Re: empresas con estaciones de trabajo Linux
Sorry por lo retrasado de mi intervención, pero creo que es bastante injusto poner a Aduanas como ejemplo de lo que no hay que hacer. Hay que considerar que es un proyecto de siete a ocho años atrás, con muchas diferencias en software y entorno de lo que vemos hoy en día. Saludos, -- Jens. On Mon, 2010-08-30 at 13:52 -0400, Carlos (casep) Sepulveda wrote: 2010/8/30 Orlando Alarcon orlando.alar...@gmail.com: Hola linuxeros tengo una pregunta... donde puedo nutrirme de un listado de casos de éxito de estaciones de trabajo con linux en empresas ( no importa de distro ) ??... algunos conocen empresas que operan así?? De los 400 funcionarios de mi trabajo solo somos 3 los usuarios de linux (sysadmin), este año regularizaron las licencias de windows y a las nuevas jefaturas no les gustó el porte de la factura por lo que se está presentado el plan de cambio pero necesitan casos de éxito. Agradecido de sus respuestas. Holas: De las que conozco TurBus la usa en las cajas (Fedora). Pullman lo usa (OpenSuse) Aduana, es un ejemplo de lo que no hay que hacer... Algo más reducido, sólo para lanzar la aplicación : Lider la usa en las cajas de los supermercados (Suse) HomeCenter idem (RedHat) Jumbo, creo. Ahora bien, en tu caso, pensaría en un laboratorio o algo así, o partir sólo por migrar ofimática y browser. Tienes algún requerimiento de software marciano? Saludos
Open Gov, TI y Transparencia
Estimados, como Linux está muy ligado a los temas de Open Gov, TI y Transparencia, me permito extenderles la invitación del Colegio de Ingenieros a una charla de Alejandro Barros este miércoles 4 de Agosto. Esta charla es abierta a todo público y sin costo. Detalles para los interesados: http://www.ingenieros.cl/index.php?option=com_eventstask=view_detailagid=176year=2010month=08day=04Itemid=259catids=117|144|143|210 http://www.alejandrobarros.com/content/view/902021/Open-Gov-TI-y-Transparencia.html#content-top Saludos, -- Jens.
Re: Controlar trafico p2p
On Mon, 2010-03-22 at 18:38 +0100, Miguel Oyarzo O. wrote: pero dijiste que es una LAN (IPs privadas por definicion). Ojo que una LAN no tiene por qué ser privada, no mezclemos los conceptos... Saludos, -- Jens
Re: Ley de Presupuesto SW Libre y ACTI
On Thu, 2008-11-27 at 11:11 -0300, Ricardo Mun~oz A. wrote: Me gustaría mucho discutir estos temas y tener una visión y agenda claras. El asunto es un poco más complejo que llegar y decir usemos software libre para todo desde hoy en adelante. Ojalá fuera así, pero hay implicaciones sociales, económicas, etc, etc. que implicancia social y/o economica podria tener que un usuario en vez de usar IE ahora use Firefox? Si son suficientes, tiene repercusiones interesantes, las primeras que se me vienen a la mente: * pierde peso el sumamente usado argumento de el 98% de los clientes web son IE, por eso no tiene sentido hacer que el sitio web funcione con otros * permite evitar la dependencia de sistema operativo, haciendo muchísimo más fácil una potencial migración. Ese solo hecho ya mejora el poder negociador de quienes están menos atados a una solución específica. Saludos, -- Jens.
Re: Ley de Presupuesto SW Libre y ACTI
On Tue, 2008-11-25 at 19:44 -0300, Juan C. Olivares wrote: On Tue, Nov 25, 2008 at 11:36 AM, [EMAIL PROTECTED] wrote: Hola a Todos: Leyendo una noticia (ACTI rechaza el requerimiento de software libre en las cotizaciones para el Gobierno de Chile) en fayerwayer ( http://tinyurl.com/lpfact1 ) me di cuenta de que al parecer es un buen momento para que los representantes de MundoOs y la comunidad de SW Libre alce la voz. Al parecer, la normativa plantea que debe evaluarse *siempre* alternativas abiertas.. ¿y qué pasa en los casos donde no hay ninguna? ¿se usará lo que más se parezca?. Son muchas las preguntas de ese estilo que surgen. Pero por el momento creo que es más cuerdo ir de a poco, porque claramente la maniobra en el senado es de corta duración (tiene muy pocas probabilidades de mantenerse), y no creo que agarrarse de una indicación que se introdujo en un par de minutos tratemos de montar un tema enorme que en otros países ha tomado años de esfuerzo. Por lo demás, no sería una base muy fuerte para generar un sistema sustentable que permita un desarrollo futuro. Y si se dan el trabajo de leer el razonamiento detrás de la indicación, verán que no tiene mucho sentido. Los sitios web de los servicios públicos no van a ser automáticamente compatibles con todos los browsers por el hecho que el servidor sea software libre. De hecho, varios de los sitios incompatibles están funcionando sobre software libre... Saludos, -- Jens
Canonical does not contribute to Linux plumbing.
