Instalando o DBDesigner no Linux

Mostrar nome da música no aMSN

Controlando acesso às páginas do Apache na rede interna

Leitura recomendada

DeVeDe - Produzindo discos de vídeo

Configurando sua gravadora no Linux

Avaliando Ubuntu 7.10 Gutsy Gibbon (Ubuntu Studio)

eViacam no Ubuntu 10.10 - Acessibilidade: Movendo o mouse com movimentos da cabeça

Conhecendo o POV-Ray

  
Comentários
[1] Comentário enviado por fabio em 16/05/2005 - 12:38h

Muito bom! Essa semana um cliente me pediu solução pra isso, seu artigo me poupou e muito o tempo de pesquisa. Meus parabéns!

[]'s,
Fábio

[2] Comentário enviado por bestlinux em 16/05/2005 - 13:13h

Parabéns, ótimo artigo :-)

Espero que resolva de uma vez por todas esse problema em relação ao Conexão Segura. Este problema já apareceu diversas vezes nos fóruns Linux. Agora ficou mais fácil para solucionar as duvidas do pessoal :-)

Falow !


[3] Comentário enviado por gigiow em 16/05/2005 - 14:31h

Muito bom!, a um tempo atrás me deparei com este problema, momentaneamente consegui usando esta regra que acabei removendo depois:
iptables -t nat -I PREROUTING -i ethx -m tcp -p tcp -d <ip> --dport 80 -j ACCEPT

Mas vou registrar aqui a minha indgnação: A caixa deve ter o programador mais amaldiçoado da face da terra! os caras são uns jacus, criaram conexão ssl na porta 80. Também vou começar a inventar coisas como conexões de web pela porta de email, email criptografado por telnet e site seguro por vnc.

Se a gente fica resolvendo esses problemas sem reclamar, a gente esta sendo conivente. Tenho que dizer O PROBLEMA É DA CAIXA!

A caixa tem a maior rede de windows NT do mundo, a um tempo atrás só era possível acessar a caixa pelo internet explorer!, A caixa até chegou a lançar a versão do kurumin deles, mas alguem ficou sabendo????

Pessoal desculpe se eu escrevi besteira!
A minha intenção não é agredir, mas reclamar!

obrigado!

[4] Comentário enviado por reimassupilami em 16/05/2005 - 15:29h

gigiow, realmente cara, você tem razão... Não entendo também como eles fazem uma aplicação que funcione dessa maneira, é um caos de portas, hehehe...

Aquele manual que tem no site é bem antigo... Outro dia conheci um cara que trabalhava na caixa, foi ele que fez aquele manual... Ele me disse que antes de sair de lá ele tinha apresentado a atualização do manual (há quatro anos atras), mas até hoje nem mexeram... Estranho né?

[5] Comentário enviado por Xxoin em 16/05/2005 - 16:11h

Não desmerecendo o ótimo artigo, mas com o objetivo de contribuir com a Comunidade:
- A configuração abordada no artigo, não funciona para squid com autenticação. Neste caso utilize as regras abaixo:


# Acesso ao Conectividade Social e SEFIP (host - cmt.caixa.gov.br):
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.173.68 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.166.200 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.204 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.207 -j ACCEPT
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.173.68 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.166.200 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.204 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.207 -j SNAT --to $IP_ext

# Ou -j MASQUERADE

[6] Comentário enviado por reimassupilami em 16/05/2005 - 16:23h

owpa, ótima... blz Xxoin, realmente eu esqueci de comentar que fiz tudo isso usando proxy transparente, portanto não saberia dizer como seria no autenticado....

[7] Comentário enviado por wberbert em 16/05/2005 - 16:43h

No meu caso ainda não funcionou... dá erro de troca de chaves, se alguem puder publicar um firewall configurado seria de grande ajuda.

[8] Comentário enviado por reimassupilami em 16/05/2005 - 16:50h

weberbert, o seu caso é proxy transparente? vc verificou os outros dois ítens: jvm e programas usando a porta 80?

[9] Comentário enviado por shocker em 16/05/2005 - 16:58h

Eu sabia que esta novela iria virar um artigo!!! :P
Parabéns, ficou excelente e muito bem detalhado!

[]'s
Alan Cota.

[10] Comentário enviado por Xxoin em 16/05/2005 - 19:32h

Boa tarde wberbert.

Libere a saída com destino à porta 2631 e aceite a resposta.


CAIXA ECONÔMICA FEDERAL:

http://www.caixa.gov.br = 200.201.166.200
http://cmt.caixa.gov.br = 200.201.173.68 --> programa "Conectividade"

Conectividade Social:
200.201.174.207:80
Desabilitar java_sun nas propriedades do IE e habilitar JVM

Programa Sefip:
200.201.174.204:2631
Desabilitar java_sun nas propriedades do IE e habilitar JVM

Esta dica de desabilitar java_sun e habiltar JVM nas propriedades do IE é do Suporte da Caixa.

[11] Comentário enviado por edvan.barros em 16/05/2005 - 20:59h

Olá reimassupilami, em 1º lugar, para vc que não sabe ou melhor para as pessoas que não sabem sobre o Help Desk da Caixa, o mesmo é Terceirizado, não são funcionários Caixa, vc se equivocou em generalizar que "todo" o Help Desk não conchece o Linux... Claro ondem tem mais de 500 Funcionários, tem uma grande parte que não sabe sobre o Linux...

Sobre o Java, realmente o Conectividade Social Empregador (Conexão Segura) só acessa com a Máquina Virtual Java da Microsoft e com o Navegador IE mesmo. O Aplicativo não acessa com outros Navegadores e nem com o Java da Sun.

Help Desk funciona assim mesmo, eles dão a solução, mas não fazem a Solução junto com o cliente, pois como vc sabe, ficar configurando a Rede de empresas é muito complicado, além do mais por telefone. Por isso que existem nós, Adm. de Redes.

E a solução que vc deu é essa aí mesmo! Muito Bom!

Valeu!

[12] Comentário enviado por edvan.barros em 16/05/2005 - 21:04h

Xxoin....

