Re: [Gutl-l] Sobre netfilter y los TTL
El mié, 27-07-2016 a las 09:06 -0500, Wilfredo Martínez Consuegra escribió: > Moya saludos > podrías compartir la información que hay en el enlace? > no cuento con internet. > [1]: https://serverfault.com/a/426891/73788 > > saludos > > whilo > > -- > > M.Sc. Wilfredo Martínez Consuegra. > Especialista en Recursos Humanos > Empresa Constructora de Obras para el Turismo > Cayo Santa María, Villa Clara > > Trabajo: > (+53)42350148 > wilfr...@ecotsm.co.cu > > Personal: > (+53) 53 664 665 > wh...@nauta.cu > > > -Mensaje original- > De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En > nombre de Maykel Moya > Enviado el: martes, 26 de julio de 2016 17:48 > Para: Lista cubana de soporte técnico en Tecnologias Libres > Asunto: Re: [Gutl-l] Sobre netfilter y los TTL > > On 26/07/16 07:27, Hugo Florentino wrote: > > Hola, Hugo > > > Netfilter tiene el destino TTL con la opción --ttl-set que pareciera > > que serviría, pero lamentablemente tiene poco o nada que ver con el > > tiempo de vida del paquete en segundos, pues en su lugar establece los > > saltos máximos permitidos a través de enrutadores. > > En efecto, el nombre 'TTL' fue desafortunado pues se trata de la cantidad de > saltos y no de una unidad de tiempo. > > > Concretamente, me gustaría lograr que los paquetes entrantes por > > protocolo TCP con destino al puerto 80 y estado de conexión nuevo > > (NEW) cambien su TTL a 20 segundos, pero solo esos. Al resto de los > > paquetes no me interesa modificarles el TTL. > > Tal vez puedas conseguirlo usando el módulo recent de iptables. Aquí[1] doy > una solución sobre como usar recent para abrir puertos de la conexión de > datos de ftp cuando la conexión de control está cifrada. > Podría ser un punto de partida. > > Si lo consigues, por favor compártelo pues tengo curiosidad. > > Saludos, > maykel > > [1]: https://serverfault.com/a/426891/73788 > > > -- > Este mensaje ha sido analizado por MailScanner en busca de virus y otros > contenidos peligrosos, y se considera que est limpio. > > > > > > __ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l 6 down vote favorite I am using vsftpd with active ftp. I have module "ip_conntrack_ftp" (in /etc/sysconfig/iptables-config) on and port 21 is open. Connecting with FTP works, but FTPS doesn't. I can login but get no listing: 227 Entering Passive Mode LIST -a When stopping the firewall it works (I mean iptables on the ftp server itself). I read in http://www.experts-exchange.com/Software/Server_Software/File_Servers/FTP/Q_22418222.html that it's not possible to use FTPS with active FTP. Is this true? My iptables configuration: *filter :INPUT DROP [15:2752] :FORWARD DROP [0:0] :OUTPUT ACCEPT [132:159725] -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/255.0.0.0 -i ! lo -j REJECT --reject-with icmp-port-unreachable -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT -A INPUT -p tcp -m tcp --dport 990 -j ACCEPT -A INPUT -p tcp -m tcp --dport 989 -j ACCEPT COMMIT iptables ftp vsftpd shareimprove this question edited Feb 13 at 18:26 Castaglia 1,7842521 asked Feb 21 '12 at 14:15 user74952 5116 add a comment 3 Answers active oldest votes up vote 5 down vote accepted I have run in to this issue. It looks like you need to open up the ftp data transfer range of ports when using FTP with explicit TLS/SSL. Try the following: iptables -A INPUT -p tcp --sport 1024: --dport 64000:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 64000:65535 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT shareimprove this answer answered Feb 21 '12 at 14:40 Nic Young 71811026 This doesn't work for me. This looks incorrect as you cannot guarantee the client will use a port above 64000. Thanks. – user74952 Feb 21 '12 at 14:48 Can you elaborate what it is not working? I have just run the above commands and they work correctly. You generally have to open these range ports via this article. – Nic Young Feb 21 '12 at 14:59 Good reference! A have now: – user74952 Feb 21 '12 at 15:24 Can you post any error messages you are receiving when connecting to the server. – Nic Young Feb 21 '12 at 15:36 3 I have now "227 Entering Passive Mode" followed by "LIST -a". Same thing. In the document you reference, in file vsftpd_virtual_config_withTLS.sh I see they use "pasv_max_port" and