On Sun, 2008-09-21 at 23:51 -0400, Horst H. von Brand wrote: Marco González Luengo [EMAIL PROTECTED] wrote: - la licencia GPL permite exactamente eso: distribuir y usar el sistema. En ninguna parte dice que tengas que ayudar al desarrollo de algun componente, asi como yo no me siento culpable de bajar una distro y usarla y contribuir con suerte al 0.001%. Reclamar que estan robando mi trabajo es reclamar contra la escencia de la GPL. Completamente de acuerdo en lo formal. Pero (y este es un reclamo legitimo de los BSDistas), la /idea/ que hay detras del codigo abierto es que te sientas /moralmente/ obligado a devolver la mano, no que la licencia te fuerze a ello. Y ni siquiera moralmente. Estamos los que pensamos que, siguiendo los más oscuros y egoístas intereses también se concluye, en una gran cantidad de casos al menos, que es más conveniente colaborar que tratar de arrancarse con los tarros. Algunos le llaman stupidity tax al costo extra de tener que mantener esa versión interna que día a día se diferencia más de la oficial, aumentando el costo de mantenerla y disminuyendo su utilidad en casi la misma proporción. Saludos, -- Jens.
dominio .com.cl ?
On Mon, 2008-09-15 at 17:51 +0200, Miguel Oyarzo O. wrote: Mi punto es que NIC no tendria merma economica si delegara a alguien mas la administracion de un .com.cl gratuito para pymes. Las Pymes son sensibles a los costos (aun que sean solo 22 mil y algo cada 2 anios). Eso es interesante. El contra que le veo yo es que el com.cl 'suena' a oficial, y más de alguno va a inscribirlo pensando en que tiene su nombre asegurado bajo la reglamentación del NIC. Sin tener los datos específicos (no participé de esa discusión), me imagino que un punto importante a tener en cuenta es cuánta responsabilidad (moral o de las otras) se le pediría a NIC Chile si toman la decisión de entregar com.cl a alguna empresa para que lo administre y luego esa empresa pretende sacar provecho económico que no le parezca a sus (a esas alturas probablemente ya cautivos) clientes. La otra pregunta sería a cuál de todos los interesados se le entrega com.cl, porque es seguro que serán varios... y si NIC comienza a exigir que el com.cl se maneje de cierta forma, ya pasaría a ser una extensión relativamente oficial del TLD CL, cosa que en realidad se había decidido no hacer. Saludos, -- Jens.
Repositorios locales
On Thu, 2008-06-19 at 09:15 -0400, Victor Quiroz wrote: Amigos, resulta que en la oficina donde trabajo, existen varios equipos instalados con CentOS y frecuentemente instalamos o actualizamos otros tantops equipos, pero muchas veces por el acceso a Internet esto se nos complica, asi que estamos queriendo implementar un repositorio local para Centos 5.1, que incluya todos los repositorios mayormente utilizados (dag, karan, remi, epel), por lo mismo desearia me colaboren en realizar esta tarea, y me orienten en los procedimientos para realizar esto. Para tener un repositorio local tienes 2 opciones: 1. hacer un mirror del repositorio original, y simplemente modificar en los clientes para que utilicen una URL diferente, que apunta a tu repositorio. Esto implica que no puedes agregar paquetes propios ni modificaciones tuyas, pero es lo que se necesita la mayoría de las veces, sobre todo si la razón de tener un repositorio propio es simplemente superar problemas de red. 2. hacer un repositorio propio. Puedes incluir paquetes externos y/o propios, pero cuidando que las dependencias no te generen casos que no puedas resolver (que falte alguna dependencia, que haya conflictos entre dos paquetes, etc.). Esto permite agregar modificaciones a paquetes, paquetes propios, etc. Pero implica que después de cada actualización debas ejecutar un proceso que a partir de los paquetes genere los metadatos. Eso dependerá de la herramienta (yum, apt, etc.), y para cada caso es algo diferente, pero puedes encontrar el howto respectivo. También sería recomendable generar llaves para firmar los paquetes, y que los clientes verifiquen y confíen en esa llave. Ojo que en ambos casos, si te falla la actualización o tienes demoras, tus equipos no tienen cómo darse cuenta, y pueden permanecer vulnerables. Es importante entonces monitorear que el repositorio local esté actualizándose debidamente. Y siempre vas a tener al menos una demora adicional en que se actualicen los repositorios, porque a diferencia de los mirrors oficiales, no vas a tener acceso a bajar directamente desde la fuente original, sino de una copia. Un aspecto adicional, no se si concen aproximadamente cuanto espacio en disco preciso para estos repositorios? En general esa información, si es que está, debiera verse en la sección relativa a mirrors de cada repositorio. Si tienes acceso rsync para el repositorio, opciones como la --stat de rsync te dan la información de tamaño total, entre otros. Saludos, -- Jens.