Conectividade Social (Envia RE's do Sefip)
Porta: 2631
Protocolo: TCP
IP: 200.201.174.204

Conectividade Social Empregador (Conexão Segura)
Porta: 80 (Porta Criptografa, Exemplo: parametros da 443)
Protocolo: TCP
IP: 200.201.174.207
OBS.: Habilitado o Java da Microsoft.

Todos os 02 aplicativos tem que usar um Proxy Transparente ou NAT.



[13] Comentário enviado por peregrino em 16/05/2005 - 21:22h

kkkkkkkkkkkkkk cara quando tive problemas com o conectividade social eu tambem tive que recorrer a esse tutorial podre deles aii tambem não aguentei e procurei o forum mas quem me mando as regrasmesmo foi um amigo do icq mas com esse firewall fico muito bom parabens
mas em vez de criticar o tutorial da caixa que na verdade é uma merda mesmo que tal fazermos um e evnviar para eles

falow

[14] Comentário enviado por lacierdias em 16/05/2005 - 23:48h

Meu amigo isso não é um programa é um castigo uma maldição...Deus me livre disso espero nunca ter uma pane assim..rsrrs
Valeu pelo artigo ficou exelênte...

[15] Comentário enviado por power_d0wn em 17/05/2005 - 08:47h

Só complementando com meus 2 cents, no meu caso foi necessário todas as vezes que fossem utilizar os aplicativos da caixa, desabilitar as configurações de proxy do IE. =)
Abraços.

[16] Comentário enviado por reimassupilami em 17/05/2005 - 09:39h

edvan.barros, que isso cara... eu não disse nada sobre todo Help Desk, apenas disse que o cara que me atendeu nem sabe o que é Linux... ehhehe... mas tudo bem, valeu ae pelos coments...

peregrino, entaum cara, derepente até rola mesmo montarmos um tutorial completo e VENDER pra eles, hehehe... mas como eu disse, parece que até já foi apresentada uma nova versão mas não aprovaram até hoje...

[17] Comentário enviado por mast3r em 13/06/2005 - 18:27h

Ah que mane ficar defendendo eles que nada, todos os administradores de redes ja falaram com a caixa e leram o "MANUEL" e nunca da em nada, realmente ja tinha ligado pra lá umas 20 vezes e todos sem excessao todos que eu falei nao conheciam nada de linux e acabava em nada, agora consegui so que tive q tirar o proxy e eu uso autenticacao de usuarios vo testar o post de cima pra ver se funciona, e agora tem outra em modems speedstream roteado tb nao funciona

[18] Comentário enviado por reimassupilami em 14/06/2005 - 08:14h

realmente, a grande maioria do pessoal que trabalha com redes, e que eu já conversei, já teve alguma experiência parecida, lutando com a CAIXA, heehhehe...

[19] Comentário enviado por ash em 30/09/2005 - 10:03h

Muito útil seu artigo amigo ! Estava com problemas no java havia meses e finalmente consegui resolver graças ao seu artigo . Muito grato. Abraços ...

[20] Comentário enviado por LostGirl em 31/10/2005 - 09:08h

Cara...

antes eu usava o conectiva com essa mesma regra... dae instalei o debian e não deu certo... mas ai eu fui olhar direitinho e eu tinha colocado uma regra de porta udp para proxy transparente também... ce acredita que o programa fdp da caixa num confunde a porta? *Omg*

Se eu achasse o programador eu mandava matar =/ q saco!

[21] Comentário enviado por PCMasterPB em 05/11/2005 - 22:16h

A caixa deveria rebatizar o nome, ao invés de "Conexão Segura Caixa" deveria estar "Conexão Dor-de-Cabeça Caixa". Que programinha mais sux eu hein ...

[22] Comentário enviado por hernandi em 07/11/2005 - 09:04h

Mas que coisa. O depto de TI da caixa nao se coça para atualizar aquela ...... de programa. Tambem passei pelo mesmo problema, mas na epoca a solução foi liberar todo o trafego para a maquina interna. O mais incrivel é que a Microsoft já anunciou a um tempão que nao vai mais manter seu JVM, e é para começar a utilizar a maquina JRE, da SUN e atualizarem seus programas que rodam sob esta plataforma MS.
Mas o pessoal da caixa não se toca de em ajeitar aquele programa de conectividade.
Ja viu né.
O site do BB que agora apena aceita o Java da SUN, principalmente depois que eles, na ultima FISH, se nao estou enganado(corrijam-me), foram os patrocinadores tiveram que rapidinho corrigir seus sistemas do banco online para funcionarem sem problemas pelo JRE, que antes disto só funcionavam pelo Microsoft Java VM tambem; lembro-me de passar poucas e boas por causa do BB.0 Mas eles, do BB fizeram tudo funcionar bonitinho, mas a caixa persiste a mais de 1 ano no mesmo problema. Eu fico indignado com estas sistuações.

[23] Comentário enviado por reimassupilami em 07/11/2005 - 10:12h

é, realmente causa indignação mesmo... eu conheci no irc o cara que trabalhou na elaboração desse material da caixa... faz coisa de 5 anos ja q ele saiu de lá, e antes de sair tinha feito um documento revisado que até hoje não foi aprovado... q coisa hein... hehehee...

[24] Comentário enviado por foca em 07/11/2005 - 14:56h

Otimo Artigo!

Como o negocio e contribuir eu tive que em alguns casos alterar o IP de origem para pegar tambem toda a rede desse IP ficando assim 200.201.174.0/24 para funcionar. Ate hoje não sei entendi o por que sendo que em outros lugares funcinou como esta descrito no artigo.

[]'s

[25] Comentário enviado por mtolledo em 18/11/2005 - 11:05h

estou com o problema de troca de chaves falhou, alguem sabe o motivo

[26] Comentário enviado por lazarolima em 18/11/2005 - 12:37h

Putz

Já fiz isso e não consigo conectar ainda na caixa e uso proxy transparente sem autenticação.

Vc pode me ajudar com mas alguma coisa..