Re: [Gutl-l] samba4 y recursos compartido para salvas
El 18/07/16 a las 16:22, Rommel Rodriguez Toirac escribió: > El miércoles, 13 de julio de 2016 8:17:57 P. M. CDT Arian Molina Aguilera > escribió: >> El 13/07/16 a las 15:46, Rommel Rodriguez Toirac escribió: >>> El miércoles, 13 de julio de 2016 11:55:14 A. M. CDT Arian Molina Aguilera >>> >>> escribió: El 12/07/16 a las 13:18, Rommel Rodriguez Toirac escribió: > El lunes, 11 de julio de 2016 11:49:11 A. M. CDT Arian Molina Aguilera > > escribió: >> El 11/07/16 a las 08:41, Rommel Rodriguez Toirac escribió: >>> El viernes, 8 de julio de 2016 10:40:57 A. M. CDT Arian Molina >>> Aguilera >>> >>> escribió: El 06/07/16 a las 08:33, Rommel Rodriguez Toirac escribió: > El martes, 5 de julio de 2016 3:11:38 P. M. CDT Arian Molina > Aguilera > > escribió: >> El 05/07/16 a las 08:19, Pablo Raul Vargas Hall escribió: >>> ¿¿Compartiste la carpeta en smb.conf?? >>> Algo parecido a esto >>> [home] >>> >>> path = /home/ >>> read only = Yes >>> >>> Por otra parte ya los usuarios de samba4 no se tratan de la misma >>> manera >>> que los usuarios unix que era el modelo usado en samba 3 con el >>> uso >>> de >>> las directivas de autentificacion implementadas con los nssiwcth, >>> el >>> pam >>> y otros. Los usuarios de tu dominio residen en la base de dato >>> interna >>> del samba 4 lo cual te permite que en caso de desastres o caida de >>> hardware puedas recuperarlos previa salva de las configuraciones >>> del >>> samba 4. Para comprobar las carpetas compartidas desde el servidor >>> en >>> el >>> que esta intala el samba 4 tienes que probar smbclient >>> >>> root@dc:~# smbclient -L localhost -U% >>> Domain=[HOLGUIN] OS=[Windows 6.1] Server=[Samba 4.3.0] >>> >>> Sharename Type Comment >>> - --- >>> netlogonDisk >>> sysvol Disk >>> homeDisk >>> IPC$IPC IPC Service (Samba 4.3.0) >>> >>> Domain=[HOLGUIN] OS=[Windows 6.1] Server=[Samba 4.3.0] >>> >>> Server Comment >>> ---- >>> >>> WorkgroupMaster >>> ---- >>> >>> Con este otro comando puedes ir interactuando con las carpetas que >>> tienes >>> declaradas en el smb.conf como compartidas >>> >>> smbclient //localhost/netlogon -UAdministrator%'p4$$word' -c 'ls' >>> smbclient //localhost/home -UAdministrator%'p4$$word' -c 'ls' >>> smbclient //localhost/sysvol -UAdministrator%'p4$$word' -c 'ls' >>> >>> Asisto a la solución >>> >>> >>> Lic. Pablo Raúl Vargas Hall >>> Esp. B Ciencias Informáticas >>> Unidad de Desarrollo Científico Tecnológico >>> GEOCUBA Oriente Norte >>> E-mail: ad...@holguin.geocuba.cu >>> Knowledge is most supreme, particularly in its raw form, the idea. >>> An >>> idea >>> has no weight but can move mountains. It has no height but can >>> dominate >>> a >>> nation. It has no mass but can push aside nations. Knowledge is >>> the >>> greatest tool of humankind, outweighing anything made by mortal >>> hands. >>> Before anything can exist, the idea must exist. >>> GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA > > GEOCUBA > > GEOCUBA > >>> GEOCUBA GEOCUBA >>> >>> >>> -Mensaje original- >>> De: gutl-l-boun...@jovenclub.cu >>> [mailto:gutl-l-boun...@jovenclub.cu] >>> En >>> nombre de Rommel Rodriguez Toirac >>> Enviado el: lunes, 04 de julio de 2016 11:23 >>> Para: Lista cubana de soporte técnico en Tecnologias Libres >>> Asunto: Re: [Gutl-l] samba4 y recursos compartido para salvas >>> >>> El jueves, 28 de abril de 2016 4:15:35 P. M. CDT Rommel Rodriguez >>> Toirac >>> >>> escribió: > no nada que ver glusterFS y Ceph, esos son sistemas de archivos > de > bloques para cluster y replicación. No tiene nada que ver con lo > que > estamos hablando, y no importa que uses centos, NAS4free es un > SO > diseñado para la funcionalidad de NAS, basado en freebsd > parecido > a > pfsense, y para tal propocito no veo nada mejor, aunque igual si > quieres ir a lo crudo,