Repositorios locales
On Thu, 2008-06-19 at 11:36 -0400, Mauricio Vergara Ereche wrote: Hola! On Thursday 19 June 2008 09:15:02 Victor Quiroz wrote: Amigos, resulta que en la oficina donde trabajo, existen varios equipos instalados con CentOS y frecuentemente instalamos o actualizamos otros tantops equipos, pero muchas veces por el acceso a Internet esto se nos complica, asi que estamos queriendo implementar un repositorio local para Centos 5.1, que incluya todos los repositorios mayormente utilizados (dag, karan, remi, epel), por lo mismo desearia me colaboren en realizar esta tarea, y me orienten en los procedimientos para realizar esto. No he hecho repositorios locales de dag o algún otro no-oficial, pero al menos para CentOS, te sugiero que utilices rsync con algunos de los servidores de la lista que sale en http://mirror-status.centos.org Luego, con el comando createrepo deberías poder crear los índices necesarios para yum. Una consideración adicional: ejecutar el comando createrepo, o el correspondiente al sistema que sea, es intensivo en I/O, y se puede demorar bastante. Esto es porque implica leer cada uno de los paquetes para extraer al menos la información de requisitos y recursos provistos. Posiblemente tenga sentido no hacerlo in-situ, porque eso implica que durante la actualización (que dependiendo de máquina y tamaño del repositorio puede demorar horas) los clientes no van a poder actualizar. Saludos, -- Jens.
Vote no a Microsoft OOXML
On Mon, 2008-04-14 at 15:01 -0400, Wladimir A. Jimenez B. wrote: Despues de leer un poco, y habiendo encontrado bastante informacion sobre el tema, me parece que la siguiente presentacion es contundente y clara, a demas, de dejar en claro sin lugar a dudas que el OOXML no debe ser aprobado como estandar, dado su gran cantidad de falencias y faltas de especificacion. Enlace http://sushiknights.org/2007/08/presentacion_ooxml.html Ahora si esto no esto continua intentado ser un estandar o es aprobado seria expresamente una manipulacion de esta gran compania. Ojo que la presentación citada habla del estándar que se presentó a ISO, que es diferente al estándar que se votó el 31 de marzo. Hubo un proceso de modificaciones importante entremedio. -- Jens.
Es legal/ilegal que las empresas vigilen los correos?
On Sat, 2007-12-15 at 08:46 -0300, Germán Poó-Caamaño wrote: Lee la normativa de la Dirección del Trabajo, precisamente aborda esos temas. El correo de trabajo se considera equivalente al escritorio o puesto de trabajo o tener un casillero con llave. De uso personal y es ilegal intervenirlo. Eso no aparece en la normativa, o si? Lo que aparece es que, si existe comunicación privada, entonces está protegida. Y también dice que quien define el uso de los recursos es la empresa, entonces perfectamente puede definir que el uso del correo electrónico es para uso profesional y no privado ni personal. Con eso, pueden revisar el correo tanto como quieran... La excepción son las herramientas *automáticas* como un antivirus. No necesariamente automática, sino general, impersonal y respetando la dignidad. Eso implica que no se puede tener como política leerle todos los mails a Juanito Pérez y al resto no, sino que debe ser algo como leer 1 de cada 100 (o 100 de cada 100) mails o bien archivarlos todos por si se llegara a necesitar revisar alguno (ojalá explicitando las causas que permitan revisarlos). Es lo mismo que aplica a llamadas telefónicas. Una herramienta automática como un antivirus cumple con ser general, impersonal y respetar la dignidad, pero no toda forma de cumplir necesariamente debe ser automática. Saludos, -- Jens
es seguro publicar llaves rsa publicas ???