[27] Comentário enviado por mtolledo em 18/11/2005 - 22:01h

Caro amigo lazarolima - estava com problemas parecido com o seu, depois de seguir essas regras acima, o meu tbm naum funfo, mais depois de quebrar um pouco a cabeca, descobri q tinha programa rodando na porta 80, o negocio e fechar tu quanto e programa q utilize a porta 80 na maquina cliente, caso vc use XP, feche anti virus como avast, msn, ou outro de troca de mensagem , p2ps da vida, IIS , apache, entre outros, feito isso, manda bala que funfa sim.
Abracos t+
mtolledo

[28] Comentário enviado por reimassupilami em 21/11/2005 - 08:31h

pessoal, no artigo, além das regras de firewall, eu falei tambem sobre essa questão d aporta 80... vejam lá...

[29] Comentário enviado por Renan_ em 21/11/2005 - 17:58h

Rapaz, o meu problema aqui é o Java. Eu uso o Galeon e o Firefox como navegador, então nao há como resolver o problema por aqui, certo?
Abraços e aguardo resposta
[]z

[30] Comentário enviado por reimassupilami em 22/11/2005 - 08:23h

cara, infelizmente não tenho notícias de alguém que tenha conseguido acessar isso por outro navegador que não fosse o IE... pelo menos pra isso vai ter q ser feito pelo IE mesmo viu... e da-le java nele, aff... hehe...

[31] Comentário enviado por mtolledo em 23/11/2005 - 00:03h

Po ai ja naum sei mano, mais eles pedem navegador IE.. vai saber né rere......

[32] Comentário enviado por lero em 28/12/2005 - 09:50h

Pelo o Amor de Deus alguém pode me ajudar?Eu uso o IPCop www.ipcop.org com proxy autenticado e não consigo fazer funcionar o conectividade social nem a pau...se alguém souber me da uma luz aê sei q tem fazer nat e o ip da caixa passa por fora, acontece q sou totalmente leigo no assunto


Aguardo contado dos colegas

Abraço

Lero

[33] Comentário enviado por lazarolima em 28/12/2005 - 10:01h

Lero,


Vc tem algum firewall na sua rede?

[34] Comentário enviado por lero em 04/01/2006 - 11:13h

Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.

/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT

Valeu e sucesso a todos

Lero

[35] Comentário enviado por Emerzon em 05/01/2006 - 21:38h

Pessoal, eu tive esse mesmo problema com a caixa, mas no meu caso a coisa foi bem mais complicada.

Se tudo der errado na hora de resolver o problema das chaves, isso pode ajudar.

Eu quebrei muita cabeça com esse mesmo problema, mas acontece que o problema não se tratava de regras no firewall, mas sim a um problema de conectividade do backbone embratel/telemar (os servidores da caixa são conectados a telemar).
Depois de testar tudo, acionei o provedor e tambem depois de muita investigação acionou a embratel.
Conversei pessoalmente com um dos técnicos da embratel, e ele disse que o link embratel-telemar está MUITO saturado e que a Telemar simplesmente ignora os pedidos da Embratel em ampliação do link. E realmente, pelo meu provedor que tinha backbone embratel, eu não conseguia nem sequer pingar o IP da caixa, bastou conectar num iG da vida, funcionou normalmente. (que usa backbone da telefonica).
Com um traceroute, a conexão morria logo ao entrar no 1º roteador da telemar.
Então se o seu provedor for powered by Embratel e nada mais der certo, provavelmente esse é o problema. Infelizmente nao tenho mais o IP do servidor da caixa aqui, mas só fazer um teste simples pingando ele (peça o IP no 0800).
Não sei se conseguiram arrumar o problema atualmente, pois acabei trocando o meu acesso em seguida para Speedy, o que acabou resolvendo isso pra mim.

PS: Foi impossível falar com alguém competente do suporte da caixa sobre esse assunto.

[36] Comentário enviado por reimassupilami em 05/01/2006 - 22:09h

pois é, cada dia tenho mais certeza de que existem diversar formas diferente de resolver isso, porque cada um enfrenta um problema ou um pequeno detalhe bem diferente, hehehe...

mas tá legal, ja deu pra reunir varios casos diferentes aqui hein... se desse coragem até rolava de montar um novo artigo compilando tudo isso, hehehe... quem sabe outra hora...

é isso ae caras...

[37] Comentário enviado por kleber NJ em 27/01/2006 - 17:42h

cara vc´s estão de parabens o artigo me ajudou muito e tenho que frizar que os comentarios tambem, obrigado e espero sempre contar com vc´s

[38] Comentário enviado por noturno em 24/02/2006 - 17:37h

Caramba, é exelente ter uma galera assim, muito bom, com essas dicas tirei a corda do pescoço
Obrigado a todos

[39] Comentário enviado por fiedler em 28/02/2006 - 11:15h

Prezados colegas, já fiz diversas leituras neste tutorial, mais não consigo encontrar nenhuma solução. No começo o sistema da CMT travou o micro aonde eu tentava acessar. Agora neste PC que tem o IP 192.168.1.33 eu setei no IE para ele pegar o proxy 192.168.1.1 porta 3128. Já verifiquei o JVM e está OK, as opções do IE também já foram verificadas e estão OK tbem. Para entenderem um pouco o que eu tenho aqui é, um Servidor Linux com o SO CentOS + Squid e o Modem ADSL é um Dynalink configurado no modo Bridge. Ja verifiquei a porta 80 neste Windows XP e ela também não está sendo utilizada. Sinceramente não sei mais o que fazer. Será que alguém tem o MSN ou algum n° de celular pra poder me ajudar? As configurações do IPTABLES também já foram verificadas, e tentei várias formas repassadas neste site. Mas nenhuma das operações resolveu meu problema.

[40] Comentário enviado por reimassupilami em 01/03/2006 - 08:26h

fiedler, seu squid esta rodando como proxy transparente?

[41] Comentário enviado por fuzisawa em 02/03/2006 - 20:47h

Reimassupilami: preciso fazer o aplicativo funcionar aqui na nossa rede;li todo seu artigo, muito bom ...e também tirei umas dúvidas com um amigo que me mandou todas as regras do iptables q ele usa; surgiu uma dúvida: onde devo inserir a regra, antes de uma regra específica?meu amigo me disse que deve vir antes do redirecionamento para porta do squid... é isto mesmo?

[42] Comentário enviado por reimassupilami em 03/03/2006 - 08:34h

olha, pra fazer separado eu não saberia te explicar... no meu caso, essa regra é a duas coisas: redirecionamento do squid transparente e resolve o problema do conectividade... viu isso?

boa sorte... qualquer coisa posta ae...

