[FUG-BR] Conectividade social problemas com maquina fora doproxy

Alessandro de Souza Rocha etherlinkii em gmail.com
Quinta Janeiro 4 09:19:56 BRST 2007


Em 04/01/07, Roberto Rodrigues<robertors em bs2.com.br> escreveu:
>
> > Olá,
> >
> > O Sr. Diogo havia entrado em contato comigo em off sobre a questao do
> > problema com o conectividade social,
> > Falei pra ele que nao sou funcionario da caixa, mas que posso relatar
> > minha esperiencia com o software.
> >
> > Segue abaixo:
> >
> > Nosso ambiente:
> >
> > Servidor Gateway: FreeBSD 5.4 + PF + Squid com auth.
> > Cliente ( windows ):  WinXP sp1 + M$ IE 6 + M$ Java ( jre )
> >
> > Procedimentos realizados:
> >
> > 1 - Tirei a maquina cliente que vai usar o CS (conectividade social ) do
> > rdr do proxy.
> >
> > 2 - Liberei as redes da caixa no firewall e mantive estado das conexoes.
> > A maquina estava com NAT para seu ip nao roteavel e com a porta 80
> > liberada para acesso externo ( e liberei conexoes entrantes tb rsrsr )
> >
> > 3 - Desistalei o Java da Sun e instale o java da M$,  download em:
> > http://shop.condomi.com/Java_XP/MSJavx86.exe
> > <http://shop.condomi.com/Java_XP/MSJavx86.exe>
> >
> > 4 - Entrei no site do banco do brasil e acessei o teclado virtual para
> > certificar que o Java da M$ foi instalado com sucesso. (Apareceu o
> > teclado virtual em contas ).
> >
> > 5 - O Conectividade Social soh funciona com o M$ internet Explorer, e
> > com o Java da M$, nem tente java da sun e navegador firefox.
> >
> > 6 - Habilitei o JVM no navegador ( aquelas 3 opcoes )
> >
> > 7 - Fechei o navegador e até reiniciei a maquina windows para aplicar as
> > alteracoes.
> >
> > 8 - Tentei acessar o site da caixa...  E não funcionou.
> >
> > 9 - Nunca entre em contato com o suporte da caixa, ele iram fazer vc
> > passar raiva. ( risos )
> >
> > *** Na "epoca" monitorei com o tcpdump para verificar como funciona e o
> > que esta falhando:
> >
> > - O programa da caixa realiza uma conexao no servidor da caixa.
> > - Baixa um "servidorzinho" http feito em java. Que ira rodar na maquina
> > cliente esperando com conexoes.
> > - O programa da caixa se conecta neste "servidorzinho java" em localhost,
> > - O "servidorzinho" envia os dados "criptografados" para os servidores
> > da caixa.
> > - Parece que os servidores da caixa tenta se conectar neste
> > servidorzinho tb.. ( tudo extranho )
> >
> > ** nao sei se eh isso mesmo... pelo menos foi o que eu descobri. ( nao
> > achei documentacao sobre o assunto )
> >
> > Quais os problemas:
> >
> > - Se vc utilizar o proxy, o proxy nao ira entender os dados
> > criptografados e ira descartar os dados.
> > - Se vc nao tiver nat para a maquina, o "servidorzinho" java nao sera
> > baixado.
> > - Se vc nao tiver a rede da caixa liberada, vc nao irá conseguir se
> > comunicar com os servidores da caixa e nem baixar o servidorzinho.
> > - Se vc nao tiver o Java da Bendita M$ ( que ja nem existe mais ), o
> > "servidorzinho" nao ira rodar. Logo ninguem vai conseguir conectar nele.
> >
> > Obs.: Em meus testes na epoca... vi que a caixa tenta realizar conexoes
> > entrantes tb... ( extranho )
> >
> > Como resolvi:
> >
> > Em meu caso ( existem varios casos *** ), o "servidorzinho" feito em
> > java, nao estava sendo baixado... e quando o programa da caixa ia
> > conectar em localhost no servidorzinho... ele falhava.. e ficava
> > entando... tentando...
> >
> > O que fiz:
> >
> > Com a ajuda do meu amigo tcpdump, verifiquei que ele sincronizava a
