Conexão segura da Caixa

Conexão segura da Caixa

Solucionando o problema de conexão segura da Caixa

Após fazer atualização do Internet Explorer, em um escritório de contabilidade, onde presto serviço de consultoria na área de informática. O funcionário alguns me ligou dizendo que não estava conseguindo acessar a conexão segura da Caixa.

Remotamente, resolvi o problema, instalando e ativando no Internet Explorer o MSJV (Java Virtual Maxine da Microsoft) , desativando o Java da SUN e colocando o site da Caixa na relação de sites confiáveis.

Agora uns dois meses depois recebo um chamado do mesmo escritório, solicitando serviço para corrigir o mesmo problema.

Ao ver as configurações do computador, percebi que as mesmas estavam iguais as que eu havia feito no primeiro chamado.

Nessa visita uma coisa me chamou atenção, ao acessar a página do Google, notei que o provedor de acesso à internet havia alterado o logo do Google pelo de sua empresa.

Pedi informações ao cliente procurando saber se a alteração no site do Google se deu no mesmo período em que começou o problema, ele acredita que sim, mas não teve certeza.

Após algumas tentativas sem sucesso, voltei ao meu laboratório para simular algumas situações, as quais não irei descrever aqui, apenas vou colocar a solução encontrada.

 

PARTE DO SERVIDOR

Todo administrador de rede sabe que para a Conexão Segura da Caixa funcionar, é necessário que a conexão seja feita de forma direta,  ou seja, não podendo passar pelo proxy.

Nesta solução, estou utilizando do BrazilFW 3.0.213 e cheguei a mesma devido a ajuda do pessoal do Fórum do BrazilFW, nos tópicos:

Conectividade Social + Squid – Receita de bolo.

Neste tópico encontrei as regras para IPTABLES, porém como ainda não conheço muito bem a versão 3 do BrazilFW e não conseguir postar mensagem neste tópico, tive que abrir outro tópico para tirar as minhas dúvidas.

Configurar SQUID e Regras do IPTABLES

Este foi o tópico que abrir, e me surpreendi, com a rapidez que o pessoal respondem, em menos de um minuto tive a primeira resposta.

LIBERANDO O ACESSO DIRETO ATRAVÉS DO IPTABLES PARA O SITE DA CAIXA

Na versão 3 do BrazilFW a única opção para startar determinados recursos é através do arquivo rc.local que está localizado em /etc/brazilfw/custom.

A edição pode ser feita dentro da Webadmin do BrazilFW no item Ferramentas/Gerenciador de arquivos

Coloque o código abaixo no arquivo rc.local

Regras para IPTABLES – Conexão direta com site da Caixa
iptables -t nat -A PREROUTING -s 192.168.0.89 -d 200.201.174.0/24 -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80 iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80 iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80 iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80 iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80 iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80 iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80 iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80 iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080 iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -d www1.caixa.gov.br -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -d cmt.caixa.gov.br -p tcp --dport 80 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -d www.caixa.com.br -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -d 200.201.174.207 -j ACCEPT iptables -t nat -I PREROUTING -s 200.201.174.207 -j ACCEPT iptables -t nat -I PREROUTING -d 200.201.169.69 -j ACCEPT iptables -t nat -I PREROUTING -s 200.201.169.69 -j ACCEPT iptables -t nat -I PREROUTING -d 200.201.166.240 -j ACCEPT iptables -t nat -I PREROUTING -s 200.201.166.240 -j ACCEPT iptables -I FORWARD -p tcp --dport 80 -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT iptables -I FORWARD -p tcp --dport 21 -d 200.201.174.207 -j ACCEPT iptables -I FORWARD -p tcp --dport 80 -d 200.201.174.207 -j ACCEPT iptables -I FORWARD -p tcp --dport 21 -d 200.201.169.69 -j ACCEPT iptables -I FORWARD -p tcp --dport 80 -d 200.201.169.69 -j ACCEPT iptables -I FORWARD -p tcp --dport 21 -d 200.201.166.240 -j ACCEPT iptables -I FORWARD -p tcp --dport 80 -d 200.201.166.240 -j ACCEPT iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.169.69 -j ACCEPT iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.169.69 -j ACCEPT iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.166.240 -j ACCEPT iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.166.240 -j ACCEPT iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.174.207 -j ACCEPT iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.174.207 -j ACCEPT iptables -I FORWARD -p tcp -s 200.201.174.207 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -p tcp -s 200.201.169.69 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -p tcp -s 200.201.166.240 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p udp -s 200.201.174.207 -j ACCEPT iptables -A INPUT -i eth1 -p udp -s 200.201.174.207 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s 200.201.169.69 -j ACCEPT iptables -A INPUT -i eth1 -p udp -s 200.201.169.69 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s 200.201.166.240 -j ACCEPT iptables -A INPUT -i eth1 -p udp -s 200.201.166.240 -j ACCEPT iptables -A OUTPUT -p tcp --destination-port 2631:2631 -j ACCEPT iptables -A INPUT -p tcp --destination-port 2631:2631 -j ACCEPT       #### Passa por fora do Proxy ####   iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN iptables -t nat -I tproxy -d 200.201.166.240 -j RETURN iptables -t nat -I tproxy -d 200.201.169.69 -j RETURN iptables -t nat -I tproxy -d 200.201.173.0/24 -j RETURN iptables -t nat -I tproxy -d 200.201.173.68 -j RETURN iptables -t nat -I tproxy -d 200.201.174.0/24 -j RETURN iptables -t nat -I tproxy -d 200.201.174.204 -j RETURN iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN

Faça o Backup, clicando em Configurações/Salvar configurações

Reinicie o servidor

Para verificar a efetividade das regras, através do Putty digite:
iptables -t nat -nvL -> para enxergar as regras do NAT iptables -t filter -nvL -> para enxergar as regras do FILTER iptables -t mangle -nvL -> para enxergar as regras do MANGLE

Aqui isso resolveu a questão do servidor.

 

 

PARTE DO CLIENTE

Infelizmente a Conexão Segura da Caixa só funciona o Internet Explorer, por tanto só funciona no Windows, e mais ainda não funciona com o Java da SUN, por isso vamos ter que fazer alguma alterações no navegador do cliente.

1º Baixe o MSJV (Java Virtual Maxine da Microsoft)

2º Instale o MSJV

3º Abra o Internet Explorer vá em Ferramentas/Opções da Internet

4º Clique na guia Avançadas

5º Caso você tenha o Java da SUN instalado, desmarque a opção “Use JRE 1.6.0_17 for <applet>(requires restart)

6º No intem Microsoft VM marque as seguintes opções:

Acesso ao Java ativado

Compilador do Java JIT ativado (é preciso reiniciar)

7º Clique na guia Segurança Sites Seguros

Adicionando site da caixa na relação de sites confiáveis

Adicionando site da caixa na relação de sites confiáveis

8º Clique em Sites..

Relação de sites confiáveis

Adicionar site da caixa na relação de sites confiáveis

9º Adicione o site https://*.caixa.gov.br na relação de sites seguros.

10º. Feche o navegador e reinicie o computador

Com isso a conexão segura da Caixa deverá estar funcionando.

As mensgens abaixo apareciam antes de fazer os procedimentos acima.

Mensagem de erro da conexão segura da caixa

Mensagem de erro da conexão segura da caixa

A mensagem acima é mostrada quando:

  • O cliente está utilizando o Java da Sun
  • ou quando o procedor de acesso a Internet não está configurado para permitir a conexão direta ao site da Caixa.


Adailton Rodrigues de Souza é estudante de Web Design e Programação pela UNISUL, é responsável pelo Projeto de Inclusão Digital da E E Coronel Almeida / Centro Educacional do Carinhanha.

Sobre o autor

Adailton Rodrigues de Souza administrator

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.