Pra quem já teve ou tem problemas em acessar os programas da caixa vai aí mais uma dica:
Esse cenário considerou que existia um servidor Linux. Este servidor contém duas placas de rede onde a eth1 é a rede Wan, ou seja, é onde você está recebendo o seu link de internet. A eth0 é a rede lan, ou seja, é a rede local de sua empresa. Esse servidor está rodando o squid como proxy da internet e o iptables como firewall.
Configure o seu squid normalmente mas, de preferência como proxy transparente por que todas as maquinas passarão pelo proxy forçadamente sem contar que vai acabar com a alegria dos espertinhos que insistem em ficar alterando a configuração do proxy nos browsers.
Com o Proxy configurado e rodando certinho vamos agora ao “X” da questão.
Para liberar os programas da caixa como por exemplo, o “conectividade social”, substitua a sua regra de firewall existente que deve ser esta:
iptables -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT --to-port 3128
Por esta:
iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
Essa regra desvia todo o tráfego da porta 80, exceto aquele tráfego cujo destino é o site da CAIXA (200.201.174.207). Assim quando esse site é acessado, não é feito cache no proxy e os programas da caixa terão acesso direto.
Não precisa reiniciar o servidor. Mas se você puder se dar ao luxo de parar a sua rede para reiniciá-lo seria muito interessante.
Vá até uma estação de trabalho que pode ser uma maquina qualquer da rede, teste o “conectividade social” e verifique se a regra funcionou.
Abraço e até a próxima.
show de bola!
ResponderExcluirMuito bom mesmo
ResponderExcluirMas diga ai tenho um mikrotik rotiando, balanceando etc e server linux trabalhando como proxy transparente neste caso como fica as regras pra liberar o conectividade social
abraço
Vou por um tutorial de como fazer isso pra você.
ResponderExcluirObrigado por sua visita.
opa gostei da forma mais como vc aplica quando são varios sites a fazer esse tipo de liberaçao °???
ResponderExcluirtipo nao sei se e a forma mais correta mais faço assim no meu firewall
iptables -A FORWARD -i eth0 -p tcp -s 172.16.1.0/24 -d 200.201.174.0/255.255.0.0 -j ACCEPT
Opa, pelo o que entendi você está pegando tudo que vem da sua rede 172.16.1.0/24 e se tiver o como destino 200.201.174.0/255.255.255.0 você irá aceitar. Perfeito, mas fique atento porque você liberou assim toda a rede 200.201.174.0, onde na verdade os programas da caixa só precisa do 200.201.174.207. Mas se realmente for necessário é isso aí mesmo que você postou.
ResponderExcluirObrigado por participar do meu blogger.
Qualquer coisa estamos aqui para tentar te ajudar.
Abraço.
Valeu Jordão
ResponderExcluirFicou fantastico as regras adicionias que vc me enviou por e-mail ai funcionou perfeito pode publicar que vai ser otimo pro pessoal
abraços
jeanfrank
Vi que pelos comentários que consegiram deixar o conectividade liberado porém eu não consegui apos ter implementado o redirecionamento que vc postou dar o seguinte erro. http://img527.imageshack.us/img527/2856/erroconectividadesocial.jpg
ResponderExcluirAki na empresa sempre tenho q colocar ip fixo para entrarem no conectividade, é fods.... Me dar uma força aee vlw... Gleyd
Gleyd, eu posso tentar te ajudar sim mas esse problema está relacionado a outro erro não é o erro de liberação do programa.
ResponderExcluirSe possível me passe um e-mail ou msn pra que eu possa entender melhor o que está acontecendo ok?
Abraço.
MUUUUUUUUUUUUUUUUUUUUITO OBRIGADO CARA! SALVOU! hehehe Abraço!
ResponderExcluirAmigo, primeiramente gostaria de agradecer sua ajuda! Consegui fazer funcionar sim, porem, me apareceu uma dúvida.
ResponderExcluirAntes minha linha era essa:
$IPT -A PREROUTING -t nat -p tcp -s $LAN2_NET -d! 201.91.195.170 --dport 80 -j REDIRECT --to-port 3128
Ou seja, já tinha negado para um IP: 201.91.195.170.
Depois mudei para:
$IPT -t nat -A PREROUTING -i eth2 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
Deu certo o site da caixa! Mas preciso que AMBOS os sites (201.91.195.170 e 200.201.174.207) sejam execeções. Muito obrigado.
Olha, eu nunca precisei, mas adicione uma segunda linha de nat igual à primeira mudando apenas o endereço ip da exceção e veja se funciona.
ResponderExcluirEu inserir a segunda linha aqui e os dois ips passou a ser listado na tabela de exceção de nat, sendo assim é preciso apenas testar.
Se possível me dê um retorno dizendo se funcionou.
Obrigado pela atenção!