Liberação do IRPF 2016 e Receita Net

JeanVinicius
(usa CentOS)

Enviado em 04/03/2016 - 16:56h

Boa tarde, pessoal!

Estou com um problema na hora dos usuários utilizarem o IRPF 2016 e o ReceitaNet. O IRPF tem as funções de Salvar Online, onde as informações são salvas na "Nuvem" da Receita e o Restaurar Online, onde eles baixam as informações...

O problema é...quando tentamos utilizar qualquer uma destas funções o captcha necessário para validar as credencias (CPF e Senha) não é carregado e apresenta uma mensagem de erro inesperado.

Pensei que fosse erro na aplicação então reinstalei, porém sem sucesso.

Fiz o teste rodando via 3G funcionou perfeitamente, levando a crer que é bloqueio em nossa rede. Porém através do tail -f /var/log/squid/access.log não localizei nenhum bloqueio...

Procurando na internet achei diversas dicas, porém nenhuma funcionou, inclusive no site da Receita tem a seguinte informação:

Origem: Cliente
Destino: Servidor
Função: Pedido de Conexão
Protocolo: TCP
Porta de Origem: N (Aleatória)
Porta de Destino: 3456
Endereço IP: 161.148.x.x , 189.9.71.x e 200.198.239.x

Origem: Servidor
Destino: Cliente
Função: Resposta de conexão
Protocolo: TCP
Porta de Origem: 3456
Porta de Destino: N (Porta de origem do pacote 1)
Endereço IP: 161.148.x.x , 189.9.71.x e 200.198.239.x

Então criei as regras abaixo no /etc/init.d/firewall e também não funcionou.

#IRPF e ReceitaNet
iptables -I FORWARD -p tcp -s 192.168.10.0/24 --dport 3456 -d 161.148.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.10.0/24 --dport 3456 -d 189.9.71.0/24 -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.10.0/24 --dport 3456 -d 200.198.239.0/24 -j ACCEPT
iptables -I INPUT -p tcp --sport 3456 -s 161.148.0.0/16 -d 192.168.10.0/24 -j ACCEPT
iptables -I INPUT -p tcp --sport 3456 -s 189.9.71.0/24 -d 192.168.10.0/24 -j ACCEPT
iptables -I INPUT -p tcp --sport 3456 -s 200.198.239.0/24 -d 192.168.10.0/24 -j ACCEPT

só para informação, segue o inicio do arquivo.

#mudando politica padrao para accept
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#MASQUERADE#####################################################################
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

Alguém saberia ajudar neste caso?

souzacarlos
(usa Outra)

Enviado em 08/03/2016 - 16:42h

Boa tarde.

Está errado, vc não está tratando regras de NAT. Mesmo sem não tivesse regras de NAT não seria na Chain INPUT q vc faria isso.

Primeiro vc precisa tratar a regra em DNAT.

Caso vc ainda tenha dúvidas posta ai

Aguardo

JeanVinicius
(usa CentOS)

Enviado em 08/03/2016 - 16:50h

Boa tarde, souzacarlos

Não tenho muita experiencia com Linux no momento. Agora que estou trabalhando com o mesmo.
O que deve ser alterado no script que citei?

10minutos
(usa Ubuntu)

Enviado em 08/03/2016 - 17:08h

Olá..
Você pode fazer algo assim:
iptables -A PREROUTING -s IP_DA_RECEITA -i eth0 -p tcp -m tcp --dport PORTA -j DNAT --to-destination IP_INTERNO:PORTA

Colocando o ip da receita fica uma conexão mais segura. Em eth0 vc coloca a interface que o servidor se conecta com a internet, a porta de comunicação no caso 3456 e depois o ip interno da máquina que vai fazer a conexão dois pontos e a porta novamente.

souzacarlos
(usa Outra)

Enviado em 09/03/2016 - 10:39h

Bom dia.

O amigo acima deu uma boa dica, com exceção desta parte q não é preciso -m tcp, agora posta mais do teu código pq vc tem q entender q quem inicia a conexão é vc e não a receita federal, neste caso pode estar faltando coisas. E outra nesse formato vc abre brechas de segurança isso quer dizer q qualquer coisa vinda da receita será aceito isso não é legal!

Estava avaliando aqui também pode nem ser preciso regras de NAT - vc só precisa liberar conexões oriundas da tua rede. Dá uma lida sobre estado da conexão ESTABLISHED e RELATED isso vai te ajudar

Em caso de dúvidas posta ai