On Sat, 2007-11-24 at 21:50 -0300, Roberto Bonvallet wrote: El 24/11/07, Rodrigo Fuentealba [EMAIL PROTECTED] escribió: deciendome que era muy peligroso publicar las llaves en internet. Lo es cuando son llaves débiles (MD5, SHA, etc), pero la llave pública ES para aquello. MD5 y SHA *no* son llaves, son funciones de hash. Y tampoco es encriptación, lo que es un malentendido bastante frecuente: un mensaje encriptado se puede desencriptar, pero a partir del hash no se puede obtener el mensaje original, sencillamente porque hay infinitas cadenas que entregan el mismo hash. Sorprende la cantidad de información a medias que se maneja en general, y las confusiones. Roberto tiene razón en que MD5 y SHA no son llaves, sino funciones de Hash. Y como tales tampoco manejan llaves. Simplemente convierten un mensaje en un hash de largo fijo. En algunos casos, se usan para esconder una password y que un servidor pueda verificar que un usuario conoce una password, sin tener la password propiamente tal, sino solamente este hash que se calcula en base a la password. En el artículo citado se critica la forma en la cual Wordpress usa esa técnica, porque se hace sin una parte fundamental, que es agregarle un par de caracteres antes de encriptar (la sal). Eso se hace en el caso de linux para esconder la password usando algún algoritmo conocido (crypt, md5, etc.) Claro que todo eso no tiene mucha relación con la criptografía asimétrica (o criptografía de llave pública), donde la llave pública justamente está pensada para ser publicada lo más ampliamente posible. La idea es que un atacante malicioso que quiera calcular la llave privada en base a la llave pública se demore un tiempo del orden de la edad del universo. Hay varios algoritmos de los cuales se sospecha fundadamente que cumplen con eso (claro que no hay demostraciones). Dentro de ellos están los algoritmos utilizados por RSA y otros. Ahora, siempre es posible tener la mala suerte que justo algún perejil generó aleatoriamente el mismo par de llave pública y privada, y decide publicar _ambas_ en una página web y así puedas usar Google para llegar a encontrar la llave privada a partir de una búsqueda por la llave pública. Pero la probabilidad es tan baja que conviene más confiar en que eso no pasará en lugar de usar métodos alternativos al uso de criptografía pública (como que alguien viaje con un maletín esposado a la muñeca para entregar el mensaje secreto cada vez). Saludos, -- Jens
borrado de archivos
On Fri, 2007-11-09 at 14:21 -0300, Patricio Morales wrote:
Si ,pero find es para buscar archivos que tengan dicha característica
una vez encontrados tendrías que Borrarlos uno a uno con rm
Pero puedes pedirle a find que haga esa pega por ti:
find -size +5M -exec rm {} \;
O bien usar xargs:
find -size +5M -print0 | xargs -0 rm
Saludos,
--
Jens.
El día 9/11/07, usuario anonimo [EMAIL PROTECTED] escribió:
El 9/11/07, Fancisco Torrez [EMAIL PROTECTED] escribió:
Hola, una consulta a lo mejor un tanto basica, dentro un directorio
como puedo borrar todos los archivos que superen un cierto tamaño, por
ejemplo borrar todos los archivos que tengan un taña superior a 5
megas.
con find...
find -size +5M
Forzar SQUID
On Mon, 2007-09-10 at 19:41 -0400, Alvaro Avello wrote: On Mon, 2007-09-10 at 18:20 -0400, Edison Caprile Pons wrote: Ahora voy por otra..COMO PUEDO FORZAR A LOS CLIENTES WEB A SOLO USAR PROXY EN SU CONFIGURACION??...me pasa que cuando saco el PROXY SQUID de la configuración igual navegan pero no se aplican las políticas de filtro de contenido..que me falta??...que esta mal?? Proxy Transparente ? http://tldp.org/HOWTO/TransparentProxy.html Pero ojo con las conexiones https, no van a funcionar. Lo mismo ocurre para servidores que silenciosamente te redirigen a un https. Saludos, -- Jens.
CLCERT
On Fri, 2007-08-24 at 17:37 -0400, Daemon wrote: Que lata, a propósito de todo la bulla que se armó con el acuerdo entre Micro$oft y el gobierno, ahora me entero de que el CLCERT también firmó un acuerdo de cooperación con Micro$oft...un acuerdo con una entidad dedicada a la seguridad..con un SO inseguro por naturaleza (si se que depende en gran medida del Sysadmin pero.), tal vez Jens nos pueda explicar en que consiste este acuerdo y el por que de amarrarse de esta maneracuando aprenderemosno lo sé A los que siguen estos temas, les interesará leer una carta abierta que escribieron 7 académicos del DCC-UChile, entre ellos el director del ClCERT: http://sushiknights.org/2007/08/carta_abierta_acuerdo.html (original en PDF: http://sushiknights.org/files/CartaAbiertaUChile-20070827.pdf) Saludos, -- Jens.
