D.P.I "Sefaz" não transmite [RESOLVIDO]

weltonpba
(usa Debian)

Enviado em 23/04/2010 - 10:20h

Galera estou com problemas com a transmissão da D.P.I aqui na minha empresa... meu Firewall ta bloqueando
ja tentei algumas regras da net mas nada funcionou, alguem tem alguma que esteje em funcionamento e possa compartilhar?

fbsalvi
(usa Outra)

Enviado em 23/04/2010 - 10:25h

Poste aki as regras que vc ta usando, para darmos uma analisada..


Fabiano

weltonpba
(usa Debian)

Enviado em 23/04/2010 - 10:34h

/etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

#CONECTIVIDADE SOCIAL
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

#PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#BLOQUEAR MSN
iptables -I FORWARD -p tcp -s 10.0.0.0/8 --dport 1863 -j DROP

#REDIRECIONAMENTO TERMINAL SERVICE WELTON
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10

fbsalvi
(usa Outra)

Enviado em 23/04/2010 - 15:15h

Entao esse SEFAZ e por estado nao eh? vc mora em que estado? E um programa ou vc faz via web mesmo?

weltonpba
(usa Debian)

Enviado em 23/04/2010 - 15:42h

E por estado sim, estou em Goiás, não e um programinha instalado que usa a porta 21 e 24001 até o ip eu conssegui pegar so que não da certo não sei pq...

fbsalvi
(usa Outra)

Enviado em 26/04/2010 - 15:53h

entao vamos la, tente assim:

iptables -A FORWARD -s <192.168.0.0/24> -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s <192.168.0.0/24> -p udp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s <192.168.0.0/24> -p tcp -d 0/0 --dport 24001 -j ACCEPT
iptables -A FORWARD -s <192.168.0.0/24> -p udp -d 0/0 --dport 24001 -j ACCEPT
iptables -t nat -A PREROUTING -i <ifacelan> -s (192.168.0.0/24> -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i <ifacelan> -s (192.168.0.0/24> -p udp -d 0/0 --dport 24001 -j ACCEPT
iptables -t nat -A POSTROUTING -o <ifaceinternet> -j MASQUERADE

OBS: lembrando que <192.168.0.0/24> é um exemplo que citei, nao se o range + mask de sua rede, troca pela sua. O POSTROUTING pode ser mais especifico , tente esse se nao der avise aki, e coloque estas regras antes dos bloqueios de portas, se vc faz isso tb.. O postrouting nao necessita estar no começo do firewall, aki uso assim e funciona.

no lugar -d 0/0 , vc pode colocar o ip do sefaz que vc disse que pegou tb, 0/0 quer dizer qualquer destino.

QQ. coisa poste aki se deu certo?

Fabiano.

fbsalvi
(usa Outra)

Enviado em 26/04/2010 - 15:55h

eskeci acrescente essas tb:

iptables -t nat -A PREROUTING -i <ifacelan> -s (192.168.0.0/24> -p udp -d 0/0 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i <ifacelan> -s (192.168.0.0/24> -p udp -d 0/0 --dport 24001 -j ACCEPT

weltonpba
(usa Debian)

Enviado em 27/04/2010 - 08:14h

Infelizmente não deu certo bixo olha como ficou a regra e me corrija se estiver algo que eu fiz errado.
segue minha conf do /etc/rc.local inteira

/etc/rc.local [----] 0 L:[ 1+ 0 1/ 92] *(0 /3952b)= # 35 0x23
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

#-----------------------------------------------------------------------------------------------------
iptables -A FORWARD -s 10.0.0.0/8 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p udp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p tcp -d 0/0 --dport 24001 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p udp -d 0/0 --dport 24001 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p udp -d 0/0 --dport 24001 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p udp -d 0/0 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p udp -d 0/0 --dport 24001 -j ACCEPT
#------------------------------------------------------------------------------------------------------

#CONECTIVIDADE SOCIAL
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

#PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#BLOQUEAR MSN
iptables -I FORWARD -p tcp -s 10.0.0.0/8 --dport 1863 -j DROP

#REDIRECIONAMENTO TERMINAL SERVICE WELTON
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10

#REDIRECIONAMENTO FTP
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 21 -i eth1 -j DNAT --to 10.1.1.202

#REDIRECIONAMENTO TERMINAL SERVICE TESTE
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 3391 -i eth1 -j DNAT --to 10.1.1.202:3389
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 3391 -i eth1 -j DNAT --to 10.1.1.202:3389

#REDIRECIONAMENTO TERMINAL SERVICE TESTE
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 29 -i eth1 -j DNAT --to 10.1.1.28:3389
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 29 -i eth1 -j DNAT --to 10.1.1.28:3389

#VNC DELL
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 6900 -i eth1 -j DNAT --to 10.1.1.200
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 5700 -i eth1 -j DNAT --to 10.1.1.200

#REDIRECIONAMENTO PALM
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 6500 -i eth1 -j DNAT --to 10.1.1.200

#REDIRECIONAMENTO CENTRAL
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 2004 -i eth1 -j DNAT --to 10.1.1.62

#REDIRECIONAMENTO EMULE SUPORTE 01 ED
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 4668 -i eth1 -j DNAT --to 10.1.1.37
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 4669 -i eth1 -j DNAT --to 10.1.1.37

#REDIRECIONAMENTO EMULE WELTON
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 4450 -i eth1 -j DNAT --to 10.1.1.10
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 4451 -i eth1 -j DNAT --to 10.1.1.10

#REDIRECIONAMENTO ACESSO PONTO
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 4810 -i eth1 -j DNAT --to 10.1.1.31

#REDIRECIONAMENTO ACESSO PONTO 2
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 4811 -i eth1 -j DNAT --to 10.1.1.42

#REDERICIONAMENTO TORRENT
iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 5151 -i eth1 -j DNAT --to 10.1.1.10

fbsalvi
(usa Outra)

Enviado em 27/04/2010 - 11:20h

tenta colocar essa linda depois do prerouting aonde vc indica que tem que direcionar para a porta 3128.

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Fabiano.

fbsalvi
(usa Outra)

Enviado em 27/04/2010 - 11:31h

iptables -A FORWARD -s 10.0.0.0/8 -p tcp -d <ipsefaz> --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p udp -d <ipseaz> --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p tcp -d <ipsefaz> --dport 24001 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p udp -d <ipsefaz> --dport 24001 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p tcp -d <ipsefaz> --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p tcp -d <ipsefaz> --dport 24001 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p udp -d <ipsefaz> --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p udp -d <ipsefaz> --dport 24001 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -p tcp -d <ipsefaz> -j MASQUERADE
#
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

OBS: LEMBRANDO QUE ETH0= LAN E ETH1= PLACA LIGA COM A INTERNET

E IPSEAZ = O IP DO SEFAZ QUE VC DISSE QUE PEGOU.

tenta assim

Fabiano.

fbsalvi
(usa Outra)

Enviado em 27/04/2010 - 11:33h

coloca essas linhas que te passei no final de seu script e faz o teste

Fabiano.

weltonpba
(usa Debian)

Enviado em 27/04/2010 - 15:52h

Problema Resolvido

Por incrivel que pareça não abri nenhuma porta no firewall não precisou de porta nenhuma 21, 24001 nem nada, apenas levantei os módulos de ftp do iptables com esse comando:
" modprobe ip_nat_ftp "

ta rodando perfeitamente...

Muito Obrigado fbsalvi pela ajuda, espero que esse tópico ajude mais pessoas com o mesmo problema que tive...