Tag: Networking

nota recordatori de tcpdump

2007/02/08 No Comments

Reading time: 16 – 27 minutes

Mai recordo la sintaxis per filtrar amb el tcpdump quan em fa falta, així doncs:

tcpdump -i eth0 -n tcp port 1500
tcpdump host 10.0.1.12
tcpdump icmp and host 10.0.1.12
tcpdump -i eth1 host 10.0.1.11 and host 10.0.1.12

Algunes expresions per l’ethereal/wireshark també usables amb el tcpdump, és clar:

ip.dst == 10.0.1.50 && frame.pkt_len > 400
ip.addr == 10.0.1.12 && icmp && frame.number > 15 && frame.number < 30
ip.addr == 10.0.1.12 && tcp.port == 23
host 10.0.1.12 and tcp port 23

imapfilter: eina per filtrar emails via IMAP

2007/02/03 No Comments

Reading time: 1 – 2 minutes

IMAPFilter, una altre bona troballa d’en Marc. Realment interessant, permet classificar, filtrar, modificar flags, llençar busquedes, moure, borrar, etc. dels correus d’una compte IMAP remota. A més també ens permet jugar amb més d’una compte IMAP simultànea, per copiar/moure correus entre ambdues comptes. El llenguatge per programar els scripts amb IMAPfilter es basa en LUA, la qual cosa ens permet fer realment coses molt complexes i potents. Dubto que hagiu pensat alguna funció que no ús la deixi fer aquest programa.

A mesura que vagi creant scripts per les meves comptes de correu, ja penjaré els snippets de codi. Així serviran com a exemple, malgrat això la secció d’exemples de la web esta prou bé.

Snap: el complement d’escriptori ideal per l’asterisk

2007/02/03 No Comments

Reading time: 2 – 2 minutes

De fet, personalment no em fa gaire utilitat aquesta eina. Però no puc dir el mateix dels meus clients. Per fi, he trobat una eina econòmica que els permet interactuar amb l’asterisk de forma senzilla i fer les típices pijades que sempre em demanen quan els monto un asterisk, gràcies Marc pel descobriment. Snap és un programet per Windows que permet veure qui ens esta trucant a la pantalla del PC, buscar aquest número a l’agenda. Marca el número de telèfon que ens apareix al firefox mentre naveguem. Marca on volem trucar des d’una petita aplicació que ens surt a la pantalla. Invocar el CRM requerint la informació del client que ens esta trucant, o fins hi tot connectar-lo via AGI a funcions més avançades d’Asterisk. Però la cosa no s’acaba aquí, s’integra amb Outlook, permet tenir un registre de les trucades que fem i que rebem. Entre d’altres coses.

El programa té dues versions la free i la pro, aquesta última costa uns ~30$ per usuari. El que ambdues tenen en comú és la integració amb Office, Outlook, firefox i thunderbird. La versió pro a més ens mostra una finstra flotant quan entre una trucada, permet connectivitat contra el CRM per trucades entrants i sortints, disposa d’un driver TAPI (TSP driver), a més d’una versió avançada de l’identificador de trucades i del buscador de números de teléfon.

Postfix: relay contra un altre mailserver

2007/02/03 No Comments

Reading time: 14 – 23 minutes

En aquest article Set Up Postfix For Relaying Emails Through Another Mailserver de HowtoForge s’explica com configurar un Postfix per fer relaying contra un servidor extern. O sigui, perquè el servidor de correu (MTA) envii sempre els correus contra (MTA) un altre servidor de correu via SMTP. Potser el més iteressant és que explica com fer-ho a través d’un SMTP autenticat.

Intentant resumir els passos explicats a l’article comentat.