Proyectos tipo Chileforge
On Mon, 2007-07-23 at 01:49 -0400, Alvaro Herrera wrote: Creo que Chileforge es una gran idea. Supongo que estan usando el codigo de Gforge, por lo tanto no es _tan_ malo como tratar de hacerlo todo por si mismos -- el codigo _si_ se desarrolla en forma de bazar (a diferencia de Sourceforge que es codigo cerrado). Lo unico que estas haciendo localmente es administrarlo (poner los servidores, el ancho de banda, el tiempo de levantar el software, hacer los respaldos, etc). Ahora, si es _solo_ para Chile, eso no me parece tan genial -- pero no creo que hayan rechazado proyectos buenos solo porque los desarrolladores sean de Peru, verdad? La idea de Chileforge es justamente poner proyectos que tengan relevancia dentro de Chile. No se ha rechazado nunca un proyecto por su origen, el único criterio es que lo que se desarrolle esté bajo una licencia FLOSS y no mucho más que eso. Hay un par de ventajas en hacer algo local, incluyendo que los proyectos no se pierden entre cientos de miles, y evitar poner todos los huevos en una misma canasta (se acuerdan cuando estuvieron abajo varios Forge grandes en períodos muy cercanos?). Saludos, -- Jens.
notebook con problemas de temperatura
On Thu, 2007-05-10 at 14:14 -0400, juan carlos mardones wrote: El 10/05/07, Jens Hardings Perl [EMAIL PROTECTED] escribió: On Thu, 2007-05-10 at 00:39 -0400, Aldrin Gonzalo Martoq Ahumada wrote: Las preguntas: - Les ha pasado? Tendre que preocuparme por el hardware? (Lo extran~o es que ahora hace mucho mas frio) Tendre que desarmar y limpiarlo? Me ha pasado. En mi caso, noté que cuando hacía mucha transferencia de datos también aumentaba notablemente la temperatura. Nunca fui capaz de grabar un DVD completo vía USB desde el notebook sin ponerle un ventilador externo para mantener la temperatura bajo los 90 grados. Ni idea cómo se comporta eso en Windows porque lo desinstalé hace rato. ¿Que modelo de maquina se calentaba tanto Jens? Toshiba Portégé 3500 (Tablet PC). -- Jens.
squid y p2p
On Thu, 2007-03-29 at 12:27 -0400, Wilson Acha wrote: Cual es mejor proxy cache o proxy transparente? Resulta que lei por internet que squid no fue hecho para ser transparente, asi que es mejor hacerlo trabajar como proxy cache, bueno no se cual realmente en un entorno de produccion sea mejor. Probablemente leíste que no es posible usar proxy transparente para sitios con SSL. Eso es un problema inherente al protocolo, y pasa con todos los proxies transparentes. La consulta que tengo es que si pongo a squid como prxoy cache (configurando en los browser la direccion del proxy) y con iptables con politica por defecto DROP supuestamente evito que se utilice programas P2P o aplicaciones que saturan la conexion a internet, pero resulta que tambien se puede configurar los programas P2P apra que salgan por el proxy, entonces cual seria la solucion efectiva para bloquear todo el trafico que generan este tipo de aplicacion y solo dar pasao a la navegacion y a la mensajeria tiendo a squid como proxy cache Además debes tener reglas ad-hoc en el squid y actualizarlas constantemente a medida que los programas p2p tratan de pasar a través del proxy. Saludos, -- Jens
TCP/IP y OSI [Was: Re: ssh, dhcp e IPs cambiantes]
On Mon, 2007-03-26 at 00:19 -0400, Miguel Oyarzo O. wrote: Todos los fabricantes de hardware siguien usando las 3 capas inferiores de OSI. ... con lo cual dejan fuera al menos las capas de Sesión y Presentación. Por ende, es un modelo OSI recortado que es prácticamente idéntico al de TCP/IP, salvo que TCP/IP fusiona las capas física y enlace (data link). En resumen: a los fabricantes de hardware les interesa diferenciar entre la conexión física y la forma de usar esa conexión. Al resto de los mortales le interesa saber que eso funciona y usarlo. -- Jens.
