[FUG-BR] Conectividade social problemas com maquina fora doproxy

Roberto Rodrigues robertors em bs2.com.br
Quarta Janeiro 3 17:57:15 BRST 2007 

> Olá,
>
>   O NAT do PF funciona muito bem e não acho que ele esteja causando os 
> problemas com o software da CEF. Essa questão do JVM é quase certa: não 
> adianta ter outra VM, tem que ser a da M$. Verifique qual você está 
> usando no site abaixo:
>
>    http://www.java.com/en/download/help/testvm.xml
>
>   Se o CS ficar parado e no browser você ver "Connecting to 
> 127.0.0.1..." pode ter certeza que é problema com o Java que não abriu o 
> mini-servidor local que ele usa.
>
>   Caso vocês estejam com tempo e queira investigar/documentar melhor 
> como a aplicação funciona, minha sugestão é fazer um NAT simples e 
> redirecionar tudo para essa máquina de testes. Depois é só fechar todo e 
> qualquer programa que utilize a Internet e iniciar o _tcpdump_ no 
> servidor para capturar tudo. Depois você pode até carregar o arquivo no 
> Wireshark/Ethereal para facilitar.
>
> Boa sorte,
>
> --
> Giovanni P. Tirloni
> http://tirloni.org
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>   
Olá,

O Sr. Diogo havia entrado em contato comigo em off sobre a questao do 
problema com o conectividade social,
Falei pra ele que nao sou funcionario da caixa, mas que posso relatar 
minha esperiencia com o software.

Segue abaixo:

Nosso ambiente:

Servidor Gateway: FreeBSD 5.4 + PF + Squid com auth.
Cliente ( windows ):  WinXP sp1 + M$ IE 6 + M$ Java ( jre )

Procedimentos realizados:

1 - Tirei a maquina cliente que vai usar o CS (conectividade social ) do 
rdr do proxy.

2 - Liberei as redes da caixa no firewall e mantive estado das conexoes.
A maquina estava com NAT para seu ip nao roteavel e com a porta 80 
liberada para acesso externo ( e liberei conexoes entrantes tb rsrsr )

3 - Desistalei o Java da Sun e instale o java da M$,  download em: 
http://shop.condomi.com/Java_XP/MSJavx86.exe 
<http://shop.condomi.com/Java_XP/MSJavx86.exe>

4 - Entrei no site do banco do brasil e acessei o teclado virtual para 
certificar que o Java da M$ foi instalado com sucesso. (Apareceu o 
teclado virtual em contas ).

5 - O Conectividade Social soh funciona com o M$ internet Explorer, e 
com o Java da M$, nem tente java da sun e navegador firefox.

6 - Habilitei o JVM no navegador ( aquelas 3 opcoes )

7 - Fechei o navegador e até reiniciei a maquina windows para aplicar as 
alteracoes.

8 - Tentei acessar o site da caixa...  E não funcionou.

9 - Nunca entre em contato com o suporte da caixa, ele iram fazer vc 
passar raiva. ( risos )

*** Na "epoca" monitorei com o tcpdump para verificar como funciona e o 
que esta falhando:

- O programa da caixa realiza uma conexao no servidor da caixa.
- Baixa um "servidorzinho" http feito em java. Que ira rodar na maquina 
cliente esperando com conexoes.
- O programa da caixa se conecta neste "servidorzinho java" em localhost,
- O "servidorzinho" envia os dados "criptografados" para os servidores 
da caixa.
- Parece que os servidores da caixa tenta se conectar neste 
servidorzinho tb.. ( tudo extranho )

** nao sei se eh isso mesmo... pelo menos foi o que eu descobri. ( nao 
achei documentacao sobre o assunto )

Quais os problemas:

- Se vc utilizar o proxy, o proxy nao ira entender os dados 
criptografados e ira descartar os dados.
- Se vc nao tiver nat para a maquina, o "servidorzinho" java nao sera 
baixado.
- Se vc nao tiver a rede da caixa liberada, vc nao irá conseguir se 
comunicar com os servidores da caixa e nem baixar o servidorzinho.
- Se vc nao tiver o Java da Bendita M$ ( que ja nem existe mais ), o 
"servidorzinho" nao ira rodar. Logo ninguem vai conseguir conectar nele.

Obs.: Em meus testes na epoca... vi que a caixa tenta realizar conexoes 
entrantes tb... ( extranho )

Como resolvi:

Em meu caso ( existem varios casos *** ), o "servidorzinho" feito em 
java, nao estava sendo baixado... e quando o programa da caixa ia 
conectar em localhost no servidorzinho... ele falhava.. e ficava 
entando... tentando...

O que fiz:

Com a ajuda do meu amigo tcpdump, verifiquei que ele sincronizava a 
conexao para baixar o "servidorzinho" java.. mas nao baixava o danado.  
( o servidor da caixa sincronizava a conexao, dava uns push e depois 
dava um Reset do nada... tentava dinovo e ficava parado.. e nada. )

Entao tentei liberar tudo !! Tudo mesmo ( deixa o firewall somente com 
um nat muito simples e pass all ).   E nada de funcionar.

Ai resolvi usar o ipfw... e funcionou !
Nao alterei nada no cliente, e funcionou...
Ai eu matei o ipfw e subi o pf.. ai nao funcionou...
Apos subi o ipfw novamente e funcionou..

Verifiquei com tcpdump, e com o ipfw ele baixava o "servidorzinho" 
normalmente. Mas com o PF nao baixava.

Com iptables tb funcionou... soh com o pf que nao

Obs.: somente mudei de firewall (nat).. nao alterei mais nada...

Fazendo Nat com ipfw e regras com o pf tb funcionou.

Detalhe: Tive esse tipo de problemas da conectividade social soh com 2 
clientes ! tenho 16 clientes... o resto sao aqueles probleminhas besta  
de java e liberacao do proxy mesmo...

Sobre o Nat do PF:

Em nenhum momento falei que o Nat do PF nao funciona.. pois uso muito ele..

Mas o PF ja me deixou na mao 3 vezes:

- Problemas com NAT ao utilizar FTP em modo passivo. Resolvi fazendo nat 
com ipfw.
- Problemas com Altq, esses eram aleatorios.. .e é soh aplicar as regras 
novamente que o problema se resolve. ( fiz um script no cront pra fazer 
isso por mim... gambi.. nao faça isso.. rsrs
- Outros problemas que ao aplicar as regras novamente resolve.

O giovanni tb fazia isso... ( risos )

Gosto muito do pf.. e estou usando ate hoje.. mas as vezes prefiro o 
ipfw e até iptables...

Tudo que descrevi é minha opniao/esperiencia pessoal... e esta sujeita a 
modificacoes. rsrsr

desculpem-me os erros de portugues... mas to sem tempo agora...

fui
--
Roberto Rodrigues.

Mais detalhes sobre a lista de discussão freebsd