En l’exemple farem relay contra el sevidor smtp.example.com. A part d’usar l’ordre postconf per fer això, també podem editar el fitxer /etc/postfix/main.cf i afegir-hi les comandes indicades entre cometes.

postconf -e 'relayhost = smtp.example.com'
postconf -e 'smtp_sasl_auth_enable = yes'
postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
postconf -e 'smtp_sasl_security_options ='

Guardarem l’usuari i el password a usar contra el servidor smtp.example.com al fitxer /etc/postfix/sasl_passwd. Aquest fitxer ha de ser propietat de l’usuari root i ningú més hi ha de tenir accés (perms: 600). Finalment creem el seu arxiu .db.

echo "smtp.example.com   someuser:howtoforge" > /etc/postfix/sasl_passwd
chown root:root /etc/postfix/sasl_passwd
chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd

Finalment només cal reiniciar el postfix:

/etc/init.d/postfix restart

RouterOS el sistema operatiu de Mikrotik

2007/01/21 No Comments

Reading time: 3 – 5 minutes

Ahir vaig poder jugar unes quantes hores (unes 6h) amb el RouterOS el sistema operatiu que usen els dispositius Mikrotik. Fins ara no hi havia pogut jugar gaire estona (durant 1h aproximadament) però ahir realment vaig poder aprofundir una mica més en aquest sistema. A priori sembla força complex o una mica difícil d’usar, sobretot per la sintaxi i que no hi ha un manual que expliqui com treballar amb la CLI. Bàsicament el truc és usar el Winbox que és una utilitat semi-gràfica que simplifica molt les comandes al més pur estil CLI.

El que més m’ha agradat d’aquest sistema operatiu és el seu gran dinamisme però sense caure en la complexitat d’haver de mantenir un sistema operatiu de PC. S’ha de dir però que de senzill no ho és gaire, és a dir calen coneixements tècnics per poder usar-lo, no tant per la sintaxi sinó perquè s’ha de treballar a baix nivell. És a dir, no usa aquest coi d’assistents de configuració que tan em molesten sinó que has de tenir clars els conceptes de xarxes per tal de fer les configuracions del dispositiu. En part recorda al IOS de Cisco, però jo diria que és molt més senzill i orientat a les aplicacions per les que està pensat. A més malgrat no ser lliure les llicències són molt més econòmiques que les de Cisco. També cal dir que malgrat esta pensat per les plaques embedded de Mikrotik també pot funcionar en arquitectures PC i d’altres.

Obviament esta molt orientat a serveis que es donen des d’un AP, ja que els equips de Mikrotik són escencialment equips de WiFi. Però arriben a soportar serveis com ara servidors RADIUS, servidors d’VPN, servidors RAS, proxies, etc. Per no parlar de les eines d’escaneix de freqüències i d’altres eines més enfocades a les xarxes sense fils. Obviament el hardware que suporta és força limitat però s’ha de pensar que esta molt orientat a tasques de routing, firewalling, hotspot gateway, bridging, client access, etc. així doncs no interessa tan el fet de suportar un gran ventall de hardware com el fet de ser molt potent en les funcions comentades.

En l’aspecte referent al WiFi destacar la capacitat de publicar més d’un SSID simultaneament, a més de poder actuar simultaneament com a AP, client o bridge. A més de suportar múltiples sistemes de xifrat: WEP, WPA-PSK, WPA-RADIUS, WPA2, etc. A l’hora de montar un hotspot també és brutal la capacitat que té de simplificar els passos per montar-lo i els sistemes d’autenticació, les formes i llocs on pot tenir o demanar les BBDD d’usuaris, a més d’estar completament preparat per montar un sistema AAA i unir-lo amb un sistema de facturació, per exemple. A més per internet he vist diversos programes orientats a facturar com a WISP o per propietaris de hotspots, com hotels i d’altres similars.

Així doncs estic molt content d’aquest descobrimient, a veure si puc completar les proves de l’escenari que estava provant les quals encara no les he pogut acabar al 100% però ja puc quasi assegurar que funcionaràn amb el que he vist fins ara. Així doncs Jordi el sistema mixte de hotspots de Mikrotiks amb Linksys (amb DD-WRT v23 SP2) ha de funcionar quasi segur quan ho tingui llest ja passaré la configuració per aquí. Si voleu ampliar coneixements sobre les funcions que ofereix el routerOS sobretot no ús perdeu aquest resum (local).

