FreeBSD PF e Conectividade Social CAIXA

Vamos combinar, esse Conectividade Social da CAIXA é um terror, mas enfim, temos que fazer funcionar de qualquer maneira.

Vou explicar aqui como fazer essa pérola de software funcionar em um firewall que utiliza o PF como filtro.

Nota

Na máquina cliente tem que ter o Java VM da MS (que já foi descontinuado diga-se de passagem), o Java VM da SUN NÃO irá funcionar.

Links para download do Microsoft Java Virtual Machine

Instalando o Java Virtual Machine da Microsoft

  1. Faça o download de um dos arquivos dos links fornecidos acima e grave no seu computador.
  2. Após o download, execute-o para iniciar o processo de instalação.
  3. Quando começar a intalação, responda Sim, e quando completar reinicie o PC.
  4. Uma vez reiniciado a VM da M já deve ser a padrão para o Internet Explorer.

Regra no PF (Packet Filter)

Fazer um NAT dos computadores da rede local para a rede da CAIXA é a melhor opção, ficaria assim a regra no PF:

ext_if="rl0"
nat on $ext_if from 172.20.89.0/24 to 200.201.173.0/24 -> ($ext_if:0)

Como saber o endereço da rede da Caixa (Conectividade)?

Através do comando:

tcpdump -n -i rl0 src 172.20.89.9

Onde 172.20.89.9 é o IP da estação que possui o Conectividade Social instalado.

Ao executá-lo no gateway, algumas linhas, como à seguir, podem ser observadas ao acessar o aplicativo da Caixa (pelo site):

13:32:35.191576 IP 172.20.89.9.2529 > 200.201.173.68.80: S 1048139273:1048139273(0) win 64512 <mss 1460,nop,nop,sackOK>
13:32:35.205855 IP 172.20.89.9.2530 > 200.201.173.68.80: S 603918652:603918652(0) win 64512 <mss 1460,nop,nop,sackOK>
13:32:35.220613 IP 172.20.89.9.2531 > 200.201.173.68.80: S 287446717:287446717(0) win 64512 <mss 1460,nop,nop,sackOK>
13:32:35.755644 IP 172.20.89.9.2529 > 200.201.173.68.80: . ack 2362721215 win 64512
13:32:35.756201 IP 172.20.89.9.2529 > 200.201.173.68.80: P 0:752(752) ack 1 win 64512
13:32:35.762470 IP 172.20.89.9.2528 > 200.201.173.68.80: P 2660:3412(752) ack 651 win 63862

Regras no squid

Para evitar que por alguma força da natureza o programa ainda insista em acessar a conectividade via Proxy, podemos garantir que ele passará direto:

Arquivo: /usr/local/etc/squid/squid.conf

acl conectividade url_regex "/usr/local/etc/squid/conectividade.url"
no_cache deny conectividade

always_direct  allow conectividade

Arquivo: /usr/local/etc/squid/conectividade.url

.caixa.gov.br
Share this post

Join the conversation