[43] Comentário enviado por fuzisawa em 03/03/2006 - 10:04h

entendi...pessoal dá uma ajuda aí...se alguém souber como faço separado ...meu ipt tá assim:

#!/bin/sh
#
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/ip_forward
# INSERINDO MODULOS NO KERNEL
insmod iptable_filter
insmod ipt_REDIRECT
insmod ipt_MASQUERADE
insmod ipt_REJECT
insmod ip_conntrack_ftp
insmod ip_nat_ftp
insmod ipt_LOG
#limpando todas regras existentes
iptables -t nat -F
iptables -F
#ativando mascaramento e input
#portas fechadas virus
iptables -I INPUT -i eth0 -p tcp --sport 445 -j DROP
iptables -I INPUT -i eth0 -p udp --sport 445 -j DROP
iptables -I INPUT -i eth+ -p tcp --dport 445 -j DROP
iptables -I INPUT -i eth+ -p udp --dport 445 -j DROP

iptables -I FORWARD -i eth0 -p tcp --sport 445 -j DROP
iptables -I FORWARD -i eth0 -p udp --sport 445 -j DROP
iptables -I FORWARD -i eth+ -p tcp --dport 445 -j DROP
iptables -I FORWARD -i eth+ -p udp --dport 445 -j DROP


iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 21
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp --dport 20
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -i eth+ -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 20 -i eth+ -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to eth1
iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -d eth1-p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -d eth1 -p tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/2424 -d 0.0.0.0/0 -j ACCEPT
#FIM

posso trocar a regra de redirecionamento pela regra do reimassupilami, certo??? ou fazer uma regra separada que seria como...alguém sabe???

[44] Comentário enviado por reimassupilami em 03/03/2006 - 10:09h

bom, na verdade, e não estiver enganado, a unica regra aí referente ao squid seria:

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

nesse caso vc pode troca-la pela minha... foi isso q eu fiz, antes a minha era assim tambem... de qualquer forma nao custa nada testar, troque a linha e rode novamente as regras... se nao der faça mais um teste: coloque a regra no final...

boa sorte...

[45] Comentário enviado por fuzisawa em 06/03/2006 - 15:50h

oi galera...desculpem....fui dar uma olhada no meu ipt e as regras não são as q postei acima e sim as que segue:

# #

echo "Carregando Firewall"

# Iniciando Modulos
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Limpando Regras
/usr/sbin/iptables -F INPUT
/usr/sbin/iptables -F OUTPUT
/usr/sbin/iptables -F FORWARD
/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t mangle -X
/usr/sbin/iptables -t nat -X

# Nat
/usr/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/usr/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-dest 192.168.1.201
/usr/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

# Filtragem
/usr/sbin/iptables -I INPUT -i eth0 -p tcp --sport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth0 -p udp --sport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth+ -p tcp --dport 445 -j DROP
/usr/sbin/iptables -I INPUT -i eth+ -p udp --dport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth0 -p tcp --sport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth0 -p udp --sport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth+ -p tcp --dport 445 -j DROP
/usr/sbin/iptables -I FORWARD -i eth+ -p udp --dport 445 -j DROP
/usr/sbin/iptables -A FORWARD -m unclean -j DROP
/usr/sbin/iptables -A INPUT -m unclean -j DROP
/usr/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
/usr/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp -s 0/0 -i wlan0 --dport 33435:33525 -j DROP
/usr/sbin/iptables -A INPUT -m state --stat INVALID -j DROP
/usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/usr/sbin/iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --destination-port 3128 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP
/usr/sbin/iptables -A INPUT -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p udp --dport 3456 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p udp --dport 3456 -j ACCEPT

#Ignora pings
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Ignora spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "firewall: inicializando protecao contra spoofing ..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f ; done
echo " concluido"
else
echo "Erro ao iniciar protecao de spoofing ... abortando."
fi

o que eu fiz foi o seguinte:
substitui a minha regra de redirect pela do reimassupilami...
pelo menos agora eu consigo conexão...pelo netstat local na mqn cliente verifiquei isso....antes dava troca de chaves falhou ...agora da msg "Falha ao receber mensagem de troca de chaves do Gateway"


bom...parei antivírus, msn...e repassei as configurações da aplett e vm umas n vezes....de acordo com o q ta no manual...e nada...pode ser um outro serviço usando a porta 80?...como posso me certificar realmente que não tem nenhum outro serviço concorrendo??
help!!!


[46] Comentário enviado por fiedler em 07/03/2006 - 10:38h

desculpem aí. reimassupilami aí vai as configurações do meu firewall. Eu uso proxy transparente, veja abaixo a regra:

$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Já fiz o diabo aqui. Desinstalei antivirtus, e o IIS do Windows XP tambem nao esta ativado, acredito que nao tenha mais nada utilizando a porta 80. Veja se consegues me ajudar.

[47] Comentário enviado por reimassupilami em 07/03/2006 - 11:04h

pow caras, não adianta vcs mandarem o firewall inteiro de vcs aqui, isso só pului os comentários do artigo e não resolve nada, concordam?

o que interessa é só a regra de transparencia do squid, mais nada... é aquela regra que faz o redirecionamento para a porta do squid, geralmente 3128, depende de cada um... troquem ela pela do artigo e façam as adaptações...

boa sorte...

[48] Comentário enviado por fiedler em 07/03/2006 - 11:16h

reimassupilami da uma olhada no meu comentário acima. sinceramente eu acho que é algum ajuste simples no meu rc.firewall deve ser algum caracter, ou alguma regra simples que precisa ser adicionado.

[49] Comentário enviado por fuzisawa em 08/03/2006 - 08:38h

ops...pessoal desculpa.... concordo....é que essa porcaria não funciona...
aí a gente começa a achar que tem algo errado com toda ou parte da configuração do firewall...isso não vai se repetir!!!

[50] Comentário enviado por reimassupilami em 08/03/2006 - 08:46h

fiedler a questão do jvm vc seguiu certinho tambem?

