Squid + iptables + NFe [RESOLVIDO]

petinati
(usa Ubuntu)

Enviado em 03/04/2010 - 21:35h

Prezados amigos participante do Viva o Linux.

Estou tendo uma dificuldade em relação a servidor squid.

Na empresa em que trabalho, ultilizamos um software que emiti Nota Fiscal Eletrônica.

Quando as maquinas clientes estao conectado a internet atravez do switch. Emitem a NFe normalmente. Mas quando ligo a rede toda passando pelo Servidor. Da erro.. não consegue conexão com o servidores responsaveis. Se eu nao me engano utilizam as portas 80 e 443.

ultilizei o script abraixo, para liberar todo tipo de acesso.

#!/bin/sh

IPT="/sbin/iptables"
REDE_INTERNA=192.168.1.0/24

$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
#$IPT -X

# These will setup our policies.
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE




mesmo com esse script de liberação, a emissao da NFe. nao funciona.

Gostaria muito de uma força ai. Meus serviços estão parado em decorrer desse contratempo.

Algme pode dar uma Mão bem grande ai?!
Obrigado

Uso Ubuntu 9.10
Placa Rede interna 192.168.1.*
Placa Modem 10.1.1.*

riesdra
(usa Debian)

Enviado em 03/04/2010 - 21:49h

acho que você vai ter que fazer redirecionamento de portas, e liberação de endereços para os servidores de seu estado, e para o sistema de scan que assume quando o os servidores do estado para por algum motivo.

petinati
(usa Ubuntu)

Enviado em 04/04/2010 - 01:56h

Meu caro amigo riesdra...
o proprio sistema que usamos, ja faz uma checagem. mas no meu caso ele tenta se conectar no nfe.sefaz.rs.gov.br mesmo eu sendo de rondonia (ro).. se ao mesmo tempo eu retirar o servidor e religar as maquinas clientes diretamente no switch, eles enviam normalmente. entao creio eu que nao seria o caso do sistema estar fora do ar.

no caso da liberação, me corrija se eu estiver errado...
com o script que eu fiz, nao seria para deixar a navegação livre? sem restrições nenhuma?
Obrigado pela compreensão.

renato_pacheco
(usa Debian)

Enviado em 04/04/2010 - 14:03h

O problema não tá sendo na liberação, pois está ACCEPT para todos, mas nas regras d NAT q vc deverá fazer. Eu não sei como funciona o sistema, mas é bom estudar como é feito a conexão através d um sniffer (wireshark d preferência) e estudar o caso. Depois disso, d uma resposta pra gente q faremos umas regras d NAT pra vc.

riesdra
(usa Debian)

Enviado em 04/04/2010 - 18:46h

se não me engano, a máquina vai fazer uma chamada de envio de pacotes, ai o servidor o recebe e retorna como aprovado ou rejeitado por algum problema na nota, agora como acertar isto eu não sei.
mas se quando você deixa no switch passa normal, é uma regra no servidor que não esta liberando está conexão.

renato_pacheco
(usa Debian)

Enviado em 05/04/2010 - 08:21h

Se eu tivesse esse software, eu poderia testar pra vcs...

petinati
(usa Ubuntu)

Enviado em 05/04/2010 - 09:24h

Bom dia a todos, por enquanto obrigado pela ajuda de vocês.. estou estudando soluções ainda, e sei que encontrarei com vocês aqui.

andei dando uma olhada, sera que mesmo com a regra que apliquei, como citado acima, o que me dizem se eu add a regra copiada ai.

# Libera o tráfego de pacotes da rede interna para a rede externa na porta 443 (ssl)
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 443 -j ACCEPT

??

Obrigado por enquanto. e tenham uma otima semana.

André Petinati

petinati
(usa Ubuntu)

Enviado em 05/04/2010 - 09:27h

meu caro amigo Renato Pacheco..

Infelizmente nao iria funcionar ai com vc, pois ele é liberado somente para a rede interna aqui da empresa para ativação. mas caso tenha interesse em dar uma olhada da mesma maneira, posso disponibilizar para vc.

Obrigado por mais essa força.

petinati
(usa Ubuntu)

Enviado em 07/04/2010 - 10:03h

resolvido o problema.

firewall.sh

#!/bin/sh

IPT="/sbin/iptables"
REDE_INTERNA=192.168.1.0/24
RECEITA1=200.233.3.103/32
RECEITA2=200.233.3.104/32
TESTE=192.168.1.199/32
SERV_SISTEMA=192.168.1.200/32

$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
#$IPT -X

$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

#$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA1 -j LOG --log-prefix "** RECEITA1 **"
$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA1 -j MASQUERADE
#$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA2 -j LOG --log-prefix "** RECEITA2 **"
$IPT -t nat -A POSTROUTING -s $REDE_INTERNA -d $RECEITA2 -j MASQUERADE
~

deuz
(usa Debian)

Enviado em 02/02/2012 - 10:34h

pra mim deu certo essas regras,
iptables -t nat -A PREROUTING -p tcp -d 201.55.62.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -d 201.55.62.0/24 --dport 80 -j ACCEPT


rs, apesar de o topico ser antigo.

abraços....

lucascatani
(usa Ubuntu)

Enviado em 10/05/2012 - 11:33h

Esse ip é o da receita federal de que estado? preciso liberar aqui para o RS

petinati
(usa Ubuntu)

Enviado em 12/05/2012 - 00:56h

Meu caro amigo lucascatani

seu eu nao me engano, todos sao direcionado para o mesmo servidor. Tente usar esse ip citado acima, que bem possivel que funcione.


forte abraço.

Estamos aqui para qualquer duvida.

andré Petinati