miércoles, 23 de mayo de 2012

Iptables - bloquear Torrent

http://www.adminsehow.com/2011/04/block-bittorrent-traffic-on-your-linux-firewall-using-iptables/

Bloquear torrents con iptables

iptables -N DROPTORRENT > /dev/null 2> /dev/null
iptables -F DROPTORRENT
iptables -A DROPTORRENT -j LOG --log-prefix "DROPTORRENT "
iptables -A DROPTORRENT -j DROP

#Torrent
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string "peer_id=" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string ".torrent" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string "torrent" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string "announce" -j DROPTORRENT
iptables -A FORWARD -m string --algo bm --string "info_hash" -j DROPTORRENT

# DHT keyword
iptables -A FORWARD -m string --string "get_peers" --algo bm -j DROPTORRENT
iptables -A FORWARD -m string --string "announce_peer" --algo bm -j DROPTORRENT
iptables -A FORWARD -m string --string "find_node" --algo bm -j DROPTORRENT

miércoles, 16 de mayo de 2012

Hostapd - configurar la notebook como wifi AP router

http://enchufado.com/post.php?ID=341

vi /etc/network/interfaces

auto lo
iface lo inet loopback

auto wlan0
iface wlan0 inet static
address 192.168.100.1
network 192.168.100.0
netmask 255.255.255.0
broadcast 192.168.100.255
 
ifconfig wlan0 up


apt-get install hostapd

vi /etc/hostapd/hostapd.conf
interface=wlan0
driver=nl80211
ssid=Prueba
channel=1
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=mipassword
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP

vi /etc/init.d/hostapd

DAEMON_CONF=/etc/hostapd/hostapd.conf
/etc/init.d/hostapd start

apt-get install isc-dhcp-server

vi /etc/default/isc-dhcp-server
INTERFACES="wlan0

vi /etc/dhcp3/dhcpd.conf

DHCP configuration
ddns-update-style interim;
ignore client-updates;

subnet 192.168.100.0 netmask 255.255.255.0 {
option routers 10.64.64.64;
ption domain-name-servers 172.21.7.7, 172.25.7.6;
option ip-forwarding on;
range dynamic-bootp 192.168.100.10 192.168.100.15;
default-lease-time 21600;
max-lease-time 43200;
}
/etc/init.d/isc-dhcp-server start

vi /etc/init.d/firewall
#!/bin/bash
# Habilitamos el ip forwarding.
echo 1 > /proc/sys/net/ipv4/ip_forward
# Hacemos limpieza.
iptables -F
iptables -t nat -F
iptables -X
# Masquerading y forwarding.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -i wlan0 -j ACCEPT
# Aceptamos pings (opcional).
iptables -A INPUT -i wlan0 -p ICMP -j ACCEPT
# Aceptamos tambien paquetes de conexiones ya establecidas (opcional: seguridad).
iptables -A INPUT -i wlan0 -p TCP -m state --state NEW,RELATED -j ACCEPT
# Rechazamos paquetes de conexiones nuevas  (opcional: seguridad).
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
# Rechazamos paquetes de forwarding de conexiones no establecidas  (opcional: seguridad).
iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP

chmod +x /etc/init.d/firewall
/etc/init.d/firewall

miércoles, 9 de mayo de 2012

Reset to default Switch TRENDnet TEG-S2400


Your Helpdesk Ticket needs attention. A TRENDnet Support Rep has requested additional information in order to resolve your Helpdesk Ticket . The latest information is highlighted in yellow. Note, Helpdesk Ticket with no response for over 2 weeks will be automatically closed.


TRENDnet Helpdesk Ticket
Helpdesk Ticket #
Submitted: 11/4/2009 3:22:22 PM

Contact Info
Company:Customer ID:
Name:Email:
Address:City:
State:Country:
Zipcode:Phone:

Helpdesk Ticket Status
Status:Worked On — Your Helpdesk Request is being worked on
Assigned to:Albert Mundy
Submitted on:11/4/2009 3:22:22 PM 
Last Updated:11/4/2009 3:37:45 PM


Helpdesk Ticket Info
Model Number:TEG-S2400i
Version:1.2
Operating System:Linux
Serial Number:N/A
Firmware Version:N/A
Issue Category:Other
Issue:I need to reset the switch to factory default settings, but I don't have the password and I can't access the switch via Serial port or web interface.

Thanks
Notes:
11/4/2009 3:37:45 PM
Albert Mundy
(Technical Support Rep)
Dear Customer,

Please try using a Windows based computer to hyperterminal via the serial port to the switch. To reset the unit, use FLASH for the username and RESET for the password.