[51] Comentário enviado por fiedler em 08/03/2006 - 14:20h

reimassupilami, eu tinha instalado no micro aquele java da sun. removi ele, e instalei o proprio JVM. apenas para detalhar um pouco mais as configurações. eu utilizo o servidor proxy, com a versão do linux CentOS instalado. no internet explorer nao tenho nenhum proxy com porta habilitada, ele utiliza o proprio gateway do windows. vc nao tem como acessar o servidor, me passar seu email ou algo do genero? aguardo sua resposta.

[52] Comentário enviado por reimassupilami em 08/03/2006 - 14:26h

cara, entao nao sei o que mais pode ser hein, lamento... se tu conseguir alguma coisa posta aki pra gente, vai ser legal...

ma com certeza ainda deve ter algum furo hein, dificil dizer o que pode ser

[53] Comentário enviado por kalkyn em 19/05/2006 - 14:22h

a tempos atras resolvi este problema com esse tutorial, mas agora como estava usando SuseFirewall2 recriei as regras dentro do firewall e funcionou, so que estive com mesmo problema usando autenticação PAM, nao tentei o comentario dos amigos ainda mas ja queria agradecer se funcionar vai ser muito bom que essa porcaria de programa da caixa nao da pal apenas com linux tive problemas tb usando Windows XP e Norton Internet Security, todos barram a imconpetencia da caixa. abraços valew

[54] Comentário enviado por venonc em 23/05/2006 - 14:19h

Colocar a seguinte regra antes do REDIR

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d www.site_direto_sem_proxy.com -j RETURN

Vai fazer que o site seja acesso diretamente dando um bypass no cache, nao passando pelo chain PREROUTING, vi a dica no forum do iptables

[55] Comentário enviado por Tyreon em 11/07/2006 - 19:28h

Vlw!! Me ajudou mto!!

[56] Comentário enviado por Raufbh em 19/07/2006 - 17:53h

Galera mto bom os comentario, mas nao esta funcionando pra mim. Eu uso o shorewall num kurumim 5 e nao consigo fazer essa @@@ funcionar... Traduzi as regras para o shorewall mas ao q td indica nao tive sucesso.
Algum usa shorewall??? Alguem pode me ajudar.???

[57] Comentário enviado por Raufbh em 21/07/2006 - 15:31h

Galera para shorewall basta colocar esta linha.
#conexao segura
DNAT loc dmz:ip_rede_interna tcp 80 - 200.201.174.207



[58] Comentário enviado por linkinman em 21/07/2006 - 18:08h

Dica: para o WINDOWS XP, tem que instalar o JVM e desinstalar o JRE, pois existe algum tipo de conflito!!!! Abraçoossss

[59] Comentário enviado por tardego em 24/07/2006 - 12:21h

Muito obrigado pela dica vcs salvaram o meu emprego.... rsrs

[60] Comentário enviado por tardego em 24/07/2006 - 22:09h

agora o anti-virus avast e o nod32 nas estações não estão atualizando! o que fazer


HELP...

Abraços

[61] Comentário enviado por tardego em 25/07/2006 - 16:26h

Opa galera... para contribuir com a comunidade...
descobri como atualizar o NOD 32 e o Avast

#nod32

/sbin/iptables -t nat -I PREROUTING -p tcp -d 213.215.0.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 82.208.27.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 62.168.97.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 82.165.250.0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 213.215.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 82.208.27.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 62.168.97.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 82.165.250.0 -j ACCEPT

#AVAST

/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.19.162.146 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 209.85.5.41 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.15.227.15 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 70.87.106.130 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 67.19.216.186 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.19.162.146 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 209.85.5.41 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.15.227.15 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 72.32.7.91 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 70.87.106.130 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 67.19.216.186 -j ACCEPT

abraços a todos

[62] Comentário enviado por xxpanicoxx em 15/09/2006 - 18:01h

Aew pessoal... depois de um mês de puro sofrimento consegui fazer a porcaria do programa da conectividade da caixa rodar!!! no meu caso quando passei para o windows xp tentei tudo o qui esse tutorial me indicava + o unico problema era o NOD32.. nao adianta apenas sair do programa e necessario desisntalar para qui seja liberado o acesso a esse maldito programa. Espero qui tenha ajudado . vlw

[63] Comentário enviado por Carlos_Lima em 19/09/2006 - 16:35h

Olá pessoal!
Parabens pelo artigo e comentarios!
Dúvida: creio que digitando os comandos acima (#iptables...), na console, funciona.
Agora, tem como carregar via arquivo de inicializacao? (tipo autoexec.bat).
Se sim, em que arquivo devo colocar essas configuracoes?
Esse arquivo de inicializacao difere do Kurumim 6.0 e Red Hat 7.3?
Desde já conto c/a colaboracao de todos.

[]´s,

Carlos Lima.

[64] Comentário enviado por monica_lisboa em 10/10/2006 - 12:38h

Muito bom mesmo este artigo, eu concordo plenamente, deve ser algum castigo ter que por para funcionar esses programas da Caixa!!!

Eu estou tendo um problema com a conectividade social, eu acesso via linha discada, e aparece o erro abaixo, qdo. tento enviar ou receber arquivos:
Erro: -743
Descrição:Houve uma falha na sua tentativa de envio/recepção de mensagens.

EU já segui todos os passos citados neste e em outros fóruns e nada deu certo, se alguém já passou por isso e puder me ajudar, ficaria muito grata!!!!

[65] Comentário enviado por monica_lisboa em 10/10/2006 - 14:36h

Muito bom mesmo este artigo, fico mais conformada em saber que não sou apenas eu que apanho dos programas da caixa.
Eu estou com um problema no Conectivida Social, aparece o seguinte erro:
Erro: -743
Descrição:Houve uma falha na sua tentativa de envio/recepção de mensagens.

E eu não consigo nem enviar e nem receber arquivos, eu já tentei tudo que li neste forum e em alguns outros e nada funcionou.

Eu utilizo linha discada e WinXP, já desinstalei o java sun e instalei o JMV, mas nada acontece.

Se alguém já passou por isso e puder me dar uma ajuda!!!