SSH tricks: control usuaris i col·lisions en la fingerprint

2007/01/19 No Comments

Reading time: 31 – 51 minutes

Un parell de tricks per l’SSH un pel servidor (sshd) i l’altre pel client (ssh).

Si volem deixar accedir només a alguns usuaris al nostre sistema via SSH s’ha de posar al fitxer /etc/ssh/sshd_config la comanda AllowUsers. Aquest eginy l’he extret de Restrict SSH per user.

Un exemple:

AllowUsers root oysteivi otheradmin

L’altre enginy és molt útil quan programem scripts que usen per exemple: scp, rsync o d’altre similars. A vegades per molt que usem un sistema d’autenticació per clau pública amb ssh això no és suficient perquè hi pot haver un conflicte den la fingerprint que tenim guardada (o no) del servidor on anem a connectar. Llavors se’ns pregunta si volem guardar aquesta fingerprint sinó la tenim guardada o si assumim que hi ha conflicte entre la fingerprint guardada i la que ens esta enviant el sevidor. Per més detalls sobre el problema podeu consultar aquest article de securityfocus SSH Host Key Protection. A més segur que aquest exemple ajudarà a refrescar la memòria sobre el que em refereixo.

 $ ssh ssh-server.example.com
  The authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established.
  RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
  Are you sure you want to continue connecting (yes/no)? yes

Per tal de controlar el comportament d’aquest event ho podem fer amb el paràmetre StrictHostKeyChecking=[yes|no|ask], això ho podem posar a /etc/ssh/ssh_config o bé a la línia de comandes a través del flag -o.

Exemple forçant la comprovació:

  $ ssh -o 'StrictHostKeyChecking=yes' ssh-server.example.com
  No RSA host key is known for localhost and you have requested strict checking.
  Host key verification failed.

Exemple preguntant la comprovació:

  $ ssh -o stricthostkeychecking=ask ssh-server.example.com
  The authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established.
  RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
  Are you sure you want to continue connecting (yes/no)? yes

OpenDNS – els millors DNS que podeu usar per navegar

2007/01/08 No Comments

Reading time: 2 – 2 minutes

Sovint quan et pregunten quins DNS li poso a la màquina acostumo a contestar 194.179.1.100 com a primari i 194.179.1.101 al secundari, això ho vaig aprendre a l’època del primer infovia el del 055. Des de llavors se m’han quedat grabats aquest parell de DNS públics. Doncs bé, si a més d’això a cada empresa que vaig, a la xarxa de la meva feina o la meva intranet a tot arreu hi tinc un servidor DNS intern llavors mai tinc la necessitat de configurar-me servidors DNS externs. Així doncs, mai havia tingut la necessitat de plantejar-me quins eren millor o pitjors i què m’oferien uns o altres. Doncs bé, aquest cap de setmana tot llegint el blog de l’Alex King, concretament l’article sobre l’OpenDNS he descobert aquest servei tan interessant.

Algunes de les avatatges de l’OpenDNS són:

Temps de resolució molt ràpid. Servidors per tot el món.
Correcció d’errors tipogràfics comuns (p.e. convertir .xom -> .com)
Avisa si s’intenta entrar en una pàgina de phishing. Per tant, és ideal per protegir d’aquests atacs.
Es pot forçar l’update d’un domini, forçant el refresc.
A més és gratuït. Viuen de la publicitat que posen a la web i a les pàgines de bloqueig de phishing.

e-duna gestió d’amplada de banda en appliance

2006/12/19 No Comments

Reading time: 2 – 4 minutes

Totes les solucions de gestió d’ampada de banda a través d’appliance que coneixia fins ara venien de països on les connexions de les empreses són simètriques i les necessitats de gestió estan molt allunyades de la realitat de les telecomunicacions al nostre país. Doncs bé avui m’he trobat amb e-Duna. No sé si és una solució made in spain però té tota la pinta. El que si que esta clar és que el paquet de solucions que incorpora van des dels 2Mbps fins als 45Mbps. A més constantment fa referencia amb la possibilitat de fer gestió del balanceix de càrrega en diverses ADSL, la qual cosa és una realitat en les PYMES del nostre país.