jueves, 3 de mayo de 2012

Balanceo de carga, Router Mikrotik, Load balancing


Introducción
El manejo del ancho de banda es una parte escencial del trabajo diario de todo ISP, usuario comercial o doméstico. Hay varias formas diferentes de hacer esto con el RouterOS Mikrotik ya sea usando QoS, Limite de tasa de transferencia, limite de paquetes, solo por nombrar algunos En lo personal, el autor del presente, es administrador de un ISP que presta servicio inalámbrico en una zona donde no hay otro proveedor de conexiones de banda ancha (Ej.: Cable, Fibra, ADSL, etc). El autor se encuentra con el problema de que su mas rápida conexión troncal no le provee suficiente ancho de banda como para tener un solo vínculo contra internet. Como consecuencia de esta limitación el balanceo de carga es sumamente importante para el (y para el traductor del presente!) En el pasado el autor utilizó ECMP, conexion con mantenimiento persistente de la puerta de enlace (para mas datos veahttp://wiki.mikrotik.com/wiki/Load_Balancing) como algunos otros métodos. Como era de esperar, el autor encontró muchos problemas de retardos (entre otros), no se balanceaba correctamente, se cortaban las descargas largas, problemas con los mensajeros instantáneos (MSN, Yahoo, etc) son solo algunos. Asi que el autor se dedicó a investigar como obtener un mayor control de su ancho de banda tratando de minimizar los potenciales problemas (al igual que el traductor!). El resultado fué el balanceo de carga en función del tráfico que se presenta. Este tutorial esta escrito para tratar este tema en forma específica y lo mas profunda posible, en un futuro el autor agregará información sobre resistencia a fallas de enlace (fail over) y QoS (y este traductor traducirá!)
(n del t: algunos términos son dejados en ingles a fin de facilitar su ubicación entre los comandos del RouterOS)

Funciones del RouteOS Utilizadas aquí

  • Firewall mangle rules
  • Firewall address-lists
  • Routing

Paso 1 - Cómo separar el tráfico?

Antes de ingresar a su RouteOS WinBox ya debe tener una idea aproximada de como separar su tráfico, y debe entender que trafico puede separarse y cual no.
Aquí tiene un ejemplo de que tráfico es separable (sin orden en particular):
  • HTTP tráfico (port 80)
  • SSL tráfico (port 443)
  • POP3 tráfico (port 110)
  • SMTP tráfico (port 25)
  • P2P tráfico (varios puertos)
  • Unknown tráfico (varios puertos)
Despues de hacer una lista del tipo de tráfico, y de los puertos en que estos trabajan, deberíamos revisar la lista y decidir si este tráfico puede ser forzado a salir por una determinada conexión a internet.
usando la lista anterior como ejemplo aquí es lo que vemos:
  • HTTP tráfico (sin impedimentos conocidos)(n de t: si conocen alguno, avisen!)
  • SSL tráfico (algunos problemas, para los sitios SSL normales y el 90% de todo el software no es un problema, luego veremos por que pueden surgir)
  • POP3 tráfico (sin impedimentos conocidos)
  • SMTP tráfico (sin impedimentos conocidos)
  • P2P tráfico (el p2p debe salir siempre por la misma conexión como tráfico desconocido, luego veremos por que)(n del t: aquí se usa "desconocido" como "sin catalogar")
  • desconocido tráfico (debe salir por la misma conexión y nombrado como P2P, mas adelante se explica el motivo)
Ahora para una explicación rápida de como pueden surgir algunos problemas dependiendo del tipo de tráfico. Algunos programas o sitios web no se llevan bien con los múltiples conexiones desde direcciones IP diferentes, esta es la razón por la que ECMP tiene varios problemas. El autor proporciona una solución simple para los casos particulares y aislados en los que a alguno de nuestros usuarios el balanceo de carga les resulte un estorbo.
De nuevo y usando el ejemplo anterior, veremos un problema que puede surgir.
SSL - Lo bello de un sitio web es que utiliza peticiones separadas para cada tipo de datos, ej.: cargar 3 fotos diferentes de 3 fuentes diferentes con requerimientos a cada uno de los respectivos servers. El resultado es que tenemos un sitio web que usa SSL y HTTP, conocemos que en la mayoría de los casos los servidores web contestan la petición sin ocuparse de la dirección IP origen del server. No obstante, en este tipo especial de sitio web, el programador/diseñador "revisa" desde "que dirección IP" se originó el pedido y si encuentra diferencias entonces no completará la respuesta (esto puede ser accidental o a propósito). El autor tuvo 2 casos así, en ambos casos fueron sitios médicos con seguridad para los datos de esas empresas.
P2P y desconocido - Manejamos este tráfico junto por que este es un problema único. El RouterOS no puede identificar el P2P en una condición simple, pero, a cambio, analiza paquetes!, esto quiere decir que el RouterOS necesita tiempo para ver los datos ANTES y saber si es en efecto P2P. Como resultado RouterOS no sabe si tiene un paquete P2P hasta DESPUES que la conexión está establecida. Esto es importante por que la única manera de enviar este tráfico a una determinada conexión a internet es conociendo el tráfico ANTES de que el mismo establezca una conexión de salida, el tráfico desconocido es eso, "desconocido". Marcándolo como tal se puede definir por que conexión saldrá y se puede especificar que enlace se usa para P2P y el trafico "en general" (muy útil!)

