Roberto Almeida

Bridge criada no Debian Lenny 5.0.2, mas o mesmo exemplo serve para Ubuntu.

Teremos que instalar o pacote de bridge

aptitude install -y bridge-utils

Criar o arquivo /etc/init.d/bridge

#!/bin/bash
brctl addbr br0
brctl addif br0 eth0
ifconfig eth0 0.0.0.0
ifconfig br0 up
ifconfig br0 192.168.0.2 netmask 255.255.255.0
route add default gw 192.168.0.1

Colocando na inicialização

chmod 755 /etc/init.d/bridge
update-rc.d bridge start 12 2 3 4 5 .

Editando o arquivo /etc/apt/sources.list

deb http://ftp2.de.debian.org/debian/ lenny main
deb-src http://ftp2.de.debian.org/debian/ lenny main
deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib
deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main

Atualizando o sistema

aptitude update
aptitude upgrade -y

Instalando os pacotes necessários

aptitude install iproute bridge-utils python-twisted gcc binutils make zlib1g-dev python-dev transfig bzip2 \
libcurl4-openssl-dev libncurses5-dev x-dev libsdl1.2-dev bin86 bcc python-pam patch latex-make qemu \
qemu-launcher qemuctl graphviz graphviz-dev lvm2 libvncserver-dev libjpeg62-dev libjpeg62 gettext python-xml \
gawk tetex-extra tetex-base openssl libssl-dev mercurial libc6-dev libpci-dev libgcrypt11-dev texi2html \
texinfo


Instalando suporte a arquitetura i386

Somente instalar se estiver utilizando o sistema operacional arquitetura x86_64.

aptitude install libc6-dev-i386 -y

Obtendo os fontes e instalando o XEN

cd /usr/src/
wget -c http://bits.xensource.com/oss-xen/release/3.4.1/xen-3.4.1.tar.gz
tar zxvf xen-3.4.1.tar.gz
cd /usr/src/xen-3.4.1
make world
make install

Gerando o arquivo de mapa dos módulos do kernel

depmod 2.6.18.8-xen

Criando initrd

mkinitramfs -o /boot/initrd.img-2.6.18.8-xen 2.6.18.8-xen

Configurando o GRUB

update-grub

Ativando os serviços

update-rc.d xend defaults 20 21
update-rc.d xendomains defaults 21 20

Pronto! Agora é só reiniciar e instalar suas máquinas virtuais xen.

Uma alternativa bastante econômica e de qualidade para um link ponto a ponto é usar dois Ovislink AP5000.

Para configurar eles exercerem esta função precisaremos efetuar algumas alterações:

Atualize o firmware do AP 5000 conforme seu hardware fazendo download em http://www.airlive.com/support/firmware_driver.shtml.

Acesse o rádio via telnet

telnet ipdoradio

Coloque a senha para logar e logo após digite:

z_debug wlanrd write 840

Estes comando acima mudam a codificação de país. Agora vamos reiniciar o rádio para que ele adote as novas mudanças:

reset system

Daqui em diante devemos configurá-lo via web pelo endereço: http://ipdoradio.

Logado no rádio proceda da seguinte forma:

1. Cadastre o mac da wan de um rádio no outro
2. Sete o modo 802.11a
3. Habilite Enable Radio 1 eXtended Range e use o ACK Calculator para calcular sua distância em metros o valor retornado no ack calculator vc deve colocar no AckTimeOut (11a)
4. Use canais apartir de 149 que são os canais para 802.11a.

Segue algumas imagens mostrando os procedimentos.

O título do post foi também o de uma palestra muito interessante que assisti no fisl 9.0 do colega Miguel Filho sobre o apolicy.

Trata-se de software livre que permite implementar através de Policy Delegation Protocol funcionalidades que o Postfix não suporta. Dentre estas funcionalidades estão: validação SPF, controle de mensagens por dia e hora, tamanho de anexo por usuário ou domínio, greylisting e checagem de múltiplas RBLs. A sintaxe de sua configuração é inspirada nas ACLs do Squid além de poder suportar combinações no uso delas.

Sua instalação e configuração são simples principalmente para quem já teve contato com configuração do squid.conf.