Per tant, diria que és un dels appliance més ben enfocats per les necessitats diaries dels clients que estic acostumat a tocar. Els preus van dels 1.000 aproximadament en endavant, segons l’ampada de banda a gestionar. La usabilitat segons els screenshots de la pàgina web sembla ben senzilla i inmediata. Potser dona la sensació de ser poc dinàmic en la seva configuració, però es clar, venint de sistemes on t’ho has de treballar tot tu, com pot ser linux i BSD, doncs qualsevol cosa és poc dinàmica.

Malgrat no l’he pogut provar, em moro de ganes de veuren revisions i crítiques perquè hi ha més d’un lloc en que m’agradaria col·locar-n’hi un d’aquests. De fet, diria que sovint aquest dispositius, sempre que funcionin bé, són la solució perfecte per gestionar de forma trivial problemes cada dia més patents a les empreses i que ens impliquen perdre més temps de configuració en els firewalls amb linux i d’altres productes que ens montem a mida. Per tant, a vegades cal cedir terreny als appliance si és per anar a dormir més tranquils i trencar-nos menys el cap quan ens demanen modificacions a les polítiques de gestió d’amplada de banda.

De fet, el producte segons la seva pàgina web fa moltes més coses aquí en podeu veure un resum. Però jo pel que em diu l’experiència només em quedaria amb la idea de gestionar i balancejar l’ampada de banda.

A més, pels que estigueu familiaritzats amb els típics distribuidors d’informàtica de tota la vida el podeu trobar a Diode.

pfSense: tutorial en català

2006/12/18 No Comments

Reading time: 1 – 2 minutes

A través del blog d’en Xavier Caballé he trobat un tutorial molt interessant del pfSense. Es tracta d’un liveCD que funciona en una base de BSD Installer (versió reduida del FreeBSD). A través d’una interficie web s’administra un firewall derivat del m0n0wall.

Les funcions del firewalls són realment interessants:

Totes les interficies de xarxa que volguem
DHCP Server
Snort
Squid
Radius
Portal captiu
Gestió d’ampada de banda
Balanceix de càrrega
Filtrat de paquets
NAT
DNS

I alguna altre que de ben segur m’he deixat d’esmentar. Espero que quan hem tornin a demanar per un bon firewall amb linux, ja no pensi només amb l’Astaro. Pel que fa a l’IPCop mai se m’ha ajustat al que volia.

OneNet – estàndard inal·lambric de baix consum per aplicacions domòtiques

2006/11/30 No Comments

Reading time: 2 – 2 minutes

Fa molt temps que buscava alguna cosa així, a més no només ho he trobat sinó que recolzat per grans fabricants: OneNet.

ONE-NET is an open design standard for low power wireless optimized for residential and small business control applications. The ONE-NET wireless standard is specifically optimized for very low power, very low cost and very good security. ONE-NET can be implemented with a variety of off the shelf wireless transceivers and microcontrollers.

The ONE-NET community will publish detailed specifications for the physical and networking protocol, source code examples for microcontrollers, schematic reference designs and links to various suppliers that make relevant components and modules.

Use of the ONE-NET standard is royalty free with simple open source licensing. The ONE-NET logo will be used to identify products tested for interoperability and compliance to the standard. The ONE-NET partners have brought the expertise and technology together for a complete royalty free design that will make for better connected homes for everyone.

The ONE-NET website provides a place for implementors and vendors to exchange information, design ideas and relevant news. Included on this website is a discussion board/forum, a FAQ, sample hardware designs and source code. The sample designs can be freely downloaded and used for any application. Specific product marking is available for products which have passed interoperability testing.