Problemas com conectividade

avanzelli
(usa Red Hat)

Enviado em 30/07/2012 - 17:15h

Boa tarde pessoal da comunidade, estou com um problemas que esta quase me deixando louco aqui.
Utilizamos o CNS (Conectividade Social), para enviar os arquivos da Sefip, GGRF, etc. Porém quando clicamos no icone do ICP que ele pede para selecionar o certificado, ocorre um erro no site da caixa, (Falha na validação do certificado.Erro RemoteException occurred in server thread; nested exception is: java.rmi.RemoteException: Unable to complete container-managed transaction.; nested exception is: javax.transaction.SystemException; nested exception is: javax.transaction.SystemException no EJB ValidacaoCertificado - RMI. (CNS-0217))a principio achei que o problema estava relacionado ao site da caixa por ser fim de mês ai sabe como é que estes sites do governo, porem fiz um teste em uma maquina que não passava pelo proxy transparente e voalá, funcionou, ja inseri regra no iptables criei acl no squid mas nas funciona, segue baixo o inicio do meu script até a parte que ele cria o proxy transparente, agradeço se puderem me ajudar.




#!/bin/bash

#Variaveis
range=174.27.62.40~174.27.62.254
internet=eth1
interno=eth0
#################################################################################################


iniciar(){

# Caixa
iptables -t nat -A PREROUTING -d 200.201.174.0/24 -p tcp --dport 80 -j RETURN
#iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
#iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT



# Compartilha a conexãmodprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Compartilhamento ativado"


#Proibe msn
#iptables -A FORWARD -d 207.46.0.0/255.255.0.0 -j DROP
#iptables -A FORWARD -m iprange --src-range 192.168.1.30-192.168.1.254 -d 65.54.0.0/255.255.0.0 -j DROP


iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d 201.91.74.0/255.255.0.0 --dport 80 -j REDIRECT --to-port 3128.

Agradeço pela ajuda de vocês.

maninhx
(usa Slackware)

Enviado em 30/07/2012 - 19:43h

Essa máquina que não funcionou, você já testou fora do proxy?

Não sei qual certificado você está usando, mas já tive problemas com o A1 aonde funcionava no Firefox porém no IE não funcionava. Era problema no micro mesmo e não no proxy. Experimente testar essa máquina fora do proxy.

avanzelli
(usa Red Hat)

Enviado em 30/07/2012 - 21:48h

Sim é o formato A1, e acontece desta maneira que esta falando tenho dois gateways na minha rede, mas quero todo mundo passando pelo proxy transparente um dos gateways é somente nat (por enquanto)e o outro que estou homolagando é o proxy transparente onde tem os filtros de restrição a alguns sites, o script que passei de firewall é este que esta em cima quando coloco para sair pelo proxy transparente da aquele erro no site da caixa, quando coloco para sair pelo gateway que só tem o nat, não dá o erro de certificado, eu estava pesquisando e em alguns foruns dizia que o squid nao gerenciava bem https que é o caso de sites de banco e dá caixa.
Esta linha abaixo dizia que a faixa de ips que a caixa utiliza é este abaixo.
iptables -t nat -A PREROUTING -d 200.201.174.0/24 -p tcp --dport 80 -j RETURN
a todas as requisições que fossem feitas para a rede 200.201.174.0/24 sairia direto pela porta 80 e não passaria pelo proxy mas mesmo assim insiste no erro de certificado, já estou quase maluco não sei mais o que fazer.