D.P.I Sefaz GO não funciona [RESOLVIDO]

1. D.P.I Sefaz GO não funciona [RESOLVIDO]

junioalves
(usa Fedora)

Enviado em 23/03/2009 - 07:19h

Bom dia a todos,

no meu /etc/rc.local tem apenas o seguinte:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

############################################
#CONFIGURACAO BASICA - ROTEADOR DE INTERNET#
############################################

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1

Como podem ver, aqui não tem nenhuma regra, apenas liberei o roteamento da internet para o restante da rede. Porém o bendito programa não funciona.
De acordo com o suporte ele usa as portas 21 e 24001, já tentei com várias regras e nada. Se eu uso a internet sem passar pelo FW o software comunico de boa. Eu gostaria de configurar (sem nenhuma segurança, pelo menos por equanto) o FW para que o software funcione, a partir daí colocarei as minhas regras.

0 0

Quote

2. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

megatux
(usa Debian)

Enviado em 23/03/2009 - 08:37h

Bom dia junioalves,

A porta 21 é do serviço de ftp. Não está conflitando com algum server em sua rede ? A fornecedora do link permite o uso desta porta ? Me parece que sim pois vc disse que sem passar pelo firewall o software funciona. Tente ser mais específico, pois sinceramente não entendi a pergunta. O que é "D.P.I Sefaz GO não funciona" ?

Abraços.
:wq!

0 0

Quote

3. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

junioalves
(usa Fedora)

Enviado em 23/03/2009 - 12:38h

D.P.I (declaração periodica de informação) é um software da Sefaz (sec. da fazenda) para envio de declaração com iformações sobre as empresas.
Eu gostaria de configurar o meu servidor (mesmo que fique totalmente vulnerável) para que esse software possa funcionar. Se eu ligo algum host direto no link de internet (sem passar pelo linux) ele funciona normalmente. Depois que esse software estiver funcionando adicionarei gradativamente as minhas regras de forma que ele continue funcionando.
Espero ter sido o mais claro possível.

Sds,

Junio Alves

0 0

Quote

4. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

Radiske
(usa Slackware)

Enviado em 23/03/2009 - 14:33h

Saudação.
Tenho como clientes escritórios contábeis e sei dos problemas que temos com a falta de documentação sobre os mesmo, portanto, vou tentar te ajudar com diversos tiros no escuro e levando em conta que você é bem leigo no assunto e que sua distribuição segue o padrão do slackware...
como root crie o arquivo firewall com o comando vi /usr/sbin/firewall
coloque isso dentro dele:
#!/bin/bash
#
MUDE ESTA LINHA PARA O IP DA SUA REDE DE INTERNET. COLOQUE AQUI O IP DE ENTRADA DA REDE DE INTERNET
IFE1="xxx.xxx.xxx.xxx"
ipt="/usr/sbin/iptables"
# MODULOS
echo "Carregando modulos..."
# BASICOS
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_unclean
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_LOG

# TELNET E IRC
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

# MASCARAMENTO
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_MARK
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_REJECT

# MODULOS PARA CONNECTION TRACKING
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_conntrack_ftp

echo "Ativando roteamento..."
#ativa o roteamento dinamico
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

$ipt -t filter -P INPUT ACCEPT
$ipt -t filter -P FORWARD ACCEPT
$ipt -t filter -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P POSTROUTING ACCEPT
$ipt -t mangle -P OUTPUT ACCEPT
$ipt -t mangle -P INPUT ACCEPT
$ipt -t mangle -P FORWARD ACCEPT
$ipt -t filter -F
$ipt -t nat -F
$ipt -t mangle -F
$ipt -t filter -X
$ipt -t nat -X
$ipt -t mangle -X
$ipt -t filter -Z
$ipt -t nat -Z
$ipt -t mangle -Z

$ipt -t filter -P INPUT ACCEPT #DROP
$ipt -t filter -P FORWARD ACCEPT #DROP
$ipt -t filter -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P POSTROUTING ACCEPT
$ipt -t mangle -P OUTPUT ACCEPT
$ipt -t mangle -P INPUT ACCEPT
$ipt -t mangle -P FORWARD ACCEPT