> > conexao para baixar o "servidorzinho" java.. mas nao baixava o danado.
> > ( o servidor da caixa sincronizava a conexao, dava uns push e depois
> > dava um Reset do nada... tentava dinovo e ficava parado.. e nada. )
> >
> > Entao tentei liberar tudo !! Tudo mesmo ( deixa o firewall somente com
> > um nat muito simples e pass all ).   E nada de funcionar.
> >
> > Ai resolvi usar o ipfw... e funcionou !
> > Nao alterei nada no cliente, e funcionou...
> > Ai eu matei o ipfw e subi o pf.. ai nao funcionou...
> > Apos subi o ipfw novamente e funcionou..
> >
> > Verifiquei com tcpdump, e com o ipfw ele baixava o "servidorzinho"
> > normalmente. Mas com o PF nao baixava.
> >
> > Com iptables tb funcionou... soh com o pf que nao
> >
> > Obs.: somente mudei de firewall (nat).. nao alterei mais nada...
> >
> > Fazendo Nat com ipfw e regras com o pf tb funcionou.
> >
> > Detalhe: Tive esse tipo de problemas da conectividade social soh com 2
> > clientes ! tenho 16 clientes... o resto sao aqueles probleminhas besta
> > de java e liberacao do proxy mesmo...
> >
> > Sobre o Nat do PF:
> >
> > Em nenhum momento falei que o Nat do PF nao funciona.. pois uso muito ele..
> >
> > Mas o PF ja me deixou na mao 3 vezes:
> >
> > - Problemas com NAT ao utilizar FTP em modo passivo. Resolvi fazendo nat
> > com ipfw.
> > - Problemas com Altq, esses eram aleatorios.. .e é soh aplicar as regras
> > novamente que o problema se resolve. ( fiz um script no cront pra fazer
> > isso por mim... gambi.. nao faça isso.. rsrs
> > - Outros problemas que ao aplicar as regras novamente resolve.
> >
> > O giovanni tb fazia isso... ( risos )
> >
> > Gosto muito do pf.. e estou usando ate hoje.. mas as vezes prefiro o
> > ipfw e até iptables...
> >
> > Tudo que descrevi é minha opniao/esperiencia pessoal... e esta sujeita a
> > modificacoes. rsrsr
> >
> > desculpem-me os erros de portugues... mas to sem tempo agora...
> >
> > fui
> > --
> > Roberto Rodrigues.
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> hi,
>
> Somente para Proxy com Autenticacao,
>
> Esqueci de um detalhe importante, no item "Procedimentos realizados:"
> após o passo 2:
>
> Para proxy com autenticacao ( nao eh necessario para proxy trans.. ), vc
> deve configurar o navegador para que a rede da caixa esteja na lista de
> **exeção** do proxy.  ( para que o navegador nao envie os dados da caixa
> para o proxy )
> Se vc NAO fazer isso.. vc vai estar enviando os dados para o proxy.. e
> ele nao sabera o que fazer com os dados.
>
> Para isso, abra o M$ IE --->>> Menu "Ferramentas" ---->>> Aba "Conexões"
> ---->>> clique na opcao "Configurações da LAN "--->>> Vai estar marcado
> a opção "Usar um servidor proxy.... ", entao marque a opcao: "Nao usar
> proxy para endereços locais"   --->>> Clique em "Avançado" --->>> Em
> "Exceções" Inclua os endereços da rede da caixa. ( use ; para separar os
> enderecos das redes ) ou clique em "ajuda do windows" para saber como
> separar os enderecos.
>
> mais detalhes em off.
>
> vlw
> --
> Roberto Rodrigues.
> Gtalk: beto.rrs em gmail.com
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

como falei anteriomente so o java da ms funciona com conectivade outra
coisa e redirecionar a faixa de ip da caixa tirando do proxy caso rdr
on $ext_if proto tcp from 200.187.6.69/24 to any port 80 ->
192.168.0.0/24

-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117


Mais detalhes sobre a lista de discussão freebsd