Load average
On Mon, 2007-03-19 at 09:32 -0400, Ricardo Utreras Estrella wrote: Estimados: Esta es una muestra de la carga de uno de los server que administro: ... 1:16pm up 10:13, 154 users, load average: 4.76, 5.10, 5.41 2:16pm up 11:13, 131 users, load average: 6.47, 4.98, 4.03 3:16pm up 12:13, 122 users, load average: 7.47, 6.39, 5.24 4:16pm up 13:13, 128 users, load average: 4.91, 4.44, 3.74 5:16pm up 14:13, 130 users, load average: 7.31, 5.50, 4.23 6:16pm up 15:13, 99 users, load average: 3.35, 2.16, 1.93 7:16pm up 16:13, 74 users, load average: 5.39, 4.15, 3.12 8:16pm up 17:13, 59 users, load average: 6.06, 4.88, 3.60 9:16pm up 18:13, 53 users, load average: 2.84, 2.12, 1.92 Una máquina en la cual la carga nunca sube de 1 es un derroche, es como tener un disco duro vacío. Pero al mismo tiempo, es posible que justo en algún momento necesites mayor capacidad y valga la pena. Siempre es un tema que depende de la máquina en particular. Revisa por ejemplo qué es lo que hace subir la carga de la máquina: es por I/O, uso intensivo de CPU, uso de memoria que hace requerir mucho swap? En base a eso puedes ir determinando si es necesario agregarle recursos (y cuáles!!). En la mayoría de los casos también es posible evitar que la carga suba tomando medidas muy simples. No hay valores específicos, solamente que con carga 1 la máquina está siendo sub-utilizada y con carga 1 hay procesos que tienen que esperar por los recursos. En mi caso, tuve problemas con una máquina que llegaba a cargas mayores a 100. En este caso era por uso de memoria, y las soluciones pasaron por bajar la cantidad de swap (para que el proceso glotón se muera en vez de hacer trabajar los discos inútilmente) y la máquina no llegue al estado en el cual no se puede recuperar de la carga, y luego evitar que los procesos glotones fueran consumiendo memoria. Eso último se logró mediante rlimit como medida inmediata y configuración del servicio (spamassassin) para que no genere más de X procesos en paralelo. Antes de eso obviamente se tuvo que revisar cuáles eran los procesos que estaban generando el problema. Tampoco tiene sentido mirar la carga de un momento en particular, si la máquina tiene carga 1 en promedio en un período de una semana o un mes, quiere decir que solamente tiene peaks que en general pueden ser controlados. Hay excepciones, como cuando hay procesos que se deben realizar en cierto período de tiempo, y ahí el promedio no sirve. En los casos en que sea relevante, usa algo como MRTG o su sucesor genérico RRDTool para monitorearlo de manera automática con gráficos fáciles de analizar. Aprovecha de monitorear otros aspectos útiles, como consumo de memoria, I/O, estado de procesos críticos, etc. Saludos, -- Jens.
Log de Iptables
On Sun, 2007-02-18 at 10:41 -0300, Sebastian Antunez Noguera wrote: Estimados, con el cambio de servers de Microsoft a Linux, piden mas cosas cada día, y ahora me estan solicitando lo siguiente: Tenemos un Firewall (Centos 4.4) con iptables con dos NIC que solo hace NAT a un server de Mensajeria, todos los usuarios estan en un Proxy. El tema es que la empresa tiene un Software que hace analisis de Log, y quieren enviar todos los eventos de entrada de IPTABLES a un Syslog. todos los eventos significa cada paquete, cada ACK y todo lo demás? Es bastante información, probablemente la red funcione a paso de tortuga cuando se haga eso. Supongo que lo que realmente se pretende es tener un registro de todas las conexiones (uno por conexión), a lo más también uno al terminar la conexión. Fíjate que las reglas cumplan con eso. Agregue al final del Script del Iptables lo siguiente *iptables* -A FORWARD -j *LOG* Esa regla no debe ir al final, sino antes de cualquier otro terminating target como ACCEPT, REJECT, etc. Probablemente sea algo de ese estilo. Saludos, -- Jens
duda sobre apache2 o iptables
On Fri, 2007-01-12 at 09:48 -0300, Satoru Lucas Shindoi wrote: Gente: Tengo una configuración del tipo: (Internet) [servidor1] switch (LAN) | [servidor2] En [servidor1] tengo un firewall y Apache2 con VirtualHost (funcionando todo). En [servidor2] tengo otro firewall y otro Apache2 con VirtualHost. Mi pregunta es como hago para que una petición proveniente desde (Internet) hacia un dominio virtual de [servidor1], haga que [servidor1] le diga a [servidor2]: atendé vos? Hasta el momento probe con la directiva redirect dentro de la definición del VirtualHost que me interesa, apuntando hacia la IP de [servidor2] (una IP privada). Esto funciona si la petición viene de la (LAN) pero obviamente desde (Internet) no funciona. Busque mas info y encontré algo llamado proxy reverso pero los ejemplos no se si se corresponden con los mios. Si, parece corresponder. El redirect le avisa al cliente que tiene que ir a otro lado a buscar su información, mientras que el proxy reverso (directiva ProxyPass de apache se encarga de buscarlo y entregarlo, sin que el cliente se entere. Ojo que eso no aumenta la disponibilidad, sino más bien al contrario: si cualquiera de los servidores falla, o si hay problemas con la conexión entre ellos, el cliente no va a poder acceder a la página. Saludos, -- Jens.
