http://www.zago.eti.br/firewall/modelos-governo.txt FAQ e exemplos de regras para uso com sites do governo, incluem regras de Iptables e Squid, liberar acesso a Caixa, Receitanet, Conectividade Social e outras conexões que trabalham em portas especiais. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Página principal deste site (FAQ) http://www.zago.eti.br/menu.html SQUID. Estes serviços não podem passar pelo proxy, pra excluir estes sites das regras, procure por squid neste FAQ e veja também FAQ sobre squid e as ACL em: http://www.zago.eti.br/squid/A-menu-squid.html Página principal sobre firewall http://www.zago.eti.br/firewall/A-menu-firewall.html ******************************************************** CONECTIVIDADE SOCIAL Neste documento tem algumas mensagens da lista com dicas e exemplos, veja também nestas indicações. Veja a minha solução em: http://www.zago.eti.br/squid/conectividade-social.html Mais documentação e FAQ. Conectividade Social da Caixa, acesse: http://www1.caixa.gov.br/pj/Asp/conectividade_social_empregador.asp Procure por " Orientações para Administradores de Rede" baixe e PDF e siga as instruções.... serviço Conectividade Social/Empregador. "manual do administrador de redes" (http://downloads.caixa.gov.br/Empresa/_arquivos/Informacoes_CNS-E11.pdf) Neste documento diz que a conexão não pode passar por um proxy, como o squid, tem que ser um nat direto, para nao tratar a criptografia como um arquivo corrompido, coisa assim. Excluir sites do proxy? Criar regras pra Conectividade Social? http://www.vivaolinux.com.br/dicas/verDica.php?codigo=1988 Excelente tutorial, ensina criar regras pra sites especificos, entre eles Conectividade Social, pode se aplicar a qualquer site que tenha problemas em passar pelo squid, ensina analizar os logs pra descobrir quais os endereços que acusam problema, depois é só criar as regras, tutorial bem explicativo e com exemplos regras pra iptables. ******************************************************** D I C A As regras de firewall e Squid são as que mais provocam problemas pra acessar sites do governo como a Caixa, Receita e outros, uma boa maneira pra descobrir o problema é seguir esta dica: Troque teu firewall por estas 3 linhas: modprobe iptable_nat iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Explicando, estas linhas não é um firewall, fazem somente o compartilhamento da conexão, portanto utilize somente uma estação pra testes, retire a configuração de proxy dela, também ajuste no micro que compartilha a conexão, ajuste a regra pro device correto da tua maquina, onde consta ppp0, coloque eth0 ou outro device que esteja levantando na conexão. Com estas regras funciona tudo, tua rede está toda liberada, depois disto voce implementa as regras de firewall e Squid, faça por partes, qualquer problema voce já sabe como voltar ao ponto que funciona e recomeçar de novo, use tudo que tiver ao teu alcança, vale tentativas de erro e acerto, chutometro e até uma boa dose de intuição. Neste documento tem varias mensagens da Linux-br que relatam a solução, também neste diretório tem varios modelos de regras do iptables, consulte-os, eles estão nos arquivos iniciados por iptab http://www.zago.eti.br/firewall/ ******************************************************** Maquina da rede fora das regras do Squid (sem proxy). Exemplo pra tirar a maquina do chefe ou de alguém que não deve passar pelo Squid, utilizo esta regra uma vez por mes pra tirar uma estação do proxy pra acessar o site da Caixa (Conectividade Social) $iptables -t nat -A PREROUTING -i eth1 -s \! 192.168.1.61 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128 $iptables -t nat -A POSTROUTING -s 192.168.1.61 -o eth1 -j MASQUERADE Onde: eth1 é a placa de rede interna 192.168.1.61 é a estação que vai ficar fora do proxy. Utilizo as regras acima sempre que tenho problemas pra configurar algum programa novo, pra isolar o problema, pra saber se tem algo a ver com Squid ou não, também pra acessar outros serviços que dão problema com o proxy, basta alterar o IP para a estação que deseja liberar, executar o script e pronto. Depois de isolar o problema fica mais fácil criar regras proprias. Pra Conecitivade Social existem outras regras pra liberar somente o acesso ao site da Caixa, continue consultado o FAQ que varios exemplos. ******************************************************** A seguir, copias de algumas mensagens com respostas esclarecedoras que circulou na lista Linux-BR, também contribuições que recebi diretamente do autor, de outras listas ou foruns, mande também a sua contribuição, pra este FAQ, envie dica, passo a passo como solucionou um problema, tutorial, artigo e etc.. envie pra zagolinux@uol.com.br mencionando no e-mail "pro FAQ". ******************************************************** De:  José