oriolrius.cat

Des del 2000 compartiendo sobre…

Tag: Networking

FeeNAS: FreeBSD embedded com a servidor NAS

2007/02/18 No hi ha comentaris

Reading time: 2 – 3 minutes

Malgrat encara esta en una versió una mica verda, ja es fa mirar amb molt bons ulls aquest projecte. El FreeNAS és ideal per montar servidors NAS amb un moment. De tots els unixeros és sabut que els BSD tenen unes prestacions d’estabilitat i velocitat millor que els linux. Així doncs crec que és una idea molt bona idea que aquest sistema enquestat usi FreeBSD de base. Potser l’únic inconvenient és que la compatibilitat de hardware de FreeBSD és inferior que la que té linux. Així doncs si el penseu usar aneu molt amb compte a l’hora d’escollir el servidor que usareu. Reviseu la compatibilitat de hardware del servidor amb FreeBSD.

També és una opció interessant a tenir en compte la de tirar el servidor NAS com a màquina virtual dins de l’VMWare o quelsevol altre aplicatiu similar, com ara el Xen. Tingueu en compte que ha de suport FreeBSD. Obviament baixa el rendiment però per molts entorns és més que suficient. Jo la veritat és que em moro de ganes de comprar un targeta SATA i 4 discs d’1Tb per montar-me el nou servidor de fitxers de la xarxa amb un Pentium a 800Mhz que tinc per aquí tirat. De fet, abans de posar-me mans a l’obre provaré la versió de la màquina virtual d’VMware que tenen a la web, a veure fins a quin punt és configurable tot plegat.

screenshot.png

Entre el FreeNAS i el pfSense em moro de ganes de posar-me a re-montar una mica la xarxa de casa que la pobre esta una mica estancada, tot i que tampoc tinc cap necessitat vital de funcionalitats que no em doni tot plegat és una mica montar per disfrutar més que per necessitat.

També comentar que he descobert aquest software a través d’aquest howto: Network-Attached Storage With FreeNAS.

ARP Tools: arpdiscover buscant la IP dels dispositius de la xarxa

2007/02/16 No hi ha comentaris

Reading time: 1 – 2 minutes

Sovint a les xarxes de les empreses hi tenim més connectades de les que recordem. O fins hi tot coses pitjors, hi ha algún dispositiu (p.exemple printserver) i no tenim ni idea de quina IP té per poder-hi connectar. Doncs amb les ARP Tools (paquet gentoo: net-analyzer/arptools) hi ha una eina que es diu arpdiscover que fa un enviament massiu de paquets ARP a la xarxa local per veure quines IPs ens contesten.

Per exemple:

$ sudo ./arpdiscover 10.19.83.1 5
using inteface eth0
our hw address is 00:11:D8:A9:D6:3B
our ip address is 10.19.83.5
bpf filter is 'ether dst 00:11:D8:A9:D6:3B && arp'
sniffer fork()ed into background with pid = 2535
request for hw address of ip address 10.19.83.1, 42 bytes to send, 42 bytes sent
received arp packet 60 bytes, hw address is 00:13:10:92:C2:E3, ip address is 10.19.83.1
request for hw address of ip address 10.19.83.2, 42 bytes to send, 42 bytes sent
request for hw address of ip address 10.19.83.3, 42 bytes to send, 42 bytes sent
request for hw address of ip address 10.19.83.4, 42 bytes to send, 42 bytes sent
request for hw address of ip address 10.19.83.5, 42 bytes to send, 42 bytes sent
waiting for sniffer terminate
sniffer terminated, exiting
scanner terminated

nota recordatori de tcpdump

2007/02/08 No hi ha comentaris

Reading time: < 1 minute

Mai recordo la sintaxis per filtrar amb el tcpdump quan em fa falta, així doncs:

tcpdump -i eth0 -n tcp port 1500
tcpdump host 10.0.1.12
tcpdump icmp and host 10.0.1.12
tcpdump -i eth1 host 10.0.1.11 and host 10.0.1.12