$ipt -I INPUT -p tcp --dport 21 --syn -j ACCEPT
$ipt -t mangle -A OUTPUT -o $IFE1 -p tcp -m multiport --dports 21,20,80,6667 -j TOS --set-tos 0x10
$ipt -t filter -A INPUT -i $IFE1 -p tcp -m multiport --dports 21,20,80,6667 -j ACCEPT
$ipt -t filter -A INPUT -i $IFE1 -p udp -m multiport --sports 21,20 -j ACCEPT

$ipt -t nat -A POSTROUTING -o $IFE1 -j MASQUERADE
# FIM DO SCRIPT
Salve o arquivo e dê permissão de execução
chmod 770 /usr/sbin/firewall
execute-o com o comando
firewall

Eu sei que pode ter alguém que condene minhas regras mas meu objetivo aqui e lhe ajudar a resolver seu problema no momento porém lhe advirto que dê uma estudada nas regras e utilize-as de formas adequadas. Outra sugestão que posso lhe indicar é que verifique as portas que os aplicativos estão usando para a conexão. Utilize por exemplo o "iptstate".

Espero ter ajudado.

Fique com Deus.

Radiske

0 0

Quote

5. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

junioalves
(usa Fedora)

Enviado em 23/03/2009 - 15:03h

obrigado pela resposta, mas nao funcionou nao... na verdade com o seu script o meu host nem navegou.

0 0

Quote

6. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

junioalves
(usa Fedora)

Enviado em 23/03/2009 - 15:08h

Esse é o meu scrip basico. Não deveria funcionar apenas como um roteador de internet sem nenhuma restrição?
As portas que o software utiliza é 21 e 24001.

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1

0 0

Quote

7. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

Radiske
(usa Slackware)

Enviado em 24/03/2009 - 09:35h

Já experimentou liberar as entradas no firewall?
Seu ip_nat_ftp esta ativo?
experimento colocar somente isso.

/sbin/modprobe ip_nat_ftp
ipt="/usr/sbin/iptables"
$ipt -t filter -P INPUT ACCEPT
$ipt -t filter -P FORWARD ACCEPT
$ipt -t filter -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P POSTROUTING ACCEPT
$ipt -t mangle -P OUTPUT ACCEPT
$ipt -t mangle -P INPUT ACCEPT
$ipt -t mangle -P FORWARD ACCEPT

Fique com Deus
Radiske

0 0

Quote

8. Re: D.P.I Sefaz GO não funciona [RESOLVIDO]

Radiske
(usa Slackware)

Enviado em 24/03/2009 - 09:46h

Agora que li com mais atenção notei isso: "As portas que o software utiliza é 21 e 24001." São portas de saída ou de entrada?
Faça uma regra para aceitar as portas em input e output para testar, algo assim:
/sbin/modprobe ip_nat_ftp
ipt="/usr/sbin/iptables"
IFI="Sua interface de rede interna"
$ipt -t filter -A INPUT -i lo -j ACCEPT
$ipt -t filter -A INPUT -i $IFI -j ACCEPT
$ipt -t filter -A FORWARD -i $IFI -j ACCEPT

$ipt -A FORWARD -p tcp --dport 21 -j ACCEPT
$ipt -A FORWARD -p tcp --sport 21 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -p tcp --sport 21 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 21 -j ACCEPT
$ipt -A OUTPUT -p tcp --sport 21 -j ACCEPT

$ipt -A FORWARD -p tcp --dport 24001 -j ACCEPT
$ipt -A FORWARD -p tcp --sport 24001 -j ACCEPT
$ipt -A INPUT -p tcp --dport 24001 -j ACCEPT
$ipt -A INPUT -p tcp --sport 24001 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 24001 -j ACCEPT
$ipt -A OUTPUT -p tcp --sport 24001 -j ACCEPT

Não sei exatamente de como seu programa funciona mas talvez seja necessário um redirecionamento de ip para testar melhor.

Tenta por aí...

Espero ter ajudado

Fique com Deus

Radiske

0 0

Quote