Obrigada,
Abraços,
Mônica Lisboa

[66] Comentário enviado por robinsonsilva em 06/02/2007 - 08:45h

Gostaria de acrescentar pra quem usa o filtro layer7 que o site da caixa pelo menos no meu caso quando eu ativava a filtragem do protocolo skypetoskype ou skypeout naum lembro bem ele tb bloqueava o site da caixa.
Naum sei o motivo mas era so eu desabilitar o filtro ele voltava a funcionar normalmente e acho que era a unica incompatibilidade que aconteceu.
Valew t+

[67] Comentário enviado por hbr em 09/02/2007 - 11:22h

Com este artigo consegui com que uma das maquinas funcionacem no windows xp.
Mas, tive problemas em outra maquina ao instalar o JMV. O seguinte erro apareceu "Problemas na instalação do Q816093 - A versão do Windows que você instalou não corresponde à atualização que você está tentando instalar", além de instalar outra versão do windows, vcs tem alguma solução para isso?

Obrigado

[68] Comentário enviado por miana_8 em 28/02/2007 - 16:12h

Bom... fiquei 2 semanas pastando com essa mer...de programa.
Descobri que preciso ter:
- JavaVM ativado
- JavaRE desativado
- Anti virus desativado ( avast)
E muitaaaaaaa paciência.

Obrigado pela força..li todos os comentarios até conseguir chegar no meu objetivo.
To passando o meu.
Valew,

[69] Comentário enviado por acollucci em 19/06/2007 - 13:14h

fino,

[70] Comentário enviado por josemars em 25/06/2007 - 20:39h

Gostaria de colaborar aí, pois depois que tomei na cabeça realmente esse artigo foi demais.

Desativei Java Sun e utilizei as rotas conforme colegas acima informaram.

iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT

[71] Comentário enviado por danielbrandino em 06/07/2007 - 11:23h

Gostaria de saber galera como e o caminho para fazer essa configuração no endian firewall? não consigo conectar a essa conectividade social da caixa?

[72] Comentário enviado por kirosangel em 11/07/2007 - 18:14h

Como eu posso fazer isso usando o IPCop como firewall?

[73] Comentário enviado por kirosangel em 27/07/2007 - 16:38h

Ola pesoal, como vcs podem ter percebido, resolvi meu problema com o FGTS da CAIXA usando as regras que postaram, mais ouve uma mudança lá na caixa e voltou a dar erro ao entrar, ficou uns 2 meses funcionando 100% e agora fica dando erro de novo, se alguém souber de algo por favor me contate, marketing@prodate.com.br

Grato
Ass.Kiros Angel

[74] Comentário enviado por gflkdovs em 03/01/2008 - 17:29h

Muito bom isso vai ajuda bastante
parabens

t+

[75] Comentário enviado por esequielfilho em 05/03/2008 - 12:31h

?comentario=
Boa tarde a tdos...eu uso o sistema operacional WINXP SP2 e o IE7. Estou c/ problemas de acessar o conexão segura nossa caixa..se pde me ajuda em alguma solução fico agradecido...até ms meu e-mail esequiel.filho@ibest.com.br ou então esequielfilho@gmail.com

[76] Comentário enviado por renan_ em 07/03/2008 - 01:51h

Esequiel, até onde sei o IE7 tem um problema com o site da caixa.. esqueci agora qual é este. Mas enquanto nao o acertam, tente usar o firefox. Este funciona e eu acesso aqui no XP e Vista por ele.
abraços.

[77] Comentário enviado por PCMasterPB em 11/03/2008 - 19:01h

Porra, o artigo está aqui desde 2005 e o NTI da caixa ainda não se mancou que tem que corrigir isso. Pelo amor de Deus, coitado de quem depender usar esse ou outro serviço da Caixa Econômica. Vão ser imcompetentes assim bem longe de mim por favor hauahahauahuaha.

Me desculpem quem trabalhou/trabalha ou irá trabalhar lá, mas já havia postado um comentário aqui e não resisti postar novamente. Quem sabe lá pra 2010 eu poste novamente aqui hauhauhauauha. ;D

[78] Comentário enviado por dfabretti em 19/03/2008 - 12:01h

Aqui na empresa tanto o Internet Explorer 7 tanto o Firefox acessam normalmente... Realmente, tive o problema do avast!, coloquei como exceção! Realmente, depois de ficar martelando bastante, consegui resolver esse problemas que, aparentemente(1/2 irônico, não?), é de todos. Concordo plenamente a respeito de que a CAIXA nem se quer se coça pra atualizar, é uma vergonha! E quem acaba se ralando somos nós administradores de rede... Paciência fazer o q! Abraços a todos, fui!

[79] Comentário enviado por claudinei.motta em 28/03/2008 - 14:34h

Concordo exatamente com oque você disse sobre o suporte da Caixa. Me dá a impressão que são robôs e estão lendo o manual pra gente. Ficam repetindo e batendo na mesma tecla. "Sr. a porta 80 tem que estar liberada". E sobre o seu artigo, está simples, sucinto e perfeito.

[80] Comentário enviado por alelelelele em 01/04/2008 - 14:54h

Cornélio
A Qs Organização Contabil agradece , pois depois de muitos e muitos meses.... conseguimos usar o conexão segura da caixa sem dor de cabeça , pois eu nunca, nunca ia imaginar que o avast anti virus bloqueava a tal da porta 80...afffff
Muito obrigada!!!!!!!

[81] Comentário enviado por micato em 04/04/2008 - 15:20h

Adicona ai PROBLEMA 04.

A caixa tem um link novo agora !! http://cmt.caixa.gov.br/nova

Interessante que por mais que você ligue lá eles não informam isso !

[82] Comentário enviado por kalkin em 22/04/2008 - 09:02h

Se não me engano você deve colocar a porta 2631 como porta segura, ela é usada para o sefip mas também é usada como porta alternativa pro conectividade social e antes do conectividade conectar ele verifica a porta 80 e a 2631 para ver se estão disponiveis se nao ele nem inicia a conexão.