Algunes expresions per l’ethereal/wireshark també usables amb el tcpdump, és clar:

ip.dst == 10.0.1.50 && frame.pkt_len > 400
ip.addr == 10.0.1.12 && icmp && frame.number > 15 && frame.number < 30
ip.addr == 10.0.1.12 && tcp.port == 23
host 10.0.1.12 and tcp port 23

imapfilter: eina per filtrar emails via IMAP

2007/02/03 No hi ha comentaris

Reading time: 1 – 2 minutes

IMAPFilter, una altre bona troballa d’en Marc. Realment interessant, permet classificar, filtrar, modificar flags, llençar busquedes, moure, borrar, etc. dels correus d’una compte IMAP remota. A més també ens permet jugar amb més d’una compte IMAP simultànea, per copiar/moure correus entre ambdues comptes. El llenguatge per programar els scripts amb IMAPfilter es basa en LUA, la qual cosa ens permet fer realment coses molt complexes i potents. Dubto que hagiu pensat alguna funció que no ús la deixi fer aquest programa.

A mesura que vagi creant scripts per les meves comptes de correu, ja penjaré els snippets de codi. Així serviran com a exemple, malgrat això la secció d’exemples de la web esta prou bé.

Snap: el complement d’escriptori ideal per l’asterisk

2007/02/03 No hi ha comentaris

Reading time: 2 – 2 minutes

De fet, personalment no em fa gaire utilitat aquesta eina. Però no puc dir el mateix dels meus clients. Per fi, he trobat una eina econòmica que els permet interactuar amb l’asterisk de forma senzilla i fer les típices pijades que sempre em demanen quan els monto un asterisk, gràcies Marc pel descobriment. Snap és un programet per Windows que permet veure qui ens esta trucant a la pantalla del PC, buscar aquest número a l’agenda. Marca el número de telèfon que ens apareix al firefox mentre naveguem. Marca on volem trucar des d’una petita aplicació que ens surt a la pantalla. Invocar el CRM requerint la informació del client que ens esta trucant, o fins hi tot connectar-lo via AGI a funcions més avançades d’Asterisk. Però la cosa no s’acaba aquí, s’integra amb Outlook, permet tenir un registre de les trucades que fem i que rebem. Entre d’altres coses.

snap.png

El programa té dues versions la free i la pro, aquesta última costa uns ~30$ per usuari. El que ambdues tenen en comú és la integració amb Office, Outlook, firefox i thunderbird. La versió pro a més ens mostra una finstra flotant quan entre una trucada, permet connectivitat contra el CRM per trucades entrants i sortints, disposa d’un driver TAPI (TSP driver), a més d’una versió avançada de l’identificador de trucades i del buscador de números de teléfon.

Postfix: relay contra un altre mailserver

2007/02/03 No hi ha comentaris

Reading time: 2 – 2 minutes

En aquest article Set Up Postfix For Relaying Emails Through Another Mailserver de HowtoForge s’explica com configurar un Postfix per fer relaying contra un servidor extern. O sigui, perquè el servidor de correu (MTA) envii sempre els correus contra (MTA) un altre servidor de correu via SMTP. Potser el més iteressant és que explica com fer-ho a través d’un SMTP autenticat.

Intentant resumir els passos explicats a l’article comentat.

En l’exemple farem relay contra el sevidor smtp.example.com. A part d’usar l’ordre postconf per fer això, també podem editar el fitxer /etc/postfix/main.cf i afegir-hi les comandes indicades entre cometes.

postconf -e 'relayhost = smtp.example.com'
postconf -e 'smtp_sasl_auth_enable = yes'
postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
postconf -e 'smtp_sasl_security_options ='

Guardarem l’usuari i el password a usar contra el servidor smtp.example.com al fitxer /etc/postfix/sasl_passwd. Aquest fitxer ha de ser propietat de l’usuari root i ningú més hi ha de tenir accés (perms: 600). Finalment creem el seu arxiu .db.

echo "smtp.example.com   someuser:howtoforge" > /etc/postfix/sasl_passwd
chown root:root /etc/postfix/sasl_passwd
chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd

Finalment només cal reiniciar el postfix:

/etc/init.d/postfix restart

RouterOS el sistema operatiu de Mikrotik

2007/01/21 No hi ha comentaris

Reading time: 3 – 5 minutes

mikrotik.png

Ahir vaig poder jugar unes quantes hores (unes 6h) amb el RouterOS el sistema operatiu que usen els dispositius Mikrotik. Fins ara no hi havia pogut jugar gaire estona (durant 1h aproximadament) però ahir realment vaig poder aprofundir una mica més en aquest sistema. A priori sembla força complex o una mica difícil d’usar, sobretot per la sintaxi i que no hi ha un manual que expliqui com treballar amb la CLI. Bàsicament el truc és usar el Winbox que és una utilitat semi-gràfica que simplifica molt les comandes al més pur estil CLI.