Elias Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Transmissão Conectividade Social Data:  Thu, 04 Dec 2003 15:01:30 -0200     Olá,     Você não pode deixar os pacotes que vão e voltam da Conectividade Social passarem pelo squid.Comigo funciona da seguinte maneira:         iptables  -A FORWARD   -p tcp  -s 192.168.X.X  --dport 80 -j ACCEPT         iptables  -A FORWARD   -p tcp  -s 192.168.X.X  --dport 443 -j ACCEPT 192.168.X.X é o IP da máquina interna que usa a Conectividade Social ******************************************************** De:  SuSE List Para:  bragalinux Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Transmissão Conectividade Social Data:  Tue, 23 Dec 2003 17:26:36 -0200 ----- Original Message ----- From: "bragalinux" Sent: Monday, December 01, 2003 2:12 PM Subject: (linux-br) Transmissão Conectividade Social > Alguém tem o macete para liberar a transmissão do conectividade social? > Uso iptables e conectiva 9 Opa! Aqui eu uso estas regras: iptables -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80 iptables -A PREROUTING -s 131.107.0.0/255.255.0.0 -d 200.201.174.207 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 80 iptables -A forward_dmz -d 200.201.174.207 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j ACCEPT iptables -A forward_dmz -s 200.201.174.207 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -A forward_ext -d 200.201.174.207 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j ACCEPT iptables -A forward_ext -s 200.201.174.207 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -A forward_int -d 200.201.174.207 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j ACCEPT iptables -A forward_int -s 200.201.174.207 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT Minha rede interna é 131.107.x.x, depois disso segui as recomendações do manual do conectividade para configuração do navegador: http://downloads.caixa.gov.br/_arquivos/fgts/conect/Informacoes_CNS-E1.pdf Isso deve te ajudar... []s Marcus Vinicius P Coimbra viniciuskawakami@yahoo.com.br OBS. ZAGO. No meu firewall ppra cada linha retorna -> iptables: No chain/target/match by that name ******************************************************** De:  Rodrigo Para:  linux-br@bazar2.conectiva.com.br Assunto:  RES:(linux-br)Receitanet Data:  Tue, 16 Sep 2003 17:43:27 -0300 Boa Tarde a todos, Estou estudando iptables e este email me criou uma dúvida conceitual. -------------------------------------------------------------------- >> Tenho um servidor com iptables e squid com autenticação, preciso >liberar o >> ReceitaNet e nao estou conseguindo,  tentei da seguinte maneira: >>  iptables -A FORWARD -p TCP --dport 3456 -j ACCEPT >> e nao funcionou. O que está errado ? Obrigado. > >Pode ser a porta ou o conjunto de regras do seu firewall, que estejam > erradas. Sem detalhes fica meio difícil ajudar. >Contudo, aqui funciona perfeitamente com a porta 1049 >(identificada em logs) >liberada. A seguinte regra foi utilizada: > >iptables -t nat -A PREROUTING -s XXX.XXX.XXX.XXX -p TCP --dport 1049 -j > ACCEPT > >Onde XXX.XXX.XXX.XXX é o IP da máquina que tem acesso a esta porta. >Ah! Talvez seja necessário liberar o retorno com "-m state". > ---------------------------------------------------------------------- Nivewton se enganou ou na tabela nat pode usar a join ACCEPT ? A regra não seria: iptables -A FORWARD -s XXX.XXX.XXX.XXX -p TCP --dport 1049 -j ACCEPT ? []'s Rodrigo Vilaça ******************************************************** De:  Nivewton de Cuffa Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Receitanet Data:  Tue, 16 Sep 2003 09:05:47 -0300 Em Seg 15 Set 2003 18:59, espíritas psicografaram esta mensagem de Alessandro Portela Fausto: > Boa tarde lista E aí! > Tenho um servidor com iptables e squid com autenticação, preciso liberar o > ReceitaNet e nao estou conseguindo,  tentei da seguinte maneira: >  iptables -A FORWARD -p TCP --dport 3456 -j ACCEPT > e nao funcionou. O que está errado ? Obrigado. Pode ser a porta ou o conjunto de regras do seu firewall, que estejam  erradas. Sem detalhes fica meio difícil ajudar. Contudo, aqui funciona perfeitamente com a porta 1049 (identificada em logs) liberada. A seguinte regra foi utilizada: iptables -t nat -A PREROUTING -s XXX.XXX.XXX.XXX -p TCP --dport 1049 -j  ACCEPT Onde XXX.XXX.XXX.XXX é o IP da máquina que tem acesso a esta porta. Ah! Talvez seja necessário liberar o retorno com "-m state". Caso não funcione, poste outra mensagem com mais detalhes. []s Ton ******************************************************** De: Bash Para: Antonio Olimpio de Melo , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Receita Federal Data: 25 Mar 2003 09:51:37 -0300 Eu utilizo o rc.firewall que baixei de http://www.e-infomax.com/ipmasq/ e ontem mesmo fiz a tranmissão da declaração. At 19:56 24/3/2003 -0400, you wrote: Alguem