Re: [Gutl-l] Samba4 y GPO
El 20/07/16 a las 08:52, Eduardo R. Barrera Pérez escribió: > Hola gente, se que se ha debatido bastante sobre el tema, pero bueno lo > cierto es que tengo un PDC con samba4 hace rato, pero no me había puesto > a implementar ninguna política de grupos, ni había tocado el tema de las > contraseñas, todo estaba por default, ya que en donde trabajo, no > necesito estar sumergiendo las PC en restricciones a los usuarios, cosas > como, no entres al panel de control, no cambies el tapiz, no hagas esto, > no hagas aquello... etc... Pero bueno quise comprobar si me funcionaba > esta característica en mi samba4 el cual es la versión 4.4.5 sobre > debian 8 a 64 bit, en un contenedor LXC sobre proxmox 4.2. Cree un > recurso compartido llamado tapiz en el smb.conf comparte la imagen > llamada tapiz.jpg y desde las RSAT cree la política y establecí la > imagen de fondo de pantalla! Las PC con Windows 7 ya tienen el tapiz sin > problema, pero las PC con Windows XP, se queda con un fondo en blanco! > Cuando das cerrar sesión te muestra la imagen en ese momento y creo que > también cuando se inicia sesión, pero acto seguida, pone el fondo blanco > y desaparece la imagen. Probe desde el cmd en esas PC correr: gpupdate > /force y nada! No veo nada en los archivos de log del samba4, ya sea en > /var/log/syslog oh! en cualquier de lo que están en /var/log/samba/* > alguna idea?? > > > Gracias > Cuando estableciste el tapiz, activaste active desktop, ??? -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] ayuda con squish
gente, tengo Ubuntu 16.04, al montar el squish siguiendo la guia q posteare a continuacion, me da palo, he identificado 2 problemas, 1- el usuario squid no existe (squid:squid no existe), asi q necesito saber cual es el de squid3, 2- el paquete libgd-gd2-perl es virtual (V), y por ende al usar apt-get install me dice q el paquete no se encuentra fisico, y supuestamente squish necesita este pak para su buen funcionamiento. He aqui la guia, debe funcionar pq es de un curso para el titulo de adminred: Implementar squish para cuotas: preparar el servidor: # aptitude install libtemplate-perl libgd-gd2-perl crear una página web que indique al usuario cuando sobrepaso la cuota: # mkdir /var/www/deny # nano /var/www/deny/index.html agregar lo siguiente: Su cuota a sido sobrepasada, contacte con su administrador, gracias salvar la configuracion cambiar los permisos: # chown -R www-data.www-data /var/www/deny # chmod -R +rx /var/www/deny Agregar lo siguiente al fichero de configuracion de apache: # nano /etc/apache2/sites-available/default #deny# Alias /deny /var/www/deny AllowOverride None #squish### ServerName squish.red.calixto.cu DocumentRoot /usr/local/squish Options +ExecCGI AddHandler cgi-script .cgi DirectoryIndex squish.cgi AllowOverride None Order allow,deny Allow from all ServerSignature On LogLevel warn ErrorLog /var/log/apache2/error-squish.log CustomLog /var/log/apache2/squish-access.log combined copiar el fichero (squish-0.0.18.tar.gz) para /usr/local/ descomprimir dicho fichero: # tar zxvf squish-0.0.18.tar.gz -C /usr/local # renombrar el directorio squish-0.0.18 a squish # mv /usr/local/squish-0.0.18 /usr/local/squish Copie el fichero squish.conf para el directorio /etc/squid/ # cp /usr/local/squish/squish.conf /etc/squid/ crear el siguiente fichero en blanco (squished) # touch /etc/squid/squished Añada a /etc/squid/squid.conf delante de donde comienzan los (http_access allow) las siguientes lineas, cambiar segun la configuracion de su red #squish acl SQUISHLOC url_regex 192.168.0.105 acl SQUISHLOC1 dstdomain .dominio.com acl SQUISHED1 proxy_auth -i "/etc/squid/squished" deny_info http://192.168.0.105/deny/?squished; SQUISHED1 deny_info http://squish.dominio.com/?squished; SQUISHED2 deny_info http://squish.dominio.com/?squished; SQUISHED3 http_access allow SQUISHLOC http_access allow SQUISHLOC1 http_access deny SQUISHED1 ### donde: 192.168.0.105 es la ip de su servidor dominio.com es un dominio pra que no cuente las cuotas squish.dominio.com es la entrada dns referente al squish Establecer las cuotas en el fichero /etc/squish.conf # nano /etc/squid/squish.conf Ej: yo 200Mb/month lsantana 200Mb/month n marin 200Mb/month yusmanyc 50Mb/month (tiene otros tipos de opciones de cuotas, el fichero lo explica en el encabezado) reinicie el squid # /etc/init.d/squid restart crear una entrada en su dns correspondiente a squish.dominio.com reinicie su dns # /etc/init.d/bind9 restart reinicie apache2 # /etc/init.d/apache2 restart crear donde va a estar la base de datos de squish: # mkdir /var/lib/squish cambiar los permisos # chown -R squid.squid /var/lib/squish # chmod -R 775 /var/lib/squish Generar las estadisticas de consumo: /usr/local/squish/squish.cron.sh automatizar el proceso de generado de estadisticas: # crontab -e agregar al cron lo siguiente: */5 * * * * root /usr/local/squish/squish.cron.sh salvar la configuracion y reiniciar cron # /etc/init.d/cron restart Pedir mediante un browser la pagina donde se muestra el consumo por usuarios: http://squish.redcurso5.cu __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] samba4 y recursos compartido para salvas
El 18/07/16 a las 16:22, Rommel Rodriguez Toirac escribió: > El miércoles, 13 de julio de 2016 8:17:57 P. M. CDT Arian Molina Aguilera > escribió: >> El 13/07/16 a las 15:46, Rommel Rodriguez Toirac escribió: >>> El miércoles, 13 de julio de 2016 11:55:14 A. M. CDT Arian Molina Aguilera >>> >>> escribió: El 12/07/16 a las 13:18, Rommel Rodriguez Toirac escribió: > El lunes, 11 de julio de 2016 11:49:11 A. M. CDT Arian Molina Aguilera > > escribió: >> El 11/07/16 a las 08:41, Rommel Rodriguez Toirac escribió: >>> El viernes, 8 de julio de 2016 10:40:57 A. M. CDT Arian Molina >>> Aguilera >>> >>> escribió: El 06/07/16 a las 08:33, Rommel Rodriguez Toirac escribió: > El martes, 5 de julio de 2016 3:11:38 P. M. CDT Arian Molina > Aguilera > > escribió: >> El 05/07/16 a las 08:19, Pablo Raul Vargas Hall escribió: >>> ¿¿Compartiste la carpeta en smb.conf?? >>> Algo parecido a esto >>> [home] >>> >>> path = /home/ >>> read only = Yes >>> >>> Por otra parte ya los usuarios de samba4 no se tratan de la misma >>> manera >>> que los usuarios unix que era el modelo usado en samba 3 con el >>> uso >>> de >>> las directivas de autentificacion implementadas con los nssiwcth, >>> el >>> pam >>> y otros. Los usuarios de tu dominio residen en la base de dato >>> interna >>> del samba 4 lo cual te permite que en caso de desastres o caida de >>> hardware puedas recuperarlos previa salva de las configuraciones >>> del >>> samba 4. Para comprobar las carpetas compartidas desde el servidor >>> en >>> el >>> que esta intala el samba 4 tienes que probar smbclient >>> >>> root@dc:~# smbclient -L localhost -U% >>> Domain=[HOLGUIN] OS=[Windows 6.1] Server=[Samba 4.3.0] >>> >>> Sharename Type Comment >>> - --- >>> netlogonDisk >>> sysvol Disk >>> homeDisk >>> IPC$IPC IPC Service (Samba 4.3.0) >>> >>> Domain=[HOLGUIN] OS=[Windows 6.1] Server=[Samba 4.3.0] >>> >>> Server Comment >>> ---- >>> >>> WorkgroupMaster >>> ---- >>> >>> Con este otro comando puedes ir interactuando con las carpetas que >>> tienes >>> declaradas en el smb.conf como compartidas >>> >>> smbclient //localhost/netlogon -UAdministrator%'p4$$word' -c 'ls' >>> smbclient //localhost/home -UAdministrator%'p4$$word' -c 'ls' >>> smbclient //localhost/sysvol -UAdministrator%'p4$$word' -c 'ls' >>> >>> Asisto a la solución >>> >>> >>> Lic. Pablo Raúl Vargas Hall >>> Esp. B Ciencias Informáticas >>> Unidad de Desarrollo Científico Tecnológico >>> GEOCUBA Oriente Norte >>> E-mail: ad...