LaTeX: llave grandota para definición funciones matemáticas
On Thu, 2006-12-21 at 11:46 -0300, Leonardo Soto M. wrote:
No creo que el subject deje las cosas muy claras, pero el problema es
muy simple:
Necesito escribir la definición de una función cuya expresión depende
de ciertas condiciones sobre los argumentos (como por ejemplo la
definición de la función valor absoluto). Típicamente uno pone una
llave { grandota para definir estas alternativas. Y no tengo idea de
cómo hacer esto en LaTeX ni tampoco se me han ocurrido keywords para
google que funcionen.
Aparece en la clásica not so short intro to
LaTeX (http://www.ctan.org/tex-archive/info/lshort/english/lshort.pdf).
Específicamente, página 55.
Lo que buscas es:
\left\{
Saludos,
--
Jens.
Levantando iptables para un usuario comú n
On Thu, 2006-12-07 at 12:06 -0400, Rodolfo Alcazar wrote: On Wed, 2006-12-06 at 16:08 -0300, Horst H. von Brand wrote: Amables lectores: Cualquier script de cortafuegos que contenga DROP esta mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente erradas en la cabeza. No lo creo. La mayoría de Firewalls (no solo iptables) usan reglas del tipo DROP. DROP tiene propósitos muy importantes. Sirve para: a) Minimizar tráfico basura: si respondes, REJECT, generas tráfico. Puedes ser víctima de un ataque DOS (Denial Of Service). En general los ataques DoS se basan en que recibes demasiado tráfico, no que lo generes. Otra cosa son los llamados amplification attacks, donde se asume que pocos paquetes logran generar muchos paquetes de respuestas. No es el caso aquí (requieres 1000 paquetes para generar 1000 paquetes de respuesta, estos últimos de tamaño mínimo). c) Minimizar el uso de tu CPU. Generar la respuesta, toma un tiempo de proceso. Si es una, no hay problema. Pero en un ataque BRUTE FORCE, te consume recursos valiosos. Si el atacante es hábil, te refunde el tráfico. El trabajo de enviar un paquete es mínimo, y no se requieren recursos (memoria asociada a una conexión en vías de establecerse por ejemplo) que es lo que aprovechan generalmente los DoS. Piensa que con una CPU bastante rasca puedes saturar un enlace sin problemas enviando este tipo de paquetes. Tanto en este caso como en el anterior, puede valer la pena usar DROP en situaciones extremas (cuando por ejemplo se sabe que el remitente de un paquete es falsificado). Son el tipo de situaciones que se configuran a mano en caso de emergencia, y no están dentro del script de configuración normal. d) Dificultar el diagnóstico de puertos. Despistar al atacante. Retrasar los intentos fallidos. Hacer creer al atacante que el puerto no está abierto. Un puerto cerrado genera una respuesta al querer iniciar una conexión: un paquete TCP con el flag RST seteado. Si se quiere hacer creer que el puerto está cerrado, habría que enviar algo igual (usando la opción tcp-reset). En el caso de enviar un paquete UDP a un puerto cerrado, la respuesta normal es un paquete ICMP port-unreachable, que es justamente el default de REJECT de iptables. En resumen: usando DROP están dándole más información al atacante de la que tenía antes: ahora sabe que hay un firewall bloqueándole esos puertos específicos. Saludos, -- Jens.
Levantando iptables para un usuario común
On Thu, 2006-12-07 at 13:16 -0300, Luis Sandoval wrote: ademas un cliente legitimo no va a conectar un puerto que este dropeado... Ese es un supuesto que no tiene ninguna relación con la realidad. Y además, de acuerdo a Murphy, eso va a ocurrir justo cuando a todos los involucrados se les olvidó que el firewall simplemente descarta los paquetes y estarán gastando varias horas antes de percatarse que ese es el problema de por qué el cliente no se puede conectar.] La idea de los sistemas es que no sólo funcionen cuando todo está en su situación ideal (los clientes legítimos no se conectan a cosas raras, los usuarios no meten mal los dedos sobre el teclado, etc.), sino cuando hay problemas que fallen de la mejor forma posible. Saludos, -- Jens.
