[FUG-BR] Conectividade social problemas com maquina fora doproxy
Roberto Rodrigues
robertors em bs2.com.br
Quinta Janeiro 4 08:38:11 BRST 2007
> Olá,
>
> O Sr. Diogo havia entrado em contato comigo em off sobre a questao do
> problema com o conectividade social,
> Falei pra ele que nao sou funcionario da caixa, mas que posso relatar
> minha esperiencia com o software.
>
> Segue abaixo:
>
> Nosso ambiente:
>
> Servidor Gateway: FreeBSD 5.4 + PF + Squid com auth.
> Cliente ( windows ): WinXP sp1 + M$ IE 6 + M$ Java ( jre )
>
> Procedimentos realizados:
>
> 1 - Tirei a maquina cliente que vai usar o CS (conectividade social ) do
> rdr do proxy.
>
> 2 - Liberei as redes da caixa no firewall e mantive estado das conexoes.
> A maquina estava com NAT para seu ip nao roteavel e com a porta 80
> liberada para acesso externo ( e liberei conexoes entrantes tb rsrsr )
>
> 3 - Desistalei o Java da Sun e instale o java da M$, download em:
> http://shop.condomi.com/Java_XP/MSJavx86.exe
> <http://shop.condomi.com/Java_XP/MSJavx86.exe>
>
> 4 - Entrei no site do banco do brasil e acessei o teclado virtual para
> certificar que o Java da M$ foi instalado com sucesso. (Apareceu o
> teclado virtual em contas ).
>
> 5 - O Conectividade Social soh funciona com o M$ internet Explorer, e
> com o Java da M$, nem tente java da sun e navegador firefox.
>
> 6 - Habilitei o JVM no navegador ( aquelas 3 opcoes )
>
> 7 - Fechei o navegador e até reiniciei a maquina windows para aplicar as
> alteracoes.
>
> 8 - Tentei acessar o site da caixa... E não funcionou.
>
> 9 - Nunca entre em contato com o suporte da caixa, ele iram fazer vc
> passar raiva. ( risos )
>
> *** Na "epoca" monitorei com o tcpdump para verificar como funciona e o
> que esta falhando:
>
> - O programa da caixa realiza uma conexao no servidor da caixa.
> - Baixa um "servidorzinho" http feito em java. Que ira rodar na maquina
> cliente esperando com conexoes.
> - O programa da caixa se conecta neste "servidorzinho java" em localhost,
> - O "servidorzinho" envia os dados "criptografados" para os servidores
> da caixa.
> - Parece que os servidores da caixa tenta se conectar neste
> servidorzinho tb.. ( tudo extranho )
>
> ** nao sei se eh isso mesmo... pelo menos foi o que eu descobri. ( nao
> achei documentacao sobre o assunto )
>
> Quais os problemas:
>
> - Se vc utilizar o proxy, o proxy nao ira entender os dados
> criptografados e ira descartar os dados.
> - Se vc nao tiver nat para a maquina, o "servidorzinho" java nao sera
> baixado.
> - Se vc nao tiver a rede da caixa liberada, vc nao irá conseguir se
> comunicar com os servidores da caixa e nem baixar o servidorzinho.
> - Se vc nao tiver o Java da Bendita M$ ( que ja nem existe mais ), o
> "servidorzinho" nao ira rodar. Logo ninguem vai conseguir conectar nele.
>
> Obs.: Em meus testes na epoca... vi que a caixa tenta realizar conexoes
> entrantes tb... ( extranho )
>
> Como resolvi:
>
> Em meu caso ( existem varios casos *** ), o "servidorzinho" feito em
> java, nao estava sendo baixado... e quando o programa da caixa ia
> conectar em localhost no servidorzinho... ele falhava.. e ficava
> entando... tentando...
>
> O que fiz:
>
> Com a ajuda do meu amigo tcpdump, verifiquei que ele sincronizava a
> conexao para baixar o "servidorzinho" java.. mas nao baixava o danado.
> ( o servidor da caixa sincronizava a conexao, dava uns push e depois
> dava um Reset do nada... tentava dinovo e ficava parado.. e nada. )
>
> Entao tentei liberar tudo !! Tudo mesmo ( deixa o firewall somente com
> um nat muito simples e pass all ). E nada de funcionar.
>
> Ai resolvi usar o ipfw... e funcionou !
> Nao alterei nada no cliente, e funcionou...
> Ai eu matei o ipfw e subi o pf.. ai nao funcionou...
> Apos subi o ipfw novamente e funcionou..
>
> Verifiquei com tcpdump, e com o ipfw ele baixava o "servidorzinho"
> normalmente. Mas com o PF nao baixava.
>
> Com iptables tb funcionou... soh com o pf que nao
>
> Obs.: somente mudei de firewall (nat).. nao alterei mais nada...
>
> Fazendo Nat com ipfw e regras com o pf tb funcionou.
>
> Detalhe: Tive esse tipo de problemas da conectividade social soh com 2
> clientes ! tenho 16 clientes... o resto sao aqueles probleminhas besta
> de java e liberacao do proxy mesmo...
>
> Sobre o Nat do PF:
>
> Em nenhum momento falei que o Nat do PF nao funciona.. pois uso muito ele..
>
> Mas o PF ja me deixou na mao 3 vezes:
>
> - Problemas com NAT ao utilizar FTP em modo passivo. Resolvi fazendo nat
> com ipfw.
> - Problemas com Altq, esses eram aleatorios.. .e é soh aplicar as regras
> novamente que o problema se resolve. ( fiz um script no cront pra fazer
> isso por mim... gambi.. nao faça isso.. rsrs
> - Outros problemas que ao aplicar as regras novamente resolve.
>
> O giovanni tb fazia isso... ( risos )
>
> Gosto muito do pf.. e estou usando ate hoje.. mas as vezes prefiro o
> ipfw e até iptables...
>
> Tudo que descrevi é minha opniao/esperiencia pessoal... e esta sujeita a
> modificacoes. rsrsr
>
> desculpem-me os erros de portugues... mas to sem tempo agora...
>
> fui
> --
> Roberto Rodrigues.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
hi,
Somente para Proxy com Autenticacao,
Esqueci de um detalhe importante, no item "Procedimentos realizados:"
após o passo 2:
Para proxy com autenticacao ( nao eh necessario para proxy trans.. ), vc
deve configurar o navegador para que a rede da caixa esteja na lista de
**exeção** do proxy. ( para que o navegador nao envie os dados da caixa
para o proxy )
Se vc NAO fazer isso.. vc vai estar enviando os dados para o proxy.. e
ele nao sabera o que fazer com os dados.
Para isso, abra o M$ IE --->>> Menu "Ferramentas" ---->>> Aba "Conexões"
---->>> clique na opcao "Configurações da LAN "--->>> Vai estar marcado
a opção "Usar um servidor proxy.... ", entao marque a opcao: "Nao usar
proxy para endereços locais" --->>> Clique em "Avançado" --->>> Em
"Exceções" Inclua os endereços da rede da caixa. ( use ; para separar os
enderecos das redes ) ou clique em "ajuda do windows" para saber como
separar os enderecos.
mais detalhes em off.
vlw
--
Roberto Rodrigues.
Gtalk: beto.rrs at gmail.com
Mais detalhes sobre a lista de discussão freebsd