El que més m’ha agradat d’aquest sistema operatiu és el seu gran dinamisme però sense caure en la complexitat d’haver de mantenir un sistema operatiu de PC. S’ha de dir però que de senzill no ho és gaire, és a dir calen coneixements tècnics per poder usar-lo, no tant per la sintaxi sinó perquè s’ha de treballar a baix nivell. És a dir, no usa aquest coi d’assistents de configuració que tan em molesten sinó que has de tenir clars els conceptes de xarxes per tal de fer les configuracions del dispositiu. En part recorda al IOS de Cisco, però jo diria que és molt més senzill i orientat a les aplicacions per les que està pensat. A més malgrat no ser lliure les llicències són molt més econòmiques que les de Cisco. També cal dir que malgrat esta pensat per les plaques embedded de Mikrotik també pot funcionar en arquitectures PC i d’altres.

Obviament esta molt orientat a serveis que es donen des d’un AP, ja que els equips de Mikrotik són escencialment equips de WiFi. Però arriben a soportar serveis com ara servidors RADIUS, servidors d’VPN, servidors RAS, proxies, etc. Per no parlar de les eines d’escaneix de freqüències i d’altres eines més enfocades a les xarxes sense fils. Obviament el hardware que suporta és força limitat però s’ha de pensar que esta molt orientat a tasques de routing, firewalling, hotspot gateway, bridging, client access, etc. així doncs no interessa tan el fet de suportar un gran ventall de hardware com el fet de ser molt potent en les funcions comentades.

En l’aspecte referent al WiFi destacar la capacitat de publicar més d’un SSID simultaneament, a més de poder actuar simultaneament com a AP, client o bridge. A més de suportar múltiples sistemes de xifrat: WEP, WPA-PSK, WPA-RADIUS, WPA2, etc. A l’hora de montar un hotspot també és brutal la capacitat que té de simplificar els passos per montar-lo i els sistemes d’autenticació, les formes i llocs on pot tenir o demanar les BBDD d’usuaris, a més d’estar completament preparat per montar un sistema AAA i unir-lo amb un sistema de facturació, per exemple. A més per internet he vist diversos programes orientats a facturar com a WISP o per propietaris de hotspots, com hotels i d’altres similars.

Així doncs estic molt content d’aquest descobrimient, a veure si puc completar les proves de l’escenari que estava provant les quals encara no les he pogut acabar al 100% però ja puc quasi assegurar que funcionaràn amb el que he vist fins ara. Així doncs Jordi el sistema mixte de hotspots de Mikrotiks amb Linksys (amb DD-WRT v23 SP2) ha de funcionar quasi segur quan ho tingui llest ja passaré la configuració per aquí. Si voleu ampliar coneixements sobre les funcions que ofereix el routerOS sobretot no ús perdeu aquest resum (local).

SSH tricks: control usuaris i col·lisions en la fingerprint

2007/01/19 No hi ha comentaris

Reading time: 2 – 3 minutes

Un parell de tricks per l’SSH un pel servidor (sshd) i l’altre pel client (ssh).

Si volem deixar accedir només a alguns usuaris al nostre sistema via SSH s’ha de posar al fitxer /etc/ssh/sshd_config la comanda AllowUsers. Aquest eginy l’he extret de Restrict SSH per user.

Un exemple:

AllowUsers root oysteivi otheradmin

L’altre enginy és molt útil quan programem scripts que usen per exemple: scp, rsync o d’altre similars. A vegades per molt que usem un sistema d’autenticació per clau pública amb ssh això no és suficient perquè hi pot haver un conflicte den la fingerprint que tenim guardada (o no) del servidor on anem a connectar. Llavors se’ns pregunta si volem guardar aquesta fingerprint sinó la tenim guardada o si assumim que hi ha conflicte entre la fingerprint guardada i la que ens esta enviant el sevidor. Per més detalls sobre el problema podeu consultar aquest article de securityfocus SSH Host Key Protection. A més segur que aquest exemple ajudarà a refrescar la memòria sobre el que em refereixo.

 $ ssh ssh-server.example.com
  The authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established.
  RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
  Are you sure you want to continue connecting (yes/no)? yes

Per tal de controlar el comportament d’aquest event ho podem fer amb el paràmetre StrictHostKeyChecking=[yes|no|ask], això ho podem posar a /etc/ssh/ssh_config o bé a la línia de comandes a través del flag -o.