Paso 2 - Configurando la red

Para empezar a desarrollar este tutorial, necesitamos una red ficticia que usaremos como ejemplo
  • Computadoras Cliente (172.18.1.0/24)
  • Internet Gateways (10.0.1.1/24, 10 0.2.1/24)
  • RouterOS IPs (10.0.1.2/24, 10.0.2.2/24)

Asumimos que las direcciones IP, rutas por defecto y DNS ya estan correctamente configurados para que los usuarios tengan acceso a internet
Creamos una Address-List que permita la salida de nuestros usuarios a internet
/ ip firewall address-list
add list="Allowed - Internet" address=172.18.1.0/24 comment="" disabled=no
Creamos una Address-List para aquellos usuarios que necesitan saltarse el balanceo

/ ip firewall address-list
add list="WAN-01" address=172.18.1.24/32 comment="" disabled=no
add list="WAN-02" address=172.18.1.76/32 comment="" disabled=no
Aplicamos 'Masquerading'al tráfico a cada conexión a internet
/ ip firewall nat 
add chain=srcnat action=masquerade out-interface="WAN - 01" src-address-list="Allowed - Internet" comment="Gateway 10.0.1.1/24" disabled=no 
add chain=srcnat action=masquerade out-interface="WAN - 02" src-address-list="Allowed - Internet" comment="Gateway 10.0.2.1/24" disabled=no
Los clientes deben poder navegar la internet, sin embargo una sola conexión a internet será usada (la que esté declarada en la default route)

Paso 3 - Usando la herramienta MANGLE en RouterOS's marcamos el tráfico específico

Lo que sigue son los comandos necesarios del RouterOS para marcar el tráfico en particular por una determinada ruta. Para esto se usa la misma tabla de trafico mostrada en el ejemplo
/ ip firewall mangle 
add chain=prerouting action=mark-routing new-routing-mark="WAN-01" src-address-list="WAN-01" passthrough=no comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="WAN-02" src-address-list="WAN-02" passthrough=no comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="HTTP Trafico" passthrough=no dst-port=80 protocol=tcp comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="SSL Trafico" passthrough=no dst-port=443 protocol=tcp comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="POP3 Trafico" passthrough=no dst-port=110 protocol=tcp comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="SMTP Trafico" passthrough=no dst-port=25 protocol=tcp comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="P2P Trafico" passthrough=no p2p=all-p2p comment="" disabled=no 
add chain=prerouting action=mark-routing new-routing-mark="Unknown Trafico" passthrough=no comment="" disabled=no 
Las primeras dos lineas, nos dejan un método para que puedan salir aquellos clientes que no puedan salir por el balanceo de carga y necesiten una conexión determinada. Las líneas que siguen, con marca de tráfico basado en el puerto de destino, dicen que tráfico se marca y que tráfico se deja pasar aún si no lo conocemos, esto es siempre para diferentes conexiones a internet tanto si sabemos que es P2P como si no pudiendo salir tambien por la ruta por defecto. El autor tambien marca el p2p separado para que pueda salir por la misma conexión a internet como si fuera desconocido. Hace esto por algunas buenas razones, una es que puede detener TODO el p2p con solo deshabilitar la ruta de salida y otra es que para su RouterOS es usa QoS que es muy sencillo de recordar como esta configurado Asi ahora vamos a poner cada tráfico en su respectiva ruta, lo que sigue se agrega a las rutas actuales

Paso 4 - Usando la función de ruteo para forzar el tráfico por una determinada conexión

Lo que sigue son los comandos necesarios para agregar las rutas al RouterOS para los paquetes marcados como HTTP, SSL, POP3, SMTP, P2P, y desconocido
/ ip route 
add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="WAN-01" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="WAN-02" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="HTTP Trafico" comment="" disabled=no 
add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="SSL Trafico" comment="" disabled=no 
add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="POP3 Trafico" comment="" disabled=no 
add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="SMTP Trafico" comment="" disabled=no 
add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="P2P Trafico" comment="" disabled=no 
add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="Unknown Trafico" comment="" disabled=no
Las primeras dos lineas proveen la ruta de salida para los clientes que NO salen por balanceo de carga

Paso 5 - Revisión de lo que se hizo

Que fué lo que hizo?:
  • Usted inteligentemente separó su tráfico en diferentes tipos
  • Usted marcó paquetes usando la herramienta Mangle
  • Usted creó una lista especial para aquellos clientes que NO puedan salir por el balanceo de carga
  • Usted asignó una rura particular para cada paqueta marcado en el Mangle

Conclusión

Lo que acaba de hacer es muy potente y este tutorial le ha mostrado solo la punta del iceberg. Los tipos de tráfico que el autor listó son solo una pequeña cantidad del total y usted DEBERA agregar otros (ej: DNS, terminal services, ICMP, etc). Esto puede usarse como una solución tambien en oficinas o pequeños comercios para, por ejemplo separar el mail de su navegación a internet o, en una red grande inalámbrica para balancear carga. Algunos consejos al final:
  1. Piense lo que quiere hacer antes de comenzar
  2. Ponga atención en el tipo de tráfico en cada linea (si es entrante intensivo o saliente intensivo)
  3. Finalmente pruebe, nada mejor que encontrar mejores y mas rápidas e inteligentes formas de mejorar los servicios con muy pequeña inversión!