Como é do conhecimento de todo admin, SPAM é uma coisa chata de se resolver em servidor de email.

Implementei o apolicy com regras de greylisting e diminuiu consideravelmente a chegada de SPAM na caixa de correios dos servidores em que administro.

Site do projeto: http://www.apolicy.org

Parte de meu apolicy.conf:

acl rede client_address 192.168.0.0/255.255.255.0
acl grey_all greylisting time=1,lifetime=14400,backend=disk,root=/var/cache/apolicy/
action to_greyslist DEFER_IF_PERMIT Greylisting, try in one minute...
access grey_all !rede to_greyslist

Usei como exemplo o backup do /home, onde o script criará um tar.gz para cada usuário.

#!/bin/bash
#
clear
######## PARAMETROS ################
ARQUIVOTEMPORARIO=/tmp/temporario
PASTAQUEQUERFAZERBACKUP=/home/
ONDECOLOCAROBACKUP=/root/
#####################################
rm -rf $ARQUIVOTEMPORARIO
ls -1 $PASTAQUEQUERFAZERBACKUP > $ARQUIVOTEMPORARIO
HOJE=$(date +%d_%m_%Y)
######################
for i in `cat $ARQUIVOTEMPORARIO`; do
XX=`echo $i | cut -d '/' -f 1`
######################
tar czf $ONDECOLOCAROBACKUP/$XX_$HOJE.tar.gz $PASTAQUEQUERFAZERBACKUP/$XX 2>/dev/null
######################
done
rm -rf $ARQUIVOTEMPORARIO
######################
echo "Backup do dia $HOJE terminado!!!"

Outra forma:

#!/bin/bash
#
clear
######## PARAMETROS ################
PASTAQUEQUERFAZERBACKUP=/home/
ONDECOLOCAROBACKUP=/root/
#####################################
ls -1 $PASTAQUEQUERFAZERBACKUP > $ARQUIVOTEMPORARIO
HOJE=$(date +%d_%m_%Y)
######################
for i in $( ls -1 $PASTAQUEQUERFAZERBACKUP ); do
XX=`echo $i | cut -d '/' -f 1`
######################
tar czf $ONDECOLOCAROBACKUP/$XX_$HOJE.tar.gz $PASTAQUEQUERFAZERBACKUP/$XX 2>/dev/null
######################
done
######################
echo "Backup do dia $HOJE terminado!!!"

#! /bin/sh
#
#### PARAMETROS ##############
NOVOMAC="00:02:2D:45:22:20"
INTERFACE="eth0"
IP="10.1.1.2"
MASCARA="255.255.255.0"
GATEWAY="10.1.1.1"
####
ifconfig $INTERFACE down
ifconfig $INTERFACE hw ether $NOVOMAC
ifconfig $INTERFACE $IP netmask $MASCARA
route add default gw $GATEWAY
####

Fiz este script simples para monitoramento de serviços localmente e caso não esteja rodando ele reativa o mesmo.

#!/bin/sh
####################################
TEMP=/tmp/monitorservices
PS=`/bin/ps ax > $TEMP`
####################################
DHCP=`/bin/cat $TEMP | /bin/grep dhcpd | /usr/bin/wc -l`
echo $DHCP
if [ $DHCP == 0 ]; then
/usr/sbin/dhcpd
fi
####################################
SNMP=`/bin/cat $TEMP | /bin/grep snmpd | /usr/bin/wc -l`
echo $SNMP
if [ $SNMP == 0 ]; then
/etc/rc.d/rc.snmpd start
fi
####################################
POSTGRES=`/bin/cat $TEMP | /bin/grep postgres | /usr/bin/wc -l`
echo $POSTGRES
if [ $POSTGRES == 0 ]; then
/etc/rc.d/rc.postgres start
fi
####################################
APACHE=`/bin/cat $TEMP | /bin/grep httpd | /usr/bin/wc -l`
echo $APACHE
if [ $APACHE == 0 ]; then
/etc/rc.d/rc.httpd start
fi
####################################
SQUID=`/bin/cat $TEMP | /bin/grep squid | /usr/bin/wc -l`
echo $SQUID
if [ $SQUID == 0 ]; then
/bin/chmod 777 /squid/* -R
sleep 1
/usr/sbin/squid -z
sleep 1
/etc/rc.d/rc.squid start
fi
####################################
/bin/rm -rf $TEMP

Esta solução que encontrei foi a única que consegui para poder ejetar comandos em um mikrotik através de um script shell do Linux.