[83] Comentário enviado por bluesball em 23/04/2008 - 10:56h

o pessoal da empresa já esta economizando tylenol depois q o problema foi resolvido

hehehe

[84] Comentário enviado por fernando-erik em 07/05/2008 - 18:18h

opaaaaaaaa ... ae gente ... quero dizer também q hostei do artigo e que
tenho presenciado um problema que não pude resolver.
O que acontece é que ele acessa o conexão segura normalmente mas, apresenta um erro quando vou tirar extratos

se alguem puder me ajudar...,
por favor

grato

[85] Comentário enviado por olivam em 16/06/2008 - 19:32h

so isso não adianta se vc não fechar o Skype, Msn, Anti-virus ou outro programa que utiliza a porta 80

[86] Comentário enviado por d.acordi em 17/06/2008 - 20:23h

boa noite pessoal
to com o mesmo problema
vo colocar o script e se alguem puder me ajudar
#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

### Libera SMTP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 25 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 25 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 25 -o eth1 -d 0/0 -j ACCEPT

### LIBERA POP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 110 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 110 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 110 -o eth1 -d 0/0 -j ACCEPT

### LIBERA DNS TCP
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 0/0 -d 0/0 --dport 53 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp -d 0/0 --dport 53 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s 0/0 --sport 53 -o eth1 -d 0/0 -j ACCEPT

### LIBERA DNS UDP
iptables -t nat -A POSTROUTING -o eth0 -p udp -s 0/0 -d 0/0 --dport 53 -j MASQUERADE
iptables -A FORWARD -i eth1 -p udp -d 0/0 --dport 53 -o eth0 -s 0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -s 0/0 --sport 53 -o eth1 -d 0/0 -j ACCEPT

# bloqueando orkut.com
iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d https://orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d https://orkut.com -p tcp --dport 443 -j DROP

iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT

e continua dando o erro de troca de chaves, sera que escrevi algo errado? por favor me ajude urgente

[87] Comentário enviado por dvs em 26/07/2008 - 16:53h

Pessoal foi assim que consegui resolver o meu problema:

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.249.177.15/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.249.177.15/16 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Lembrando que a regra que libera para o conectividade deve ser implementada antes de tudo.
Vale salientar também que por incrivel que pareca as mesmas regras no meu link da Telemar que me da um ip 189.* o firewall da cef barrava, ja com o meu link da embratel fixo 200.* não, sera que o pessoal la nao sacou ainda que 189 é classe do brasil também? assim como 172 da Net por exemplo?

[88] Comentário enviado por mgasparin em 28/07/2008 - 16:17h

Olá Senhores,

no caso do IPCop, se deve editar o arquivo /etc/rc.d/rc.firewall
no final da função iptables_init() coloque:

# Regra Conexao Segura Caixa
/sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 800
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

[89] Comentário enviado por jlaudirt em 11/08/2008 - 16:26h

Boas..... baseado nestes vários artigos falando sobre a caixa e sua conecTITICAvidade criei um scriptzinho.... espero que ajude a vc´s
só usem o seguinte link pra acessar o prompt da conexão segura:
http://cmt.caixa.gov.br/nova (graças ao nosso amigo micato)
http://www.vivaolinux.com.br/contribuir/scripts/verScript.php?codigo=3523

abaixo meu squid-save de acordo com as dicas e de acordo com o meu script pra vc´s analizarem. Aqui está funcionando.
# Generated by iptables-save v1.4.0 on Fri Aug 15 10:41:48 2008
*filter
:INPUT ACCEPT [20852:10345331]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25123:11455548]
-A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT
-A FORWARD -s 200.201.173.68/32 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.173.68/32 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.188.201.153/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 200.188.201.153/32 -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.166.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 200.201.173.68/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 200.201.173.68/32 -d 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 201.11.159.8/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.9/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.5/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.6/32 -p tcp -j ACCEPT
-A FORWARD -d 201.11.159.7/32 -p tcp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 2631 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 2631 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8081 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 8017 -j ACCEPT
COMMIT
# Completed on Fri Aug 15 10:41:48 2008
# Generated by iptables-save v1.4.0 on Fri Aug 15 10:41:48 2008
*nat
:PREROUTING ACCEPT [545:57717]
:POSTROUTING ACCEPT [4:240]
:OUTPUT ACCEPT [1214:72840]
-A PREROUTING -d 200.201.173.68/32 -i eth0 -j ACCEPT
-A PREROUTING -s 200.201.173.68/32 -i eth0 -j ACCEPT
-A PREROUTING -d 200.201.169.69/32 -i eth0 -j ACCEPT
-A PREROUTING -s 200.201.169.69/32 -i eth0 -j ACCEPT
-A PREROUTING -d ! 200.201.174.207/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 200.201.173.68/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 200.201.169.69/32 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 2631 -j ACCEPT
-A PREROUTING -p tcp -m tcp --sport 2631 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 200.201.173.68/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.9/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.5/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.6/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.7/32 -j MASQUERADE
-A POSTROUTING -d 201.11.159.8/32 -j MASQUERADE
-A POSTROUTING -s 189.10.17.10/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/32 -p tcp -m multiport --dports 8017 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Fri Aug 15 10:41:48 2008

[90] Comentário enviado por verovan em 29/08/2008 - 09:51h

olá pessoal,
também estou enfrentando problemas com esta tal Conectividade Social, isso ja me deu muito trabalho antes, mas depois de pesquisar
consegui resolver, porém meu problema é o seguinte:
quando eu consegui resolver eu usava o proxy tranparent, usando os mesmo passos e regras deste artigo estava resolvi, porém
depois de uma mudança na estrutura o proxy passou a ser autenticado e aí minha dor de cabeça voltou, com um detalhe que a
autenticação é feita atravéz dos usuários de um PDC (windows). Agora não funciona nem com reza brava, ja estou tentando a algumas
semanas e não vai simplesmente não ta dando com proxy autenticado.

[91] Comentário enviado por removido em 28/10/2008 - 15:33h

pqp, essa caixa é foda, perdi a cabeça liguei varias vezes, liberei e fiz de tudo, nada dava certo, pra depois de umas 30 X ligando, me falaram que o sistema da caixa está intermetente, e está com quedas na cone segura , fiquei loco...
só lamento o sistema da pqp!!