Exemple forçant la comprovació:

  $ ssh -o 'StrictHostKeyChecking=yes' ssh-server.example.com
  No RSA host key is known for localhost and you have requested strict checking.
  Host key verification failed.

Exemple preguntant la comprovació:

  $ ssh -o stricthostkeychecking=ask ssh-server.example.com
  The authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established.
  RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
  Are you sure you want to continue connecting (yes/no)? yes

OpenDNS – els millors DNS que podeu usar per navegar

2007/01/08 No hi ha comentaris

Reading time: 2 – 2 minutes

opendns.gif

Sovint quan et pregunten quins DNS li poso a la màquina acostumo a contestar 194.179.1.100 com a primari i 194.179.1.101 al secundari, això ho vaig aprendre a l’època del primer infovia el del 055. Des de llavors se m’han quedat grabats aquest parell de DNS públics. Doncs bé, si a més d’això a cada empresa que vaig, a la xarxa de la meva feina o la meva intranet a tot arreu hi tinc un servidor DNS intern llavors mai tinc la necessitat de configurar-me servidors DNS externs. Així doncs, mai havia tingut la necessitat de plantejar-me quins eren millor o pitjors i què m’oferien uns o altres. Doncs bé, aquest cap de setmana tot llegint el blog de l’Alex King, concretament l’article sobre l’OpenDNS he descobert aquest servei tan interessant.

Algunes de les avatatges de l’OpenDNS són:

  • Temps de resolució molt ràpid. Servidors per tot el món.
  • Correcció d’errors tipogràfics comuns (p.e. convertir .xom -> .com)
  • Avisa si s’intenta entrar en una pàgina de phishing. Per tant, és ideal per protegir d’aquests atacs.
  • Es pot forçar l’update d’un domini, forçant el refresc.
  • A més és gratuït. Viuen de la publicitat que posen a la web i a les pàgines de bloqueig de phishing.

e-duna gestió d’amplada de banda en appliance

2006/12/19 No hi ha comentaris

Reading time: 2 – 4 minutes

Totes les solucions de gestió d’ampada de banda a través d’appliance que coneixia fins ara venien de països on les connexions de les empreses són simètriques i les necessitats de gestió estan molt allunyades de la realitat de les telecomunicacions al nostre país. Doncs bé avui m’he trobat amb e-Duna. No sé si és una solució made in spain però té tota la pinta. El que si que esta clar és que el paquet de solucions que incorpora van des dels 2Mbps fins als 45Mbps. A més constantment fa referencia amb la possibilitat de fer gestió del balanceix de càrrega en diverses ADSL, la qual cosa és una realitat en les PYMES del nostre país.

esquema.jpg

Per tant, diria que és un dels appliance més ben enfocats per les necessitats diaries dels clients que estic acostumat a tocar. Els preus van dels 1.000€ aproximadament en endavant, segons l’ampada de banda a gestionar. La usabilitat segons els screenshots de la pàgina web sembla ben senzilla i inmediata. Potser dona la sensació de ser poc dinàmic en la seva configuració, però es clar, venint de sistemes on t’ho has de treballar tot tu, com pot ser linux i BSD, doncs qualsevol cosa és poc dinàmica.

Malgrat no l’he pogut provar, em moro de ganes de veuren revisions i crítiques perquè hi ha més d’un lloc en que m’agradaria col·locar-n’hi un d’aquests. De fet, diria que sovint aquest dispositius, sempre que funcionin bé, són la solució perfecte per gestionar de forma trivial problemes cada dia més patents a les empreses i que ens impliquen perdre més temps de configuració en els firewalls amb linux i d’altres productes que ens montem a mida. Per tant, a vegades cal cedir terreny als appliance si és per anar a dormir més tranquils i trencar-nos menys el cap quan ens demanen modificacions a les polítiques de gestió d’amplada de banda.

De fet, el producte segons la seva pàgina web fa moltes més coses aquí en podeu veure un resum. Però jo pel que em diu l’experiència només em quedaria amb la idea de gestionar i balancejar l’ampada de banda.

funcions.jpg

A més, pels que estigueu familiaritzats amb els típics distribuidors d’informàtica de tota la vida el podeu trobar a Diode.