ja configurou o iptables para permitir a transmissao da declaração do imposto de renda pelo programa receitanet ? ******************************************************** SQUID De: Luiz Antonio Cassetari Vieira Filho Para: Gustavo { Ozzy } Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) --- Squid barrando enderecos por maquina --- Data: 29 Nov 2002 22:30:51 -0200 Em Sex 29 Nov 2002 12:19, Gustavo { Ozzy } escreveu: > Olá pessoal. Olá > preciso barrar, pelo squid, algumas maquina de minha rede laguns sites. > por exemplo: > a maquina de ip x so pode acessar www.fazenda.receita.gov.br > a maquina de ip y so pode acessar www.uol.com.br > como eu faço ? acl maquina src 192.168.1.1/255.255.255.255 acl url dstdomain fazenda.receita.gov.br http_access allow maquina url http_access deny maquina http_access allow all > eu sei como fazer o squid barrar todas as maquinas em certos endereços, > mas como faço para somente algumas maquinas acessar determinados > endereços? O truque para quando você estiver fazendo as acls, é se colocar no lugar do pacote. Pense que você é o pacote, e vá lendo as acls. A primeira acl que bater com o pacote, é a que vale. No exemplo acima por exemplo, tem a acl com o endereço ip da maquina e a acl com o domínio de destino. O acesso é permitido primeiro aos pacotes que virem daquele ip para aquele destino. Qualquer outra coisa que venha daquela maquina é bloqueado, e todo o resto (para outras maquinas) é liberado ;) > e outra, o squid precisará de autenticação ? (pois senaum, o usuário > troca o ip de sua estação e navega em sites naum permitidos do mesmo > jeito ... Sim.. Isso poderia acontecer. É o risco que se corre :/ > Aguardo ansioso... obrigado ******************************************************** SQUID De: Cleber P. de Souza Para: 'Carlos A Silva' , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Data: 14 Apr 2003 13:24:49 -0200 Para usar o Receitanet siga estas instruções que estão contidas no próprio site da Receita Federal: Permitir conexão inicial na porta 3456, tipo TCP com direção externa. PORT: 3456 TYPE: TCP DIRECTION: OUTBOUND Permitir conexões subsequentes para qualquer porta com direção interna. PORT: 0 TYPE: TCP DIRECTION: INBOUND Falow, **** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de Carlos A Silva Enviada em: segunda-feira, 14 de abril de 2003 10:34 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Pessoal, Nas estações Windows que utilizam-se da autenticação de senha (SQUID) na porta 3128 para acessar a internet, o RECEITANET e mais um montão de softwares (INSS, FGTS, CEF) não funcionam...Alguém conhece alguma configuração especial que deva ser usada no IPCHAINS do Firewall ou no SQUID prá isso funcionar ??? ******************************************************** SQUID De: Cleber P. de Souza Para: 'Carlos A Silva' , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Data: 14 Apr 2003 13:24:49 -0200 Para usar o Receitanet siga estas instruções que estão contidas no próprio site da Receita Federal: Permitir conexão inicial na porta 3456, tipo TCP com direção externa. PORT: 3456 TYPE: TCP DIRECTION: OUTBOUND Permitir conexões subsequentes para qualquer porta com direção interna. PORT: 0 TYPE: TCP DIRECTION: INBOUND Falow, **** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de Carlos A Silva Enviada em: segunda-feira, 14 de abril de 2003 10:34 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Pessoal, Nas estações Windows que utilizam-se da autenticação de senha (SQUID) na porta 3128 para acessar a internet, o RECEITANET e mais um montão de softwares (INSS, FGTS, CEF) não funcionam...Alguém conhece alguma configuração especial que deva ser usada no IPCHAINS do Firewall ou no SQUID prá isso funcionar ??? ******************************************************** SQUID De: fabiovieira@intertrim.com.br Para: ciclum@uol.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) RES: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Data: 17 Apr 2003 14:07:50 -0200 Fala Carlos, Voce deve liberar no seu firewall o acesso das máquinas da rede Internet à Internet na porta 3456 e, consequentemente, liberar as respostas desta para os seus clientes. Em ipchains, ficaria algo como (supondo que a politica padrão seja: INPUT -> DENY, FORWARD -> DENY e OUTPUT -> ACCEPT e a rede interna seja 192.168.1. 