Receitanet + IPTABLES
-
March 20, 2013, 7:53 p.m.Pessoal, gostaria de saber se alguém aqui da lista, utiliza IPTABLES +
SQUID através de uma conexão ADSL e conseguiu fazer o milagre de enviar
alguma coisa pelo Receitanet.
Eu estou ficando com cabelos brancos de tanto tentar e não vai nada para
frente, se alguém tiver alguma luz e puder passar essa informação, saiba
que será de grande valia.
--
Jorge Mendes - jlsmds@gmail.com
Saiba mais sobre poder legislativo
vassourense, visitando o site:
www.camaravassouras.rj.gov.br -
March 20, 2013, 8:19 p.m.Jorge,
Creio que você deve abrir a porta para que o receita net passe através do
firewall, para isso siga as orientações da receita federal.
http://www.receita.fazenda.gov.br/pessoafisica/receitanet/duvidas/firewall.htm
Abraços,
UaiGeek - Angelo Marcondes de Oliveira Neto.
Blog do UaiGeek
Carneirinho - MG
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - -
P: Por que esta mensagem é tão curta?
R: http://3frases.efetividade.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - -
Em 20 de março de 2013 16:53, Jorge Mendes -
Jorge Mendes
March 20, 2013, 8:54 p.m.Então meu caro amigo Angelo, o que me falta, é saber como traduzir isso
para a linguagem Iptablesnês.
Minha situação é o seguinte: Tenho meu servidor (Ubuntu rodando Squid proxy
+ IPTABLES) conectado a um modem ADSL através da interface eth2, que faz
uma conexão pppoe através do pppoeconf. Nesse mesmo servidor tenho a
interface (eth1) que está ligada a minha rede interna, com o ip fixo:
10.3.140.130.
Em 20 de março de 2013 17:19, Angelo Marcondes de Oliveira Neto <
angelomarcondes@gmail.com> escreveu: -
March 20, 2013, 8:58 p.m.No meu caso, liberei o acesso via iptables:
#libera acesso sem proxy para receitanet
iptables -t nat -A PREROUTING -p tcp -d 161.148.231.100 -j ACCEPT
iptables -A FORWARD -p tcp -d 161.148.231.100 -j ACCEPT
também pode ser liberado diretamente no squid.conf
http_access allow receita.fazenda.gov.br dominio.com.br etc...
Celso Magela de Almeida
Assessor TI
Câmara Municipal de Poços de Caldas - MG
www.pocosdecaldas.mg.leg.br
35 - 3729-3840 - 8805-7054
*-- Por que esta mensagem é tão curta? -- **Resposta:
http://3frases.efetividade.net* * --* -
March 20, 2013, 11:18 p.m.Obrigado pela dica Celso e Angelo, amanha primeira coisa que farei, é
aplicar essas regras.
Celso, no caso, sua conexão é de qual tipo? Seria ADSL também?
Forte abraço e obrigado!!!
Em 20 de março de 2013 17:58, celso magela de almeida <
celso@pocosdecaldas.mg.leg.br> escreveu: -
March 21, 2013, 12:23 a.m.a minha conexão hoje é dedicada, mas usava a mesma regra com o ADSL
vou explicar detalhado mesmo que você saiba algumas etapas, pois outros
podem não saber...
primeiro você precisa verificar qual IP o usuário está tentando conectar
usando o receita-net.
Liste as conexões que estão sendo solicitadas ao squid usando o comando
"tail -f /var/log/squid/*access*.*log"
S*e o seu arquivo de log estiver nesse endereço( /var/log/squid/) esse
comando vai listar as novas linhas que estão sendo inseridas no acces.log.
Se você usar "tail -f /var/log/squid/*access*.*log | grep 192.168.0.tal" *,
você poderá ver as novas linhas que estão sendo inseridas pelo squid no log
referente ao IP "*192.168.0.tal" (em tempo real). *Nessas linhas, irão
aparecer os acessos negados pelo squid com a marcação "DENIED"
Nessa linha, terá endereço que o navegador está tentando acessar e o IP.
você só precisa colocar esse endereço para liberação no iptables ou no
squid.conf.
qualquer dúvida, estou às ordens!
*
*Em 20 de março de 2013 20:18, Jorge Mendes <
jorgemendes@camaravassouras.rj.gov.br> escreveu: -
March 21, 2013, 1:21 a.m.Obrigado pelas dicas Celso, vou fazer isso amanhã.
Qualquer coisa entro em contato novamente, acho esse assunto
interessantíssimo, não somente pra gente, mas como para várias câmara
municipais.
Em 20 de março de 2013 21:23, celso magela de almeida < -
March 21, 2013, 3:38 p.m.Bom dia, Jorge.