[OT] Linux no es Free Software, es Open Source..
On Fri, 2006-12-01 at 18:35 -0300, Germán Poó Caamaño wrote: Volviendo al tema de licencias BSD: No olvidar que la pila TCP/IP de Hasefroch proviene de BSD. Es muy general afirmar eso. Definitivamente código BSD fue usado en una versión (temporal), creada por Spider Systems, dentro de sistemas operativos de Microsoft. Pero después de eso se reescribió el código (para Windows NT 3.5 y Windows 95) y no hay mucha evidencia (salvo que algunos _clientes_ tienen el requerido copyright notice) de que se siga utilizando. Hay rumores de que Windows 2000 usó el stack TCP/IP de BSD, pero nunca fue confirmado. -- Jens
[OT] Linux no es Free Software, es Open Source..
On Fri, 2006-12-01 at 17:53 -0300, Baronti wrote: El día 1/12/06, Alvaro Herrera [EMAIL PROTECTED] escribió: Rodrigo Fuentealba escribió: 2006/12/1, Jens Hardings Perl [EMAIL PROTECTED]: Tienes algún ejemplo para afirmar que no todo Open Source, necesariamente es Free Software? No todo open source es free software, y no todo free software es open source. Puedes mostrar algun ejemplo, o fundamentar esta afirmacion de alguna forma? Es que es muy simple. Existe mucho software que se autodefine open source, ya que asume o cumple la libertad de tener su código abierto. Y puede ser llamado open source por ese hecho. Déjame ver si te entiendo... cualquiera puede autodefinir que su software es open source. Entonces, por qué no puede cualquiera definir que su software es free software? Tu párrafo quedaría algo como: Existe mucho software que se autodefine free software, ya que asume o cumple la libertad de ser gratuito. Y puede ser llamado free software por ese hecho. Falso, o no? Pero para que un software sea considerado Free Software, debe cumplir las 4 libertades que RMS ha definido claramente. Y eso pasa por abrir su código, pero a la vez, por cumplir las otras 3 libertades esenciales. Exacto. Y para que un software sea llamado open source, debe cumplir con los 10 criterios que define la Open Source Initiative. No basta con mostrar el código. Y resulta que los 10 criterios de la OSI son equivalentes a las 4 libertades de Stallman. Ahora bien, esto llevado al tema de las licencias, como puntualiza Jens, puede ser que las osas se enreden bastante. Yo estoy simplemente haciendo un análisis lógico, no legal. Pero la decisión de si un software es o no open source y si un software es o no software libre, es netamente legal. Otra cosa es si cierta comunidad o cierto desarrollador se quiere identificar más con uno u otro concepto, pero eso ya no es culpa del software. Saludos, -- Jens
posible ataque ??
On Thu, 2006-11-30 at 06:52 -0300, Felipe Tornvall N. wrote: On Wednesday 29 November 2006 21:12, Rodrigo Fuentealba wrote: 2006/11/29, Miguel Peña G [EMAIL PROTECTED]: no use su ssh en el puerto standard ni menos permita al root hacer shell remota en forma directa. Dele con cambiar el puerto SSH... ssh es el 22, y en el 22 se queda. nunca esta demás algo de paranoía Si se quiere oscuridad, se puede usar algo como el port knocking: el servidor no abre el puerto 22 (ni ningún otro de manera visible) hasta que quien se quiera conectar envía el santo y seña. (http://www.portknocking.org/) Pero recuerden lo que dijo Kerkhoff ya en el siglo XIX: se debe asumir que el atacante conoce el sistema (más tarde parafraseado como security through obscurity is no security at all). Saludos, -- Jens.
MS colaborando con el opensource?
On Fri, 2006-11-03 at 11:55 -0300, Germán Poó Caamaño wrote: On Fri, 2006-11-03 at 00:23 -0300, Cristian Rodriguez wrote: 2006/11/2, Rodrigo Fuentealba [EMAIL PROTECTED]: asi como lo leen :S http://www.novell.com/linux/microsoft/openletter.html (en ingles) Cristian Rodriguez me lo paso. esta movida es bastante curiosa, si, pero no creo que cause daño, mas bien, creo que puede llegar a ser positivo en algunos aspectos. Es un pacto de no agresión, como el que alguna vez acordaron Sun y Microsoft en torno a Java y 3D. Pero el pacto de no agresión es entre Novell y Microsoft, no con el resto del mundo. En realidad incluye a los clientes de