0/24)): ipchains -a input -p tcp -s 192.168.1.0/24 1024: -d 0.0.0.0/0 3456 -i if_int -j ACCEPT ipchains -a forward -p tcp -s 192.168.1.0/24 1024: -d 0.0.0.0/0 3456 -i if_ext -j MASQ ipchains -a input -p tcp -s 0.0.0.0/0 3456 -d ip_ext 1024: -i if_ext -j ACCEPT ! -y Se for com iptables ficaria algo como (com as políticas padrão INPUT, OUTPUT e FORWARD em DROP): iptables -A FORWARD -m state --state ESTABLISHED,RELATED iptables -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024: -d 0.0.0.0/0 -- dport 3456 -i if_int -o if_ext -j MASQUERADE Aqui aonde trabalho tenho regras similares a esta (além do squid em funcionamento) e tudo funciona sem problemas. Espero ter ajudado. Qualquer problema, entre em contato. Abraços, Fábio On 17 Apr 2003, Carlos A Silva wrote: >Caro amigo, vc já chegou a usar esse configuração em >conjunto com o SQUID?? >Ou seja, IPCHAINS e SQUID ativos??? > ******************************************************** De: William da Rocha Lima Para: Danilo Guilherme Oliveira , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Iptables + Squid Data: 24 Apr 2003 00:53:58 -0300 Compartilhe sua conexão por NAT (iptables) http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=32 Proxy Transparente http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=3 Olhe estes artigos.... ******************************************************************* De: Henrique Fassi Para: Victor de Araujo Greggio Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Squid e IRPF2003 Data: 29 Apr 2003 19:23:50 -0300 Olá Victor, Vc precisa liberar o NAT (pelo iptables), se estiver usando um kernel da série 2.4, ou o MASQUERADE (pelo ipchains), com um kernel 2.2.X, para os servidores da Receita Federal que estão recebendo as declarações. Libere para toda a rede 161.148.185.0/24 que vc não terá problemas. []'s Henrique Victor de Araujo Greggio wrote: Alguem está tendo problema com o programa Receitanet de envio de imposto de renda passando pelo squid? Tem alguma porta que tenho que liberar? Preciso fazer uma configuração diferente no micro que vai enviar passando pelo squi? Eu tenho configurado o Internet Explorer para acessar o proxy pelo endereço e porta e não por script. ******************************************************** RECEITA FEDERAL. De:  Cristian Helio Spanhol Para:  Rodrigo , linux-br@bazar2.conectiva.com.br Assunto:  Re: RES:(linux-br)Receitanet Data:  Wed, 17 Sep 2003 13:59:46 -0300 Vc tem que liberar além da porta 3456, a 3455. Tive problemas para liberar a mesma, mas depois que peguei esses dados na página da Receita ficou tudo legal. Cristian Spanhol ******************************************************** De:  Carlos Eduardo Para:  edu@vitapelli.com.br Cc:  Lista Linux Assunto:  Re: (linux-br)Duvida entre iptables e Caixa Economica Data:  Tue, 18 Nov 2003 08:32:40 -0200 Caro Chara Sabe por qual porta ele tenta-se se comunicar com a caixa? as vezes eh preciso saber a porta espcifica. Inclua a seguinte linha e tente conectar iptables -t nat -A POSTROUTING -s 192.168.0.25 -o eth1 -j MASQUERADE onde: 192.168.0.25 eh o IP da maquina qeu voce ta usando para acessar o site da CEF          eth1 eh a interface de saida, que conecta voce a internet Lembrando que e preciso estar carregando o iptable_nat antes de carregar a linha acima # modprobe iptable_nat sem mais, Carlos E. dos Santos ******************************************************** De: fabiovieira@intertrim.com.br Para: ciclum@uol.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) RES: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Data: 17 Apr 2003 14:07:50 -0200 Fala Carlos, Voce deve liberar no seu firewall o acesso das máquinas da rede Internet à Internet na porta 3456 e, consequentemente, liberar as respostas desta para os seus clientes. Em ipchains, ficaria algo como (supondo que a politica padrão seja: INPUT -> DENY, FORWARD -> DENY e OUTPUT -> ACCEPT e a rede interna seja 192.168.1. 0/24)): ipchains -a input -p tcp -s 192.168.1.0/24 1024: -d 0.0.0.0/0 3456 -i if_int -j ACCEPT ipchains -a forward -p tcp -s 192.168.1.0/24 1024: -d 0.0.0.0/0 3456 -i if_ext -j MASQ ipchains -a input -p tcp -s 0.0.0.0/0 3456 -d ip_ext 1024: -i if_ext -j ACCEPT ! -y Se for com iptables ficaria algo como (com as políticas padrão INPUT, OUTPUT e FORWARD em DROP): iptables -A FORWARD -m state --state ESTABLISHED,RELATED iptables -A FORWARD -p tcp -s 192.168.1.0/24 --sport 1024: -d 0.0.0.0/0 -- dport 3456 -i if_int -o if_ext -j MASQUERADE Aqui aonde trabalho tenho regras similares a esta (além do squid em funcionamento) e tudo funciona sem problemas. Espero ter ajudado. Qualquer problema, entre em contato. Abraços, Fábio On 17 Apr 2003, Carlos A Silva wrote: >Caro amigo, vc já chegou a usar esse configuração em >conjunto com o SQUID?? >Ou seja, IPCHAINS e SQUID ativos??? > ******************************************************** De: Henrique Fassi Para: Victor de Araujo Greggio Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Squid e IRPF2003 Data: 29 Apr 2003 19:23:50 -0300 Olá Victor, Vc precisa liberar o NAT (pelo iptables), se estiver usando um kernel da série 2.4, ou o MASQUERADE (pelo ipchains), com um kernel 2.2.X, para os servidores da Receita Federal que estão recebendo as declarações. Libere para toda a rede 161.148.185.0/24 que vc não terá problemas. []'s Henrique Victor de Araujo Greggio wrote: Alguem está tendo problema com o programa Receitanet de envio de imposto de renda passando pelo squid? Tem alguma porta que tenho que liberar? Preciso fazer uma configuração diferente no micro que vai enviar passando pelo squi? Eu tenho configurado o Internet Explorer para acessar o proxy pelo endereço e porta e não por script. ******************************************************** De:  Douglas Santos Para:  Eddy Roberto Martins Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)cmt.caixa.gov.br ( Iptables ) Data:  Thu, 29 Apr 2004 18:26:25 -0300 Em Qui, 2004-04-29 às 16:56, Eddy Roberto Martins escreveu: > Pessoal, estou com o seguinte problemas > a caixa economica federal tem a conectividade social > > jah liguei e conversei com eles e eles falam q nao pode passar por proxy Tirou a configuracao do proxy nas estacoes? Tente com: $IPTABLES -t nat -A PREROUTING ! -d IP-da-Caixa .... ******************************************************** De:  Carlos Eduardo Para:  Douglas Santos , Eddy Roberto Martins Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)cmt.caixa.gov.br ( Iptables ) Data:  Fri, 30 Apr 2004 07:35:29 -0300 Tentem estas regras no iptables que funciona legal ! iptables -t nat -A PREROUTING -p tcp -d 200.201.173.68 --dport 80 -j DNAT --to 200.201.173.68:80 iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.173.68/32 --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d 200.201.166.200 --dport 80 -j DNAT --to 200.201.166.200:80 iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.166.200/32 --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j DNAT --to 200.201.174.207:80 iptables -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.174.207/32 --dport 80 -j ACCEPT iptables -I FORWARD -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -I OUTPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT iptables -I INPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT as maquinas vão acessar o conectividade social na boa .. mesmo passando pelo proxy ******************************************************** De:  Linux Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid X FGTS Data:  Fri, 7 May 2004 07:55:25 -0300 Voce tem que incluir uma regra no firewall para acessar o ip da caixa direto iptables -t nat -A POSTROUTING -s x.x.x.x/24(sua rede) -d 200.201.174.207/24 -j SNAT --to x.x.x.x (sua placa de rede interrna gateway) -o ethX Tem outro problema, o servidor da caixa esta instavel segundo o suporte da caixa, dizem para tentar varias vezes e em diversos horarios, essa e a resposta do 0800 57 41041 da caixa e o erro de troca de chaves do gateway e o mesmo que tenho na empresa, porem se insistir consegue acessar. Roald ******************************************************** De:  Thiago Marum Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Squid X FGTS - Conectividade Social - CEF Data:  Fri, 7 May 2004 09:10:46 -0300 Oi Junior, Tive o maior problema com isso também e só resolvi depois que li o guia do administrador disponibilizado pela Caixa Economica (Conectividade Social/FGTS). Resumindo, vc deve alterar a sua regra do firewall que faz o proxy transparente para a seguinte: /sbin/iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.174.0/24 \ -p tcp --dport 80 -j REDIRECT --to-ports 3128 200.201.174.0/24 = Essa é a rede dos servidores que usam o protocolo proprietário. Não esqueça de liberar a porta 80 na chain FORWARD para essa mesma rede. Comentário Extra: Acho um absurdo uma instituição do porte da Caixa Economica Federal fabricar um software proprietário que use uma porta já homologada para um determinado protocolo (no caso o http - 80/tcp). []'s Thiago Marum #UIN 7840861 ----- Original Message ----- From: "Junior" To: "Discussao " Sent: Thursday, May 06, 2004 1:02 PM Subject: (linux-br)Squid X FGTS > Alguém usa o squid transparente e resolveu o problema do acesso ao site da > caixa, que tem o FGTS. > > Já alterei meu squid.conf nas seguintes opções:- > ******************************************************** De:  Georgios Tsicalas Para:  Linux-BR (E-mail) Assunto:  (linux-br) RESOLVIDO ! A cartada ! Squid X C.E.F X Conectividade Social Data:  Thu, 15 Jul 2004 10:09:18 -0300 Bom dia PessoALL O problema foi resolvido de acordo com a instruções do nosso amigo Daniel, de acordo com a regras eu estava fazendo errado mas agora funciona legal. iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -d internetcaixa.caixa.gov.br -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 A solução para meus usuarios é desabilitar o proxy e acessar os sites logo em seguida habilitar e continuar normalmente, essa foi a única solução, já tentei usar o squid always_direct e o no_cache e não rodou. Durante as googladas pela vida pude ler que algumas pessoas conseguiram fazer isso pelo squid, afinal pelo squid roda ou