Uma solução para o site do conectividade social



  • Bom todo mundo já deve ter passado pelo bendito site da caixa do conectividade social, http://cmt.caixa.gov.br, o usuário dhipo já tem algo parecido mas a solução dele não funcionou comigo, então fazendo alguns testes cheguei na seguinte condição:
    Criar um alias com o ip do computador ou computadores que acessam o site,
    editar o squid.inc e alterar a seguinte linha:
    $rules .= "rdr on $iface proto tcp from any to ! ($iface) port 80 -> 127.0.0.1 port 80\n";
    por isto
    $rules .= "rdr on $iface proto tcp from ! <aliascriado>to ! ($iface) port 80 -> 127.0.0.1 port 80\n";
    Fiz isto lendo este http://forum.pfsense.org/index.php/topic,6169.0.html e mais alguns.
    Pessoal claro que pode ser feito algo mais correto, mais no meu caso que apenas  um computador acessa o site fica fácil, agora um escritório de contabilidade com mais micros o ideal seria criar o alias com os ips dos sites e alterar o to ! <alias>.

    Do tutorial do dhipo como vcs podem ver a única alteração é a respeito do ! antes da alias, ele apenas irá passar o rdr mas negará o que estiver contido na alias.</alias></aliascriado>



  • Boa maldito site da caixa pelo menos vai funcionar agora



  • a unica parte ruim e que esses ip's não vao sofrer as restrições do proxy (se houver), ou não
    vão aparecer no relatório de acessos.
    Acredito que seria melhor alterar a regra criada automaticamente de redir baseado no destino.
    Estou tendo um problema parecido com a ANS, vou fazer alguns testes depois posto aqui.



  • Pessoal, comigo não funcionou  :( , no meu caso é apenas uma única máquina com esse problema, alguém sabe se houve alguma alteração de versão ou no comportamento do Squid em si, tentei com regras no firewall e também não consegui, se alguém tiver uma luz para essa maldita conectividade

    []'s



  • só uma perguntinha, você tirou o java da sun do internet explorer, precisa usar o java da microsoft, outra se usar o nod32 como antivírus recomendo fechar a proteção da internet senão não funciona de jeito nenhum.

    Acho que deveríamos fazer um pedido de uma linha no squid pra passar direto, assim como tem a linha do não fazer cache deveria ter outra pro site passar diretamente, mas acho complicado alguém mecher nisso.

    Abraços



  • Oi Rafael, tirei sim, e no desespero removi tanto o NOD, e qualquer antivirus da máquina, nesses testes todos que eu fiz consegui fazer funcionar, mas sem o squid, ou seja dando um bypass no squid em todas as máquinas o mais interessante é que eles usam várias e várias aplicações proprietárias, bancos, contabilidade receita federal e nenhuma delas ocorre problemas só pela conectividade, o suporte da caixa também não me ajuda muito, para contornar a situação provisoriamente toquei ele por uma outra saída de internet e funcionando o problema é que fica sem qualquer bloqueio.

    Acredito que uma regra específica no squid para contornar esses casos seria o ideal, pois a gente nunca sabe quando uma aplicação dessas novas vá  dar algum problema com o squid. Assim que conseguir alguma novidade eu posto aqui.



  • Pessoal, a gambiarra mais elegante que eu achei foi fazer da seguinte forma:

    editar o arquivo:
    /usr/local/pkg/squid.inc
    trocar
    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } port 80\n";
    por
    $rules .= "no rdr on $iface proto tcp from any to { 200.201.173.0/24, 200.201.174.0/24, 192.168.0.0/16, 172.16.0.0/12, 10.0.0
    .0/8 } port 80\n";

    depois marca a seguinte opção nas configuracoes do proxy server:

    "Do NOT proxy Private Address Space (RFC 1918)"

    Pensei em mudar para um alias, ficaria bem interessante.

    Abracos



  • Olá Max, funcionou perfeitamente  :) , não sei por que, mas só consegui fazer funcionar por essa última forma, agora no meu caso a solução está completa, todos os bloqueios funcionando, a conectividade funcionando, o roteamento também, eu ja estava quase desistindo  ??? , obrigado a todos pelas dicas postadas, valeu mesmo me poupou uma grande dor de cabeça.

    []'s

    Felipe



  • bom pra mim a solução funcionou perfeitamente, o único detalhe é que depois um site inventou de não abrir e removi completamente o squid, sei lá o que o pfsense e o squid tem mais os dois não são uma combinação muito boa, em outros lugares as vezes o site num pc abre em outro não, não sendo configuração diferentes e nem problemas de dns, simplesmente no firefox ou ie um funciona outro não, e assim vai indo, espero que logo seja resolvido esses problemas, vamos esperar pela 1.3



  • Funcioandoooooooooooo também!

    Abraçãooo! ;D


Log in to reply