Aqui utilizei a informação do site:
http://www.receita.fazenda.gov.br/pessoafisica/receitanet/perguntasrespostas/receitanetpergresp.htm
Item 28
E liberei a porta 3456 no meu iptables, foi o que bastou e funcionou legal.
Espero ter colaborado.
Abraços e até mais!
Marcelo Heleodoro
Câmara de Pindamonhangaba -
March 21, 2013, 5:56 p.m.Boa tarde Marcelo, ajudou sim cara, mas como dito anteriormente, eu tenho
dificuldade para implementar isso no firewall.
Pior que eu fiz o que o Celso indicou e não deu certo.
Meu modem ADSL está com as configurações originais.
Meu firewall está bem simples, deixei ele totalmente aberto, ele apenas
limpa o iptables, faz conexão pppoe e libera o receitanet.
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#liberar receitanetMeu squid.conf está assim:
http_port 3128
visible_hostname cmvsquid
cache_mem 1024 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 2048 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 24096 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 25 20% 3420
refresh_pattern ^gopher: 25 0% 3420
refresh_pattern . 25 20% 3420
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 3456 # receitanet
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl liberados src "/etc/squid/liberados"
http_access allow liberados
# bloqueando sites
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
# bloqueando palavras
acl nomesproibidos dstdom_regex "/etc/squid/nomesproibidos"
http_access deny nomesproibidos
acl redelocal src 10.3.140.128/25
# controle de banda - 1 mega para cada usuário
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 131072/131072
delay_access 1 allow redelocal
http_access allow localhost
http_access allow redelocal
Será que tem algo de errado neles?
Forte abraço!
Em 21 de março de 2013 12:16, Marcelo Heleodoro <
marcelo@camarapinda.sp.gov.br> escreveu: -
Douglas Braga
March 21, 2013, 6:13 p.m.Jorge, vc incluiu o domínio receita.fazenda.gov.br no
seu /etc/squid/liberados ?
O Celso mencionou que vc pode fazer diretamente pelo squid. Retire as duas
regras do iptables que vc incluiu e inclua o domínio no seu arquivo de
liberados. Não funciona assim?
Outra coisa, vc auditou o arquivo access.log pra constatar o negado?
Douglas
CM Poços de Caldas
Em 21 de março de 2013 14:56, Jorge Mendes < -
March 25, 2013, 5:04 p.m.Então pessoal!
Tentei tudo que me passaram, mas nada deu certo, não é possível que eu
viaje tanto nisso.
O tail não exibe mensagem nenhuma quando tento enviar algo pelo receitanet,
parece que nem chega no proxy.
Então eu fiz isso:
Coloquei meu squid.conf totalmente simples:http_access allow all
Meu firewall, está assim:Tudo mais simples possível e mesmo assim, não vai de jeito nenhum, ele me
apresenta a mensagem:
*Erro resolvendo o nome do servidor, por favor verifique sua conexão e
configuração DNS.*
*
*
O que pode ser? -
March 26, 2013, 4:28 p.m.Em 25-03-2013 14:04, Jorge Mendes escreveu:Problema de DNS. Esta mensagem aparece no aplicativo receitanet?
Att
Sérgio -
March 26, 2013, 7:14 p.m.Isso Sérgio, aparece no programa da Receita.
-
March 27, 2013, 1:33 p.m.Meu amigo,
Não tenho a menor ideia...
Eu uso duas opçoes...
dois arquivos com as regras de iptables.. um com todas as regras
configuradas certinhas e outro liberando tudo...
quando esse tipo de coisa acontece, eu uso a regra que libera tudo... aí,
mesmo que não use proxy, funciona....
estou colocando as regras logo abaixo.##ESTE ARQUIVO ERA O ANTIGO "FIREWALL - REMODELADO" QUE AINDA ESTA EM TESTE
.......
# ####RECONFIG. 28-JUNHO PARA USO DA INTERNET DEDICADA####
# interface on-board eth1-rede EXTERNA
# interface off-board eth0-rede INTERNA
INTERNA=eth0
EXTERNA=eth1
#carrega modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
echo -n "limpando regras..."
#limpar tabelasiptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARDiptables -t filter -F#limpar chains criadas
iptables -X
iptables -t nat -X
iptables -t filter -X
iptables -t mangle -X
#zerar contadores
iptables -Z
iptables -t nat -Z
iptables -t filter -Z
iptables -t mangle -Z
echo "regras limpas!"
#ativa roteamento no kernel#ativa protecao contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#estabelece politica de LIBERAR TUDO
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "acessos fora do proxy..."
echo -n "ativando o proxy e mascaramento..."
#mascarando pacotes para a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A INPUT -i eth0 -p tcp -j ACCEPT
echo "... ativados!"
Em 26 de março de 2013 16:14, Jorge Mendes <
Jorge luis Souza Mendes
Angelo Marcondes
Celso Magela de Almeida
Marcelo Heleodoro
Sérgio Roberto Damiati