[92] Comentário enviado por lm em 05/12/2008 - 16:52h

Bom pessoal aqui na empresa estamos com dificuldades com esta conectividade social.
Não funciona nas máquinas onde deveriam. Na máquina da mulher do DP funcionava, mas no começo do mês do nada começou a dar uma mensagem de erro na hora de logar referente a autalização da chave ou coisa parecida, inexpliavel pois funcionava bem até um tempo atrás e depois parou, e só na máquina dela.
Será que alguém pode ajudar, não vou mudar nenhuma regra no servidor pois está funcionado e trocar a máquina dela seria uma manobra dificultosa agora alguém tem uma sugestão.

[93] Comentário enviado por Ricardo Camara em 09/05/2009 - 01:39h

Vou apresentar este artigo e demais comentários para o pessoal de TI lá da empresa onde trabalho. Existe a idéia de trabalharmos com Linux mas por enquanto só está valendo para os servidores. O problema é que a própria Caixa informa que seus programas SEFIP e Conectividade Social são aplicativos exclusivos para Windows.

[94] Comentário enviado por gorke em 06/08/2009 - 11:51h

Muito Bom. Parabéns.

Passei por isso a um tempo atrás e penei para resolver.

Fiz tudo que está aí. Pena que na época não tinha esse post.

O que a Caixa, e outras empresas deveriam fazer, como Bradesco e Nasajon, era deixar de ter essa visão bitolada, e criar sistemas multiplataformas.
Hoje tenho que manter uma máquina windows com Administrador logado para usar o Sistema da Nasajon.
Outra máquina windows para usar o Bradesco Internet Empresa.
O servidor de cameras de segurança, por ser Geovision, tem que ser windows, e os clientes também, pois não existe driver para linux ainda.

É o provedor de serviços que tem que se adequar ao cliente, e não o contrário.

Abraços

[95] Comentário enviado por pardalz em 24/11/2009 - 10:06h

Caro Xxoin estou utilizando sua dica para fazer com que o conectividade funcione aqui.. so preciso que vc me esclareça umas coisas.
A dica funciona para o programa instalado no computador ou so para o site?
$LOCAL=Interface Interna?
$IP_ext=Interface Externa?

$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.173.68 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.166.200 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.204 -j ACCEPT
$iptables -A FORWARD -p tcp -s $LOCAL -d 200.201.174.207 -j ACCEPT
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.173.68 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.166.200 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.204 -j SNAT --to $IP_ext
$iptables -t nat -A POSTROUTING -s $LOCAL -d 200.201.174.207 -j SNAT --to $IP_ext

Desde ja agradeço pela antenção.

[96] Comentário enviado por fabio_tecnologo em 23/12/2009 - 14:28h

Para quem trabalha com PROXY MARCADO, e a porta 80 está bloqueada:

#ACL Conectividade Social e Conexão Segura CEF
acl conectividade_ip dst "/etc/squid/conectividade_ip"
acl conectividade_domain dstdomain "/etc/squid/conectividade_domain"

>>>> SÃO AS PRIMEIRAS REGRAS A SEREM APLICADAS NO SQUID <<<<

#Nao permite fazer cache para Conectividade Social e Conexão Segura CEF
no_cache deny conectividade_ip
no_cache deny conectividade_domain
always_direct allow conectividade_ip
always_direct allow conectividade_domain

#Libera acesso para Conectividade Social e Conexão Segura CEF
http_access allow rede_local conectividade_ip
http_access allow rede_local conectividade_domain


### Criar os arquivos ###
/etc/squid/conectividade_ip
200.201.173.0/24
200.201.174.0/24

/etc/squid/conectividade_domain
.caixa.gov.br


--------------------------------------------------------------------------------------------
Créditos:
Danilo M. Cabreira
Fábio R. Hernandes

[97] Comentário enviado por bfw-ipu em 05/01/2010 - 20:34h

Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.

/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT

Vlew [34] Comentário enviado por lero em 04/01/2006 - 11:13h:
Depois de sofrer muito! aff! funcionou!! do mesmo jeitim!

[98] Comentário enviado por pardalz em 08/01/2010 - 07:47h

[97] Comentário enviado por bfw-ipu em 05/01/2010 - 20:34h:

Aê pessoal um colega fez pra mim e esta funcionando perfeitamente. Ele colocou estas regras abaixo antes da regra que redireciona o trafego para o squid.

/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
/sbin/iptables -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT

Vlew [34] Comentário enviado por lero em 04/01/2006 - 11:13h:
Depois de sofrer muito! aff! funcionou!! do mesmo jeitim!



Funcionou para squid autenticado?? o.O se sim.. bejo na boca!
[]'z

[99] Comentário enviado por luivilella em 09/08/2010 - 10:27h

Pessoal fiz de um geito mais simples, no meu caso uso o squid3:
acl sitesnocache url_regex -i "/etc/squid3/sitesnocache"

Coloquei acima das minhas http_access
no_cache deny sitesnocache

e no /etc/squid3/sitesnocache
coloquei
www.receita.fazenda.gov.br/
folhainvest.folha.com.br/
cmt.caixa.gov.br

Funciona normal


ops: Desculpe ja tinha sido falado isto:
Comentário enviado por fabio_tecnologo em 23/12/2009 - 14:28h:

[100] Comentário enviado por jvdrum em 11/03/2011 - 11:48h

Pessoal que estiver com o problema "Troca de chaves falhou!"
Vc deve verificar se existe algum programa usando a porta 80 ou 8080 no seu computador.
Vc pode fazer isso usando o programa system explorer (http://systemexplorer.net/) na aba connections vc consegue ver as portas que estão sendo usadas pelo seu pc (Ex.: ":80").
no meu caso era o proprio internet explorer, quando deixava ativada as opçoes de proxy do navegador no meu cador (Detectar automaticamente as configuraçoes) o navegador estabelecia uma conexão com o servidor e bloqueava.

Resumindo:
- Marque todas as opçoes de javaVM (Tres opçoes)
- Desmarque todas as opçoes de "Configuraçoes da lan"
e Pronto!

Abrass


[101] Comentário enviado por andersondantas em 21/10/2011 - 15:49h

Parabéns Vertão!!! To quebrando a cabeça aqui tb. Valew pela ajuda!

[102] Comentário enviado por chaplinux em 27/10/2011 - 19:44h

Pelo Debian Squeeze teve uma pequena mudança. a posicao do parametro de exclamacao (!)

agora ficou antes do -d.

Ex:

iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128


Pronto! Funcionando!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts