Gestionar los ordenadores de una LAN desde DHCP opción más profesional
que la configuración manual. Asignar direcciones IP estáticas y dinámicas,
pasarelas y servidores a través de DHCP.
dnsmasq es la solución. Existen dos maneras de asignar direcciones IP es-
táticas desde dnsmasq.conf.
1. Utilizar la dirección MAC del clente como identificador:
dhcp-host=00:11:22:33:44:55,192.168.1.170
2. A través del nombre de host:
dhcp-host=ronin,192.168.1.170
Asegurese que no tiene estas entradas en /etc/host.
Unicamente en el cliente necesitamos el nombre del host. Los clientes DHCP
lo enviarán al servidor DHCP al solicitar un contrato nuevo. No olvide ejecutar
kilall dnsmasq al hacer cambios al dnsmasq.conf .
Con nuestros clientes Linux probamos los siguientes comandos para detener
y reiniciar las interfaces:
# /etc/init.d/network restart
# /etc/init.d/networking restart
Adquiere la dirección asignada desde el servidor DHCP además de escribir en
/etc/resolv.conf los servidores DNS correctos. Si no funcionan, reiniciamos.
Utilizando ifconfig y iwconfig buscaremos las direcciones MAC para NIC
alámbricas e inalámbricas respectivamente, iwconfig identifica solo interfaces
inalámbricas, ifconfig ambas.
Las direcciones MAC son únicas, no así los host, alerta! debemos tener
cuidado de no tener nombres de hosts duplicados.
Configuración de clientes DHCP estáticos en Linux.
Como configurar los clientes para que dnsmasq les asigne direcciones IP
estáticas.
La clave para obtener direcciones IP estáticas desde DHCP es que los clientes
envíen sus nombres de host al servidor DHCP en el momento de solicitar un
contrato nuevo.
1
En las máquinas GNU-Linux hay que asegurarse de que lo único que hay en
/etc/hosts es la entrada del dominio local.
En Debian el fichero es /etc/dhcp3/dhclient.conf:
send host-name “ronin”;
El nombre también debe aparecer en /etc/hostname
ronin
Solo el nombre de host, nada más. Es el momento de configurar DHCP en
/etc/network/interfaces :
# /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
La línea HOSTNAME en /etc/sysconfig/network debe estar vacía.
Después de reiniciar ejecutamos estos comandos para comprobar:
$ hostname
ronin
$ hostname -f
ronin.foo.org
$ dnsdomainname
foo.org
Hacemos ping:
$ ping ronin
PING ronin.foo.org (192.168.1.170) 56(84) bytes of data.
64 bytes from ronin.foot.org (192.168.1.170): icmp_seq=1 ttl=64
time=0.033 ms
2
freebsd, unix, gentoo, openbsd, servidores, bsd, redes, linux, mikrotik, synology, zfs,
Páginas
viernes, 29 de enero de 2010
miércoles, 13 de enero de 2010
Firewall para un host Gentoo
Un cortafuegos para un ordenador GNU-Linux que no ejecuta servicios públicos. Un simple pc o un portátil con movilidad. Consta de 3 scripts fw_host, fw_flush y firewall. Los scripts de inicio de nombre firewall, uno está destinado para usar en Debian y otro para utilizar en Gentoo linux.
Copie el siguiente guion para root chmod 0700 y se llamará /usr/local/bin/fw_host
#!/bin/sh
##/usr/local/bin/fw_host
#iptables firewall script para una estacion de trabajo o portatil
#define variables
ipt="/sbin/iptables"
mod="/sbin/modprobe"
ports="1:1024"
ipall="0.0.0.0/0"
red_A="10.0.0.0/8"
red_B="172.16.0.0/16"
red_D_MULT="224.0.0.0/4"
red_E_RES_NET="240.0.0.0/5"
loopback="127.0.0.0/8"
broad_src="0.0.0.0"
broad_dest="255.255.255.255"
#Flush all rules, delete all chains
$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t mangle -F
$ipt -t mangle -X
#Zero out all counters
$ipt -Z
$ipt -t nat -Z
$ipt -t mangle -Z
#basic set of kernel modules
$mod ip_tables
$mod ip_conntrack
$mod iptable_filter
$mod iptable_nat
$mod iptable_mangle
$mod ipt_LOG
$mod ipt_limit
$mod ipt_state
$mod ipt_MASQUERADE
#opcional para irc y ftp
#$mod ip_conntrack_irc
#$mod ip_conntrack_ftp
#politicas por defecto Incoming es rechazar todo,
#outgoing esta restringido
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P POSTROUTING ACCEPT
#esta linea es necesaria para la interfaz loopback
#e internos socket-based servicios trabajen correctamente.
$ipt -A INPUT -i lo -j ACCEPT
# rechazar intentos de conexion no iniciados desde el host
$ipt -A INPUT -p tcp --syn -j DROP
#Allow return traffic initiated from the host
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Acceptar important ICMP packets
$ipt -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# Cerrar rangos de puertos privilegiados para paquetes que entran
$ipt -A INPUT -s $ipall -p tcp --dport $ports -j DROP
$ipt -A INPUT -s $ipall -p tcp --dport $ports -j DROP
# Cerrar puerto de gestion webmin
$ipt -A INPUT -s $ipall -p tcp --dport 10000 -j DROP
echo "Rechazar pqtes direcciones privadas"
# Rechazar paquetes que digan proceder o ir a direcciones
# privadas de redes A B y C
$ipt -A INPUT -s $red_A -j DROP
$ipt -A OUTPUT -d $red_A -j DROP
$ipt -A INPUT -s $red_B -j DROP
$ipt -A OUTPUT -d $red_B -j DROP
# Rechazar paquetes que digan proceder de la interfaz lo
$ipt -A INPUT -s $loopback -j DROP
$ipt -A OUTPUT -s $loopback -j DROP
# Rechazar pqtes de difusion mal formados
$ipt -A INPUT -s $broad_src -j DROP
$ipt -A INPUT -d $broad_src -j DROP
# Rechazar las direcciones de multidifusion de clase D que
# sean solo ilegales como direcciones de origen. La multi-
# difusion utiliza UDP
$ipt -A INPUT -s $red_D_MULT -j DROP
$ipt -A OUTPUT -s $red_D_MULT -j DROP
$ipt -A INPUT -d $red_D_MULT -j DROP
$ipt -A OUTPUT -d $red_D_MULT -j DROP
# Rechazar direcciones reservadas IP de clase E
$ipt -A INPUT -s $red_E_RES_NET -j DROP
echo "Direcciones reservadas por el IANA"
# Rechazar direcciones definidas como reservadas por el IANA
$ipt -A INPUT -s 1.0.0.0/8 -j DROP
$ipt -A INPUT -s 2.0.0.0/8 -j DROP
$ipt -A INPUT -s 5.0.0.0/8 -j DROP
$ipt -A INPUT -s 7.0.0.0/8 -j DROP
$ipt -A INPUT -s 23.0.0.0/8 -j DROP
$ipt -A INPUT -s 27.0.0.0/8 -j DROP
$ipt -A INPUT -s 31.0.0.0/8 -j DROP
$ipt -A INPUT -s 37.0.0.0/8 -j DROP
$ipt -A INPUT -s 39.0.0.0/8 -j DROP
$ipt -A INPUT -s 41.0.0.0/8 -j DROP
$ipt -A INPUT -s 42.0.0.0/8 -j DROP
$ipt -A INPUT -s 58.0.0.0/8 -j DROP
$ipt -A INPUT -s 60.0.0.0/8 -j DROP
$ipt -A INPUT -s 65.0.0.0/8 -j DROP
$ipt -A INPUT -s 66.0.0.0/8 -j DROP
$ipt -A INPUT -s 67.0.0.0/8 -j DROP
$ipt -A INPUT -s 68.0.0.0/8 -j DROP
$ipt -A INPUT -s 69.0.0.0/8 -j DROP
$ipt -A INPUT -s 70.0.0.0/8 -j DROP
$ipt -A INPUT -s 71.0.0.0/8 -j DROP
$ipt -A INPUT -s 72.0.0.0/8 -j DROP
$ipt -A INPUT -s 73.0.0.0/8 -j DROP
$ipt -A INPUT -s 74.0.0.0/8 -j DROP
$ipt -A INPUT -s 75.0.0.0/8 -j DROP
$ipt -A INPUT -s 76.0.0.0/8 -j DROP
$ipt -A INPUT -s 77.0.0.0/8 -j DROP
$ipt -A INPUT -s 78.0.0.0/8 -j DROP
$ipt -A INPUT -s 79.0.0.0/8 -j DROP
$ipt -A INPUT -s 80.0.0.0/8 -j DROP
$ipt -A INPUT -s 96.0.0.0/8 -j DROP
$ipt -A INPUT -s 112.0.0.0/8 -j DROP
$ipt -A INPUT -s 113.0.0.0/8 -j DROP
$ipt -A INPUT -s 114.0.0.0/8 -j DROP
$ipt -A INPUT -s 115.0.0.0/8 -j DROP
$ipt -A INPUT -s 116.0.0.0/8 -j DROP
$ipt -A INPUT -s 117.0.0.0/8 -j DROP
$ipt -A INPUT -s 118.0.0.0/8 -j DROP
$ipt -A INPUT -s 119.0.0.0/8 -j DROP
$ipt -A INPUT -s 120.0.0.0/8 -j DROP
$ipt -A INPUT -s 121.0.0.0/8 -j DROP
$ipt -A INPUT -s 122.0.0.0/8 -j DROP
$ipt -A INPUT -s 123.0.0.0/8 -j DROP
$ipt -A INPUT -s 124.0.0.0/8 -j DROP
$ipt -A INPUT -s 125.0.0.0/8 -j DROP
$ipt -A INPUT -s 126.0.0.0/8 -j DROP
$ipt -A INPUT -s 217.0.0.0/8 -j DROP
$ipt -A INPUT -s 218.0.0.0/8 -j DROP
$ipt -A INPUT -s 219.0.0.0/8 -j DROP
$ipt -A INPUT -s 220.0.0.0/8 -j DROP
echo " Bien. Verifique con iptables -L -n"
#########FIN#############
# Alerta! - borrar esta regla si añade reglas para permitir
# varios servicios SSH o peer to peer $ipt -A INPUT -p tcp --syn -j DROP
y añadir esta otra:
# drop NEW tcp conexiones que no contengan el SYN-flagged
$ipt -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
por ultimo agregar regla con los puerto adecuados para el protocolo desde el que se permite las peticiones de entrada del cliente.
# para SSH:
$ipt -A INPUT -p tcp --dport 22 --sport 1024:65535 -j ALLOW
#!/bin/sh
##/usr/local/bin/fw_flush
####INICIO SCRIPT FLUSH IPTABLES####
#elimina todas las reglas activas y cadenas,
#y las políticas por defecto se restablece a "ACCEPT"
#Esto es como NO tener ningún servidor de seguridad.
#define variables
ipt="/sbin/iptables"
echo "El firewall esta detenido. Todas las reglas y cadenas
han sido eliminadas, las politicas por defecto en ACCEPT.
Todos los contadores a cero"
#Todos los contadores a cero.
$ipt -Z
$ipt -t nat -Z
$ipt -t mangle -Z
#Flush todas las reglas, borrar todas las cadenas.
$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t mangle -F
$ipt -t mangle -X
####FIN SCRIPT FLUSH IPTABLES####
Es el momento de añadir los siguientes parámetros kernel a /etc/sysctl.conf
net.ipv4.ip_forward = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
Crearemos un script llamado /etc/init.d/firewall que para Gentoo linux tendrá este aspecto:
#!/bin/sh
##/etc/init.d/firewall
#####INICIO SCRIPT FIREWALL IPTABLES####
#simple start-stop INIT script para iptables
#start Inicia y construye el firewall, stop flush
#stop Todas las normas y politicas restauradas a ACCEPT
#restart reinicia, Ejecuta stop y start comandos.
startfile="/usr/local/bin/fw_host"
stopfile="/usr/local/bin/fw_flush"
depend() {
need net
}
case "$1" in
start)
echo "Iniciando... $startfile: iptables esta en marcha"
/bin/sh $startfile start
;;
stop)
echo "Deteniendo... $stopfile: iptables esta detenido."
/bin/sh $stopfile stop
;;
#status)
#/bin/sh $statusfile status
#;;
restart)
/bin/sh $stopfile stop
echo "El cortafuegos ha sido detenido."
/bin/sh $startfile start
echo "El firewall ha sido reiniciado."
;;
esac
#####FIN SCRIPT FIREWALL IPTABLES####
En gentoo linux agregar este script para que se inicie con el sistema:
# rc-update add firewall default
#######script firewall Debian#########
#!/bin/sh
##/etc.init.d/firewall
# simple start-stop init script for iptables
# start builds the firewall, stop flushes
# all rules and resets default policies to ACCEPT
# restart runs the start and stop commands
# status displays all active rules, and packet and byte counters
startfile="/usr/local/bin/fw_nat"
stopfile="/usr/local/bin/fw_flush"
statusfile="/usr/local/bin/fw_status"
case "$1" in
start)
echo "Starting $startfile: iptables is now starting up"
/bin/sh $startfile start
;;
stop)
echo "Stopping $stopfile: iptables is now stopped, all rules and
chains are flushed, and default policies are set to ACCEPT"
/bin/sh $stopfile stop
;;
status)
/bin/sh $statusfile status
;;
restart)
/bin/sh $stopfile stop
echo "The firewall has stopped."
/bin/sh $startfile start
echo "The firewall has now restarted."
;;
esac
###########FIN SCRIPT#############
Agregue este guion a los niveles de ejecucion que desee. Este comando lo añade a los niveles 2-5 en Debian:
# update-rc.d firewall start 01 2 3 4 5. stop 99 0 1 6.
Para activar sin reiniciar:
# /etc/init.d/firewall start
# /sbin/sysctl -p
Linux es genial!
Copie el siguiente guion para root chmod 0700 y se llamará /usr/local/bin/fw_host
#!/bin/sh
##/usr/local/bin/fw_host
#iptables firewall script para una estacion de trabajo o portatil
#define variables
ipt="/sbin/iptables"
mod="/sbin/modprobe"
ports="1:1024"
ipall="0.0.0.0/0"
red_A="10.0.0.0/8"
red_B="172.16.0.0/16"
red_D_MULT="224.0.0.0/4"
red_E_RES_NET="240.0.0.0/5"
loopback="127.0.0.0/8"
broad_src="0.0.0.0"
broad_dest="255.255.255.255"
#Flush all rules, delete all chains
$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t mangle -F
$ipt -t mangle -X
#Zero out all counters
$ipt -Z
$ipt -t nat -Z
$ipt -t mangle -Z
#basic set of kernel modules
$mod ip_tables
$mod ip_conntrack
$mod iptable_filter
$mod iptable_nat
$mod iptable_mangle
$mod ipt_LOG
$mod ipt_limit
$mod ipt_state
$mod ipt_MASQUERADE
#opcional para irc y ftp
#$mod ip_conntrack_irc
#$mod ip_conntrack_ftp
#politicas por defecto Incoming es rechazar todo,
#outgoing esta restringido
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P POSTROUTING ACCEPT
#esta linea es necesaria para la interfaz loopback
#e internos socket-based servicios trabajen correctamente.
$ipt -A INPUT -i lo -j ACCEPT
# rechazar intentos de conexion no iniciados desde el host
$ipt -A INPUT -p tcp --syn -j DROP
#Allow return traffic initiated from the host
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Acceptar important ICMP packets
$ipt -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# Cerrar rangos de puertos privilegiados para paquetes que entran
$ipt -A INPUT -s $ipall -p tcp --dport $ports -j DROP
$ipt -A INPUT -s $ipall -p tcp --dport $ports -j DROP
# Cerrar puerto de gestion webmin
$ipt -A INPUT -s $ipall -p tcp --dport 10000 -j DROP
echo "Rechazar pqtes direcciones privadas"
# Rechazar paquetes que digan proceder o ir a direcciones
# privadas de redes A B y C
$ipt -A INPUT -s $red_A -j DROP
$ipt -A OUTPUT -d $red_A -j DROP
$ipt -A INPUT -s $red_B -j DROP
$ipt -A OUTPUT -d $red_B -j DROP
# Rechazar paquetes que digan proceder de la interfaz lo
$ipt -A INPUT -s $loopback -j DROP
$ipt -A OUTPUT -s $loopback -j DROP
# Rechazar pqtes de difusion mal formados
$ipt -A INPUT -s $broad_src -j DROP
$ipt -A INPUT -d $broad_src -j DROP
# Rechazar las direcciones de multidifusion de clase D que
# sean solo ilegales como direcciones de origen. La multi-
# difusion utiliza UDP
$ipt -A INPUT -s $red_D_MULT -j DROP
$ipt -A OUTPUT -s $red_D_MULT -j DROP
$ipt -A INPUT -d $red_D_MULT -j DROP
$ipt -A OUTPUT -d $red_D_MULT -j DROP
# Rechazar direcciones reservadas IP de clase E
$ipt -A INPUT -s $red_E_RES_NET -j DROP
echo "Direcciones reservadas por el IANA"
# Rechazar direcciones definidas como reservadas por el IANA
$ipt -A INPUT -s 1.0.0.0/8 -j DROP
$ipt -A INPUT -s 2.0.0.0/8 -j DROP
$ipt -A INPUT -s 5.0.0.0/8 -j DROP
$ipt -A INPUT -s 7.0.0.0/8 -j DROP
$ipt -A INPUT -s 23.0.0.0/8 -j DROP
$ipt -A INPUT -s 27.0.0.0/8 -j DROP
$ipt -A INPUT -s 31.0.0.0/8 -j DROP
$ipt -A INPUT -s 37.0.0.0/8 -j DROP
$ipt -A INPUT -s 39.0.0.0/8 -j DROP
$ipt -A INPUT -s 41.0.0.0/8 -j DROP
$ipt -A INPUT -s 42.0.0.0/8 -j DROP
$ipt -A INPUT -s 58.0.0.0/8 -j DROP
$ipt -A INPUT -s 60.0.0.0/8 -j DROP
$ipt -A INPUT -s 65.0.0.0/8 -j DROP
$ipt -A INPUT -s 66.0.0.0/8 -j DROP
$ipt -A INPUT -s 67.0.0.0/8 -j DROP
$ipt -A INPUT -s 68.0.0.0/8 -j DROP
$ipt -A INPUT -s 69.0.0.0/8 -j DROP
$ipt -A INPUT -s 70.0.0.0/8 -j DROP
$ipt -A INPUT -s 71.0.0.0/8 -j DROP
$ipt -A INPUT -s 72.0.0.0/8 -j DROP
$ipt -A INPUT -s 73.0.0.0/8 -j DROP
$ipt -A INPUT -s 74.0.0.0/8 -j DROP
$ipt -A INPUT -s 75.0.0.0/8 -j DROP
$ipt -A INPUT -s 76.0.0.0/8 -j DROP
$ipt -A INPUT -s 77.0.0.0/8 -j DROP
$ipt -A INPUT -s 78.0.0.0/8 -j DROP
$ipt -A INPUT -s 79.0.0.0/8 -j DROP
$ipt -A INPUT -s 80.0.0.0/8 -j DROP
$ipt -A INPUT -s 96.0.0.0/8 -j DROP
$ipt -A INPUT -s 112.0.0.0/8 -j DROP
$ipt -A INPUT -s 113.0.0.0/8 -j DROP
$ipt -A INPUT -s 114.0.0.0/8 -j DROP
$ipt -A INPUT -s 115.0.0.0/8 -j DROP
$ipt -A INPUT -s 116.0.0.0/8 -j DROP
$ipt -A INPUT -s 117.0.0.0/8 -j DROP
$ipt -A INPUT -s 118.0.0.0/8 -j DROP
$ipt -A INPUT -s 119.0.0.0/8 -j DROP
$ipt -A INPUT -s 120.0.0.0/8 -j DROP
$ipt -A INPUT -s 121.0.0.0/8 -j DROP
$ipt -A INPUT -s 122.0.0.0/8 -j DROP
$ipt -A INPUT -s 123.0.0.0/8 -j DROP
$ipt -A INPUT -s 124.0.0.0/8 -j DROP
$ipt -A INPUT -s 125.0.0.0/8 -j DROP
$ipt -A INPUT -s 126.0.0.0/8 -j DROP
$ipt -A INPUT -s 217.0.0.0/8 -j DROP
$ipt -A INPUT -s 218.0.0.0/8 -j DROP
$ipt -A INPUT -s 219.0.0.0/8 -j DROP
$ipt -A INPUT -s 220.0.0.0/8 -j DROP
echo " Bien. Verifique con iptables -L -n"
#########FIN#############
# Alerta! - borrar esta regla si añade reglas para permitir
# varios servicios SSH o peer to peer $ipt -A INPUT -p tcp --syn -j DROP
y añadir esta otra:
# drop NEW tcp conexiones que no contengan el SYN-flagged
$ipt -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
por ultimo agregar regla con los puerto adecuados para el protocolo desde el que se permite las peticiones de entrada del cliente.
# para SSH:
$ipt -A INPUT -p tcp --dport 22 --sport 1024:65535 -j ALLOW
#!/bin/sh
##/usr/local/bin/fw_flush
####INICIO SCRIPT FLUSH IPTABLES####
#elimina todas las reglas activas y cadenas,
#y las políticas por defecto se restablece a "ACCEPT"
#Esto es como NO tener ningún servidor de seguridad.
#define variables
ipt="/sbin/iptables"
echo "El firewall esta detenido. Todas las reglas y cadenas
han sido eliminadas, las politicas por defecto en ACCEPT.
Todos los contadores a cero"
#Todos los contadores a cero.
$ipt -Z
$ipt -t nat -Z
$ipt -t mangle -Z
#Flush todas las reglas, borrar todas las cadenas.
$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t mangle -F
$ipt -t mangle -X
####FIN SCRIPT FLUSH IPTABLES####
Es el momento de añadir los siguientes parámetros kernel a /etc/sysctl.conf
net.ipv4.ip_forward = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
Crearemos un script llamado /etc/init.d/firewall que para Gentoo linux tendrá este aspecto:
#!/bin/sh
##/etc/init.d/firewall
#####INICIO SCRIPT FIREWALL IPTABLES####
#simple start-stop INIT script para iptables
#start Inicia y construye el firewall, stop flush
#stop Todas las normas y politicas restauradas a ACCEPT
#restart reinicia, Ejecuta stop y start comandos.
startfile="/usr/local/bin/fw_host"
stopfile="/usr/local/bin/fw_flush"
depend() {
need net
}
case "$1" in
start)
echo "Iniciando... $startfile: iptables esta en marcha"
/bin/sh $startfile start
;;
stop)
echo "Deteniendo... $stopfile: iptables esta detenido."
/bin/sh $stopfile stop
;;
#status)
#/bin/sh $statusfile status
#;;
restart)
/bin/sh $stopfile stop
echo "El cortafuegos ha sido detenido."
/bin/sh $startfile start
echo "El firewall ha sido reiniciado."
;;
esac
#####FIN SCRIPT FIREWALL IPTABLES####
En gentoo linux agregar este script para que se inicie con el sistema:
# rc-update add firewall default
#######script firewall Debian#########
#!/bin/sh
##/etc.init.d/firewall
# simple start-stop init script for iptables
# start builds the firewall, stop flushes
# all rules and resets default policies to ACCEPT
# restart runs the start and stop commands
# status displays all active rules, and packet and byte counters
startfile="/usr/local/bin/fw_nat"
stopfile="/usr/local/bin/fw_flush"
statusfile="/usr/local/bin/fw_status"
case "$1" in
start)
echo "Starting $startfile: iptables is now starting up"
/bin/sh $startfile start
;;
stop)
echo "Stopping $stopfile: iptables is now stopped, all rules and
chains are flushed, and default policies are set to ACCEPT"
/bin/sh $stopfile stop
;;
status)
/bin/sh $statusfile status
;;
restart)
/bin/sh $stopfile stop
echo "The firewall has stopped."
/bin/sh $startfile start
echo "The firewall has now restarted."
;;
esac
###########FIN SCRIPT#############
Agregue este guion a los niveles de ejecucion que desee. Este comando lo añade a los niveles 2-5 en Debian:
# update-rc.d firewall start 01 2 3 4 5. stop 99 0 1 6.
Para activar sin reiniciar:
# /etc/init.d/firewall start
# /sbin/sysctl -p
Linux es genial!
Manejo de Redes
Gestión de la red con ifplugd
Fuente: http://www.gentoo.org/doc/es/handbook/handbook-x86.xml
Si utiliza un el ordenador portátil y está en continuo movimiento, no siempre tendrá un cable ethernet conectado o un punto de acceso disponible. Además, puede configurar su red para que funcione automáticamente cuando un cable ethernet se conecte o se encuentre un punto de acceso.
Una herramienta que puede ayudar a gestionar su red es ifplugd, es un demonio que arranca y detiene las interfaces de red cuando un cable se conecta o se desconecta. También puede gestionar la detección asociándose a un punto de acceso o cuando uno nuevo entra dentro del radio de detección.
Instalar ifplugd;
# emerge sys-apps/ifplugd
El archivo de configuración se encuentra en /etc/conf.d/net.
Por ejemplo si quiere monitorizar la interfaz wlan0 (wireless), la configuración de ifplug será:
# vim /etc/conf.d/net
ifplugd_eth0="--api-mode=wlan"
Para una interfaz wired (alámbrica), de nombre eth0:
# vim /etc/conf.d/net
ifplugd_eth0="..."
Llegado a este punto man ifplugd proporcionará más detalles sobre las variables disponibles. Una de las variables modifica el comportamineto del protocolo de ahorro de energía PS-Poll = Poll (wifi power saving mode, PSM, IEEE802.11), servirá para establecer el Li, el número de intervalos de Beacon en segundos en momento en que el cliente despierta. Para permitir o evitar que la tarjeta inalámbrica "duerma" cuando esté inactiva modifique este parámetro. Por defecto viene establecido en 1 segundo:
# ifplugd -t xx -i wlan0
Donde xx es el tiempo en segundos y wlan0 el nombre de la intefaz de red wireless.
Además, para manejar múltiples conexiones de red, quizá quiera instalar una herramienta que facilita el trabajo con múltiples configuraciones y servidores DNS. Es realmente útil cuando se recibe la dirección IP via DHCP. Simplemente instale openresolv.
Instalar openresolv
# emerge openresolv
Sientase libre de hacer cualquier comentario que complemente, aclare o corrija el texto anterior.
Fuente: http://www.gentoo.org/doc/es/handbook/handbook-x86.xml
Si utiliza un el ordenador portátil y está en continuo movimiento, no siempre tendrá un cable ethernet conectado o un punto de acceso disponible. Además, puede configurar su red para que funcione automáticamente cuando un cable ethernet se conecte o se encuentre un punto de acceso.
Una herramienta que puede ayudar a gestionar su red es ifplugd, es un demonio que arranca y detiene las interfaces de red cuando un cable se conecta o se desconecta. También puede gestionar la detección asociándose a un punto de acceso o cuando uno nuevo entra dentro del radio de detección.
Instalar ifplugd;
# emerge sys-apps/ifplugd
El archivo de configuración se encuentra en /etc/conf.d/net.
Por ejemplo si quiere monitorizar la interfaz wlan0 (wireless), la configuración de ifplug será:
# vim /etc/conf.d/net
ifplugd_eth0="--api-mode=wlan"
Para una interfaz wired (alámbrica), de nombre eth0:
# vim /etc/conf.d/net
ifplugd_eth0="..."
Llegado a este punto man ifplugd proporcionará más detalles sobre las variables disponibles. Una de las variables modifica el comportamineto del protocolo de ahorro de energía PS-Poll = Poll (wifi power saving mode, PSM, IEEE802.11), servirá para establecer el Li, el número de intervalos de Beacon en segundos en momento en que el cliente despierta. Para permitir o evitar que la tarjeta inalámbrica "duerma" cuando esté inactiva modifique este parámetro. Por defecto viene establecido en 1 segundo:
# ifplugd -t xx -i wlan0
Donde xx es el tiempo en segundos y wlan0 el nombre de la intefaz de red wireless.
Además, para manejar múltiples conexiones de red, quizá quiera instalar una herramienta que facilita el trabajo con múltiples configuraciones y servidores DNS. Es realmente útil cuando se recibe la dirección IP via DHCP. Simplemente instale openresolv.
Instalar openresolv
# emerge openresolv
Sientase libre de hacer cualquier comentario que complemente, aclare o corrija el texto anterior.
jueves, 7 de enero de 2010
Gentoo la macro distribucion GNU-linux
http://www.gentoo.org/doc/es/handbook/handbook-x86.xml
Actualmente gentoo linux ha eliminado los paquetes correspondiente a kde 3.5. Actualmente la versión utilizada de kde es la 4.3.3. Muchos prefieren kde 3.5 ó gnome. Con gnome no hay problema. En el primer caso será necesario seguir una serie de pasos muy específicos. Si es su caso dirijase a:
Gentoo y kde 3.5 how to
Instalar Gnome en Gentoo (mi preferido):
Gentoo + escritorio gnome
Siguiendo la guia de instalacion desde el sitio web oficial de Gentoo linux he instalado la distribucion Gentoo Linux. La mejor de todas, (opinión personal).
Por lo tanto no voy a repetir aquí lo que tan bién explicado está en el sitio de gentoo linux. Bien ganada la fama de ser la distribución más documentada.
Lo que si será interesante es comentar la instalación en un portátil Dell inspiron 1525 con Chip Intel GM965/GL960, pantalla de 15'4. Kernel 2.6.31-r6.
Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz
# lspci | grep -i audio
00:1b.0 Audio device: Intel Corporation 82801H (ICH8 Family) HD Audio Controller (rev 02)
# lspci | grep -i display
00:02.1 Display controller: Intel Corporation Mobile GM965/GL960 Integrated Graphics Controller (rev 0c)
# lspci|grep -i ethernet
09:00.0 Ethernet controller: Marvell Technology Group Ltd. 88E8040 PCI-E Fast Ethernet Controller (rev 12)
# lspci|grep -i wireless
0b:00.0 Network controller: Intel Corporation PRO/Wireless 3945ABG [Golan] Network Connection (rev 02)
En el kernel:
Device Drivers ...
Graphics Support
<*> /dev/appgart (AGP support)
<*> Intel 440LX/BX/GX, 18xx and
<*> Direct Rendering M (Xfreex64
<*> Intel 830M, 8456,
<*> i915 driver
Editar /etc/make.conf y agregar VIDEO_CARDS="i810"
# vim /etc/make.conf
# Video Intel GM965/GL960
VIDEO_CARDS="i810"
INTERFACES_DEVICES="evdev keyboard mouse"
Instalar Paquete para Intel Graphics:
# emerge xf86-video-intel
Instalación del servidor gráfico Xorg
El proyecto X.org creó y mantiene una implementación de código abierto, libre y redistribuible del sistema X11 Por defecto, Xorg usa evdev, un controlador de entrada genérico. Es el motor gráfico necesario para la posterior instalación del o los entorno(s) gráfico(s).
# emerge xorg-x11
# rc-udpate add dbus default
# Xorg -configure
# /etc/init.d/hald start
# rc-update add hald default
Generando un xorg.conf
# Xorg -configure
Probar el archivo xorg.conf.new
# X -config /root/xorg.conf.new
Copiar xorg.config
# cp /root/xorg.conf.new /etc/X11/xorg.conf
Para configurar el tamaño de memoria de vídeo se debe utilizar la opción de dispositivo VideoRam,
# sudo lspci -vv | grep -i memory
Region 0: Memory at fea00000 (64-bit, non-prefetchable) [size=1M]
Region 2: Memory at e0000000 (64-bit, prefetchable) [size=256M]
Calcular un valor para la opción VideoRam.
prefetchable * 1024 kb = res - non-prefetchable = VideoRam:
256 * 1024 = 262144
262144 - 1024 = 261120
Seguramente tendrá que editar y agregar estos valores para que funcione:
# vim /etc/X11/xorg.conf:
Section "ServerLayout"
Identifier "X.org Configured"
Screen 0 "Screen0" 0 0
InputDevice "Mouse0" "CorePointer"
InputDevice "Keyboard0" "CoreKeyboard"
EndSection
Section "Files"
ModulePath "/usr/lib/xorg/modules"
FontPath "/usr/share/fonts/misc/"
FontPath "/usr/share/fonts/TTF/"
FontPath "/usr/share/fonts/OTF"
FontPath "/usr/share/fonts/Type1/"
FontPath "/usr/share/fonts/100dpi/"
FontPath "/usr/share/fonts/75dpi/"
EndSection
Section "Module"
Load "glx"
Load "dri"
Load "xtrap"
Load "record"
Load "extmod"
Load "dbe"
EndSection
Section "Monitor"
Identifier "Monitor0"
VendorName "Monitor Vendor"
ModelName "Monitor Model"
EndSection
Section "Device"
Identifier "Card0"
Driver "intel"
Option "Monitor-LVDS" "Dell LFP"
VendorName "Intel Corporation"
BoardName "Mobile GM965/GL960 Integrated Graphics Controller"
BusID "PCI:0:2:0"
EndSection
Section "Monitor"
Identifier "Dell LFP"
Option "DPMS"
HorizSync 31.5-100
VertRefresh 58-61
Modeline "1920x1200_60.00" 193.16 1920 2048 2256 2592 1200 1201 1204 1242 -HSync +Vsync
Modeline "1680x1050_60.00" 147.14 1680 1784 1968 2256 1050 1051 1054 1087 -HSync +Vsync
Modeline "1280x800_60.00" 83.46 1280 1344 1480 1680 800 801 804 828 -HSync +Vsync
Option "PreferredMode" "1280x800"
EndSection
Probar el servidor X
# startx
Gentoo y escritorio Gnome (fuente: www.gentoo.org):
Ejemplo de parámetros USE en /etc/make.conf
USE="-qt3 -qt4 -arts -kde gtk gnome hal"
Puede agregar el parámetro USE branding para obtener una pantalla de inicio con un hermoso tema Gentoo en vez de la pantalla por defecto de Gnome:
Activando la pantalla de inicio Gentoo
# echo "gnome-base/gnome-session branding" >> /etc/portage/package.use
Una vez hecho esto, comience la instalación de GNOME vía emerge gnome:
Instalar GNOME
# emerge gnome
También puede optar por una instalación mínima de Gnome, usando gnome-light:
Instalar un entorno mínimo GNOME
# emerge gnome-light
Actualizar las variables de entorno
# env-update && source /etc/profile
Luego limpiaremos los servicios restantes.
Agregar hald y dbus al nivel de ejecución default
# /etc/init.d/hald start
# rc-update add hald default
# /etc/init.d/dbus start
# rc-update add dbus default
Primeras impresiones
Salga del shell de superusuario e ingrese como un usuario normal. Configuraremos nuestra sesión para ejecutar GNOME al escribir el comando startx
Establecer GNOME como entorno de escritorio predeterminado
$ echo "exec gnome-session" > ~/.xinitrc
A partir de la versión gnome-base/gnome-session-2.26.2, necesitará anteponer la variable XDG_MENU_PREFIX para obtener los menús de gnome si está usando el método ~/.xinitrc para lanzar su escritorio. (Si no usa ~/.xinitrc, podrá gestionarlo automáticamente, ninguna configuración adicional es necesaria).
Anteponiendo XDG_MENU_PREFIX a ~/.xinitrc
$ sed '1i\export XDG_MENU_PREFIX=gnome-' ~/.xinitrc
Ahora inicie su entorno gráfico escribiendo startx:
Iniciar GNOME
$ startx
He experimentado con kde4 y la verdad, no me convenció en absoluto:
Instalar kdebase, recomendable e instalar las demás aplicaciones por separado.
# emerge kde-base/kdebase-startkde
Mantengo el soporte para gnome, luego desinstalé kde4 y en el make.conf -qt4 -qt3 -kde
Incluir en /etc/make.config USE='-arts gtk gnome hal -kerberos kde qt3 qt4 wifi mmx sse sse"
nepomuk puede ralentizar su sistema, si quiere desinstalarlo:
# emerge --unmerge kde-base/nepomuk
Iniciar kde
# echo "exec startkde" > ~/.xinitrc
# startx
Para utilizar kdm
# emerge kde-base/kdm
Iniciar kdm por defecto, editar /etc/conf.d/xdm:
# vim /etc/conf.d/xdm
DISPLAYMANAGER="kdm"
Arrancar automáticamente kdm
# rc-update add xdm default
Gestor de redes wicd
# emerge wicd
Capturar pantalla
# emerge ksnapshot
Hacer funcionar flash a la primera (64 bits), de manera que se instale solo el plugin Flash de 64 bits.:
# echo "www-plugins/adobe-flash -32bit" >> /etc/portage/package.use
# emerge adobe-flash
# Flashblock lo encontrará en: -- > https://addons.mozilla.org/en-US/firefox/addon/433
Monitores de redes:
# emerge wmifinfo wmwifi
Suscribirse a:
Entradas (Atom)