@holguin.geocuba.cu >>> Knowledge is most supreme, particularly in its raw form, the idea. >>> An >>> idea >>> has no weight but can move mountains. It has no height but can >>> dominate >>> a >>> nation. It has no mass but can push aside nations. Knowledge is >>> the >>> greatest tool of humankind, outweighing anything made by mortal >>> hands. >>> Before anything can exist, the idea must exist. >>> GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA GEOCUBA > > GEOCUBA > > GEOCUBA > >>> GEOCUBA GEOCUBA >>> >>> >>> -Mensaje original- >>> De: gutl-l-boun...@jovenclub.cu >>> [mailto:gutl-l-boun...@jovenclub.cu] >>> En >>> nombre de Rommel Rodriguez Toirac >>> Enviado el: lunes, 04 de julio de 2016 11:23 >>> Para: Lista cubana de soporte técnico en Tecnologias Libres >>> Asunto: Re: [Gutl-l] samba4 y recursos compartido para salvas >>> >>> El jueves, 28 de abril de 2016 4:15:35 P. M. CDT Rommel Rodriguez >>> Toirac >>> >>> escribió: > no nada que ver glusterFS y Ceph, esos son sistemas de archivos > de > bloques para cluster y replicación. No tiene nada que ver con lo > que > estamos hablando, y no importa que uses centos, NAS4free es un > SO > diseñado para la funcionalidad de NAS, basado en freebsd > parecido > a > pfsense, y para tal propocito no veo nada mejor, aunque igual si > quieres ir a lo crudo,
Re: [Gutl-l] Cambiar el offset de la zona horaria
El 19/07/16 a las 15:17, Ulises Gonzalez escribió: > > > On 07/19/2016 02:03 PM, Rommel Rodriguez Toirac wrote: >> y me imagino, para estar con el offset que le >> corresponde a la zona de Cuba (CDT) que es de -0500? > > Pero normalmente Cuba tiene -5, pero en verano Cuba se mueve a -4, pues > se adelanta una hora... > esto es correcto, lo dije al revés en mi explicación que envíe antes. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Cambiar el offset de la zona horaria
El 20/07/16 a las 09:20, Rommel Rodriguez Toirac escribió: > El martes, 19 de julio de 2016 3:17:22 P. M. CDT Ulises Gonzalez escribió: >> On 07/19/2016 02:03 PM, Rommel Rodriguez Toirac wrote: >>> y me imagino, para estar con el offset que le >>> corresponde a la zona de Cuba (CDT) que es de -0500? >> >> Pero normalmente Cuba tiene -5, pero en verano Cuba se mueve a -4, pues >> se adelanta una hora... > > Anja, eso ya lo entendí. El problema es que con los cambios del horario de > verano de nuestro país que no coinciden con los cambios programados en los > sistemas operativos no quisiera ajustar las estaciones de trabajo para que > cambien a horario de verano automáticamente. > esto sucede solo en los windows porque no están actualizados, las bases de DST, en los sistemas linux con repos, te darás cuenta que constantemente hay actualizaciones para el paquete TZDATA, que es el que establece esa información. puedes establecer por políticas que todas tus estaciones son -5 sin DST y esto tendrás que cambiarlo tu, pero esto trae un problema, ya que por ejemplo si desde dichas estaciones envías un correo, con un cliente de correo de escritorio este establecerá el huso horario al correo en el encabezado, y llegándole entonces a la persona destinataria con una hora de más o una hora de menos. Lo correcto es tener todas las estaciones de trabajo corporativas, con el mismo SO, digamos misma versión de W$, con las misma actualizaciones y parches, se vuelve un caos si tienes diferentes Versiones de W$ y algunas actualizadas y otras no. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