não ?!?!?! Só essa dúvida me resta. Obrigado a todos que contribuiram pela resolução do problema. Valeuz Daniel ! Atenciosamente, Georgios Tsicalas Auxiliar de Tecnologia da Informação Grupo ETASA * mailto: georgios@feci.com.br * (63) 223-0100 ******************************************************** De:  Marcos Montuleze Para:  'J.P.S.B' , 'linux]' Assunto:  RES: (linux-br)Proxy squid x FGTS Data:  Thu, 9 Dec 2004 08:10:04 -0300 Cara ( não consegui descobrir seu nome ), aqui na minha rede eu configurei com as regras abaixo e funciona perfeitamente, caso isso não resolva no site da caixa no mesmo local de acesso do FGTS tem um manual muito bom que tem algumas dicas de como configurar as estações de trabalho. E outra coisa caso você tente utilizar o Conectividade Social (sem ser pelo site), você terá que desconfigurar o proxy do browser para poder utilizar o sistema, pois ele dá pau quando o proxy está configurado. $IPT -t nat -A POSTROUTING -s $ESTACAO -d 200.201.174.0/255.255.255.0 -o $INTER -p tcp -m tcp -j MASQUERADE $IPT -t nat -A POSTROUTING -s $ESTACAO -d 200.201.173.0/255.255.255.0 -o $INTER -p tcp -m tcp -j MASQUERADE $IPT -A FORWARD -i $INTRA -p tcp --dport 2631 -j ACCEPT     #CONECTIVIDADE SOCIAL $IPT -A FORWARD -i $INTRA -p udp --dport 2631 -j ACCEPT     #CONECTIVIDADE SOCIAL Onde: IPT = /usr/sbin/iptables. INTRA = interface interna. INTER = interface externa. ESTACAO = IP de uma estação que acessa o sitema. > Ola para todos > Estou com um problema para habilitar o acesso da minha rede > interna ao FGTS > da  caixa. > Já tentei o comando abaixo e nada. Aparece sempre o erro > troca de chave > falhou > > iptables -t nat -A POSTROUTING -s x.x.x.x/24(sua rede) -d > 200.201.174.207/24 -j SNAT --to x.x.x.x (sua placa de rede interrna > gateway) -o ethX > > Uso o conectiva 8 e proxy transparente. > Alguém poderia me ajudar? > valew!! ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  J.P.S.B Cc:  linux] Assunto:  Re: (linux-br)Proxy squid x FGTS Data:  Thu, 9 Dec 2004 09:47:10 -0300 Olá, Não faça proxy transparente para esse endereço (200.201.174...), pois o sistema da caixa usa a porta 80 e não usa HTTP. Ex. iptables -t nat -A PREROUTING -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-ports 3128 Abraço! Alejandro Flores > Estou com um problema para habilitar o acesso da minha rede interna ao FGTS > da  caixa. > Já tentei o comando abaixo e nada. Aparece sempre o erro troca de chave > falhou > > iptables -t nat -A POSTROUTING -s x.x.x.x/24(sua rede) -d > 200.201.174.207/24 -j SNAT --to x.x.x.x (sua placa de rede interrna > gateway) -o ethX ******************************************************** De:  Fabio L. Ribeiro Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Fw: Proxy Squid x FGTS Data:  Thu, 9 Dec 2004 13:50:41 -0200 Olá Amigo, Altere a sua regra de proxy transparente para: iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 e adicione mais esta regra adicional: iptables -A FORWARD -p tcp -i eth1 --dport 80 -d 200.201.174.0/24 -j ACCEPT Espero ter ajudado.. Fábio > Ola para todos > Estou com um problema para habilitar o acesso da minha rede > interna ao FGTS > da  caixa. > Já tentei o comando abaixo e nada. Aparece sempre o erro > troca de chave > falhou > > iptables -t nat -A POSTROUTING -s x.x.x.x/24(sua rede) -d > 200.201.174.207/24 -j SNAT --to x.x.x.x (sua placa de rede interrna > gateway) -o ethX > > Uso o conectiva 8 e proxy transparente. > Alguém poderia me ajudar? > valew!! > ******************************************************** De:  hamacker Para:  J.P.S.B Cc:  Lista Linux Assunto:  Re: (linux-br)Proxy squid x FGTS Data:  Thu, 09 Dec 2004 15:10:39 -0200 Eu faço assim : $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p tcp --dport 2631 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL -p udp --dport 2631 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.202 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.203 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.204 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.205 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.206 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.207 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.208 -p tcp --dport 80 -j MASQUERADE $IPTABLES -t nat -I POSTROUTING -o $EXTERNAL -s 192.168.1.65/255.255.255.0 -d 200.201.174.209 -p tcp --dport 80 -j MASQUERADE $IPTABLES = /usr/bin/iptables $EXTERNAL = interface de rede ADSL (eth0) 192.168.1.65 = IP do micro que vai acessar conectividade social Alem disso o browser é configurado por uma URL que contem a seguinte instrucao para ignorar o proxy : internet.pac : (...) // A conecao para os sites de conectividade social devem ser diretas if (isInNet(host, "200.201.174.0", "255.255.255.0")) {     return "DIRECT"; } // Se todos is acima falharam entao uso proxy // (meu proxy squid ta na porta 8080 ao inves 3128) return "PROXY 192.168.1.5:8080"; []'s J.P.S.B wrote: Ola para todos > Estou com um problema para habilitar o acesso da minha rede interna ao FGTS > da  caixa. > Já tentei o comando abaixo e nada. Aparece sempre o erro troca de chave > falhou > > iptables -t nat -A POSTROUTING -s x.x.x.x/24(sua rede) -d > 200.201.174.207/24 -j SNAT --to x.x.x.x (sua placa de rede interrna > gateway) -o ethX > > Uso o conectiva 8 e proxy transparente. > Alguém poderia me ajudar? ******************************************************** De:  "Anselmo de A. Guimarães" Para:  Marcus Vincius Gonçalves Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)conectividade social Data:  Fri, 10 Dec 2004 15:09:22 -0500 Segue a solução : $FW -t nat -A PREROUTING -s $localnet -d 200.194.179.90 -p tcp --dport 80 -j ACCEPT $FW -t nat -A PREROUTING -p tcp -d 200.201.173.68 --dport 80 -j DNAT --to 200.201.173.68:80 $FW -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.173.68/32 --dport 80 -j ACCEPT $FW -t nat -A PREROUTING -p tcp -d 200.201.166.200 --dport 80 -j DNAT --to 200.201.166.200:80 $FW -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.166.200/32 --dport 80 -j ACCEPT $FW -t nat -A PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j DNAT --to 200.201.174.207:80 $FW -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.174.207/32 --dport 80 -j ACCEPT $FW -I FORWARD -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT $FW -I OUTPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT $FW -I INPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT Saudações, Anselmo Guimarães - MCSO Ola Lista, > > Estou passando pelo seguinte problema: > > Tenho um cliente onde tenho SQUID e IPTABLES. A previdencia libera o acesso > para verificar o fundo de garantia dos funcionários, para isso vc tem que se > logar com usuário e senha. O acesso demora, até cair. Segundo o suporte > tenho que ter as mesmas liberações para as portas 443 e 80, mas isso eu já > tenho liberado. > > Alguém já passou por esta experiência ? ******************************************************** De:  scsantos at unigranrio com br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)conectividade social Data:  Fri, 10 Dec 2004 15:54:39 -0200 O conectividade sosial usa a porta 80 porém não http (infelicidade dos caras que fizeram a aplicação para o povo usando uma porta usada pelo http). Então vc deve fazer com que ela passe por fora do squid e só. Lembre-se é 80 mas, não http. (é uma vpn para conectar na intranet deles). Existem um manual em pdf que explica melhor no site da caixa. Um fraterno abraço       Silvio Cesar L. dos Santos   Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO  (o_  //\            - Software Livre -  V_/_     conhecimento ao alcance de todos ******************************************************** De: scsantos at unigranrio com br Para: linux-br@bazar2.conectiva.com.br, stenioc1@hotmail.com Assunto: Re: (linux-br) Duvida Squid liberação de portas Data: Thu, 31 Mar 2005 08:59:34 -0300 Conectividade Social suba estas regras no final de suas regras de firewall # Regras Conectividade Social criadas antes de tudo $IPT -t nat -I PREROUTING -s $IFINT -d 200.194.179.90 -p tcp --dport 80 -j ACCEPT $IPT -t nat -I PREROUTING -p tcp -d 200.201.173.68 --dport 80 -j DNAT --to 200.201.173.68:80 $IPT -I FORWARD -p tcp -s $IFINT -d 200.201.173.68/32 --dport 80 -j ACCEPT $IPT -t nat -I PREROUTING -p tcp -d 200.201.166.200 --dport 80 -j DNAT --to 200.201.166.200:80 $IPT -I FORWARD -p tcp -s $IFINT -d 200.201.166.200/32 --dport 80 -j ACCEPT $IPT -t nat -I PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j DNAT --to 200.201.174.207:80 $IPT -I FORWARD -p tcp -s $IFINT -d 200.201.174.207/32 --dport 80 -j ACCEPT $IPT -I FORWARD -p all -s 200.201.174.0/24 -d $IFINT -j ACCEPT $IPT -I OUTPUT -p all -s 200.201.174.0/24 -d $IFINT -j ACCEPT $IPT -I INPUT -p all -s 200.201.174.0/24 -d $IFINT -j ACCEPT Um fraterno abraço !!! Silvio Cesar L. dos Santos Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO ----------------------------------------- (o_ //\ - Software Livre - V_/_ conhecimento ao alcance de todos ******************************************************** De: Felipe Para: linux-br@bazar2.conectiva.com.br Assunto: (linux-br)RESOLVIDO - Conectividade Social + Squid Transparente Data: Fri, 1 Jul 2005 14:30:44 -0200 Bom pessoal segui o que todos falaram sem desmerecer alguem e está rodando tudo certo. Ja para consulta de outros o resultado abaixo da regra adicionada! iptables -t nat -A PREROUTING -i "minha interface interna" -s \! 192.168.1.53 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128 iptables -A POSTROUTING -t nat -o "minha interface externa" -j MASQUERADE Obrigado a todos! ******************************************************** De: Eddy Martins Para: linux Assunto: (linux-br)Re: Conectividade Social + Squid Transparente (Help) Data: Fri, 01 Jul 2005 08:16:36 -0300 --=-wKu7COy1uybCbYCEe/6/ Content-Type: text/plain Content-Transfer-Encoding: quoted-printable veio... sofri bastante para fazer a conectividade funcionar.... vou passar o q vc tem q fazer LOCALNET=3Deth0 iptables -A FORWARD -i $LOCALNET -d 200.201.173.68 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i $LOCALNET -d 200.201.174.0/255.255.255.0 -j ACCEPT iptables -t nat -A PREROUTING -i $LOCALNET -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128 kara vc colocarndo isso no firewall... mesmo com o proxy transparente funciona normal... Eddy Roberto Martins Adm Redes Linux / Windows Solucoes em Linux. eddy@msysteminf.com ******************************************************** De: Nataniel Klug Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Conectividade Social + Squid Transparente (Help) Data: Fri, 1 Jul 2005 08:36:01 -0300 Felipe, Eu também levei tempo para conseguir, e ficou assim: #---------- # Regras para funcionamento do Conectividade Social da CEF #---------- $IPTABLES -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80 $IPTABLES -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80 PS.: Não precisa explica as regras... ;) Atenciosamente, NATANIEL KLUG Gerente Cyber Nett http://www.cnett.com.br/ CREA-PR 79201/TD ******************************************************** De: Jorge Godoy Para: Gilmar Cabral Cc: Linux-BR Lista Assunto: Re: (linux-br)Squid Autenticado + Conectividade Caixa Data: Wed, 11 Jan 2006 20:24:40 -0200 Gilmar Cabral writes: > Alguem sabe se e possivel fazer o programa da caixa conectividade social > funcionar em ambiente com proxy autenticado, aki ele funciona mas tenho q > ficar tirando o proxy no navegador quando ele conecta. > Alguem conhece alguma solução para este tipo de problema. Faça-o passar direto, sem usar o proxy. Há diversos exemplos de configuração para isso no Google e até mesmo na documentação do sistema da CEF. Sem falar que você pode configurar o próprio proxy para deixar isso passar direto. -- Jorge Godoy ******************************************************** De: Jorge Godoy Para: Gilmar Cabral Cc: Linux-BR Lista Assunto: Re: (linux-br)Squid + cmt.caixa Data: Sun, 22 Jan 2006 22:50:03 -0200 Gilmar Cabral writes: > Alguem sabe como fazer para uma rede q utilizar o squid com autenticação fazer > com o site da caixa cmt.caixa.gov.br acessar atraves do squid com > autenticação, parece q tem q fazer o cerfiticado passar por fora do squid. > Aguem poderia me ajudar. Há um documento no site da Caixa... Dê uma olhada. Os programas lá têm a estupidez de usarem criptografia e uma conexão especial na porta 80, e o jeito mais fácil é deixar passar sem ser pelo squid -- já que não é HTTP e nem HTTPS... -- Jorge Godoy ******************************************************** De: Jorge Godoy Para: Mauricio Teixeira (netmask) Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Dúvida Concetividade Social Data: Fri, 04 Aug 2006 15:45:40 -0300 "Mauricio Teixeira (netmask)" writes: > Libere o seguinte conexões com destino ao 200.201.174.204 porta tcp > 2631. 2631 é o SEFIP. ;-) Para o Conectividade social não pode passar pelo proxy -- na verdade, você deve dizer para fazer uma conexão direta no proxy e ele não vai processar o tráfego... -- Jorge Godoy ******************************************************** De: Nil Anderson Martins da Silva Para: João Paulo S Bertoncini Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) erro na conectividade da caixa Data: Wed, 11 Apr 2007 13:04:12 -0300 Em 10/04/07, João Paulo S Bertoncini escreveu: > Boa tarde lista > Bom meu problema esta relacionado com a conectividade social da caixa. O > maior problema esta na transferência do arquivo para a caixa. Já procurei na > Internet e peguei vários exemplos mas o erro ainda aparece. Uso slackware + > iptables + squid transparente. > Alguém tem algum exemplo de firewall pra me enviar. > Valew!!! Boa tarde Paulo O CNS não funciona através do squid, já passei por isso na empresa que trabalho. Os procedimentos que devem ser realizados, são os seguintes: - Devem ser criadas regras de SNAT, liberando as estações que utilizam o software para os seguintes destinos: -> 200.198.194.0/24 -> 200.201.173.0/24 -> 200.201.174.0/24 - Devem ser criadas regras de DNAT, antes da regra de Proxy Transparente, especificando os mesmos IP's acima com ação: ACCEPT Destino: -> 200.198.194.0/24 -> 200.201.173.0/24 -> 200.201.174.0/24 Ação: ACCEPT Desta forma, é criada uma exceção no Proxy. Espero ter ajudado. Abraço. -- Att, Nil Anderson - TI ******************************************************** ******************************************************** ********************************************************