Quando começei a pensar nessa possibilidade não encontrei nada na internet que fizesse isto. Solução esta que me serviu muito na hora que fui contribui para o projeto SAGU-PRO na integração com MKT como gateway remoto.

Iremos usar um programinha chamado sshpass que pode ser adquirido em http://nixbit.com/cat/security/sshpass/.

Efetue download do sshpass-1.00.tar.gz

Vamos instalar o sshpass:

tar -zxvf sshpass-1.00.tar.gz
cd sshpass-1.0
./configure
make
make install

Feita a instalação vamos executar:

cd /usr/bin/
ln -s /usr/local/bin/sshpass

Vamos agora logar uma vez no mikrotik para testar a conexão:

ssh usuariodomikrotik@ipdomikrotik
Irá aparecer uma pergunta:

Are you sure you want to continue connecting (yes/no)?

Responda yes

Pronto nosso linux já pode ejetar comandos no mikrotik.

EXEMPLOS:

Adicionando um ip:

sshpass -p senhadousuariomikrotik ssh usuariodomikrotik@ipdomikrotik “/ip address add address=2xx.xxx.xxx.xxx/26 interface=ether1″

Adicionando rota:

sshpass -p senhadousuariomikrotik ssh usuariodomikrotik@ipdomikrotik “/ip route add gateway=2xx.xxx.xxx.xyy/26″

Adicionando um usuário:

sshpass -p senhadousuariomikrotik ssh usuariodomikrotik@ipdomikrotik “/user add name=sagu-pro group=full password=senha”

Estes são apenas alguns dos diversos comandos que você pode ejetar no mikrotik como adicionar /queue simple (Controle de Velocidade), /ip firewall (Regras de firewall), etc…

talei algumas cameras para monitoramento usando uma placa PICO2000 e usei o software que veio com ela para Windows que só me deu problemas.

Resolvi comprar um software alternativo chamado Tvsecurity que era melhor que o da PICO2000 mas, também não me senti satisfeito porque o software só funcionava em ruindows e para acessar as imagens pela net eu achava muito complicado.

Até que um dia eu fui tentar ver as imagens e o hd da máquina estava dando problemas.

Troque o hd e já fui logo radical colocando um Ubuntu Linux Server 8.04.

Dae pra frente resolvi procurar um software que rodasse em linux e que funcionasse com a placa de captura mais chamada de PICO 2000 que contém um chip Bt878.

Achei a solução: ZONEMINDER.

Para instalar somente adicionei ao arquivo /etc/apt/sources.list:

# ZoneMinder
deb http://www.spic.net/zoneminder/debian/ ./
deb-src http://www.spic.net/zoneminder/debian/ ./
deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all

Instalando

aptitude update
aptitude install -y zoneminder

Pronto! Zoneminder instalado.

No começo tive alguns problemas principalmente relacionado a memória compartilhada e a umas permissões então coloquei no /etc/init.d/rc.local

chmod 777 /dev/video*
echo 134217728 >/proc/sys/kernel/shmall
echo 134217728 >/proc/sys/kernel/shmmax
sysctl -p

Agora tudo funciona perfeitamente.

Segue abaixo alguns screenshots.

Uma forma rápida e prática para quem usa Linux de analisar tráfego é usar o TCPDUMP.

Basicamente com dois comandos é possível coletar bastante informação.

1 – Pegando o tráfego

tcpdump -vi eth1 'dst net 192.168.0.22' -w teste

2 – Analisando o tráfego coletado

tcpdump -r teste -X

No item 01 podemos combinar várias regras exemplos:

‘dst net 192.168.0.22 and dst port 22′

‘src net 192.168.0.22 and dst port 22′

‘src net 192.168.0.100 or dst port 80′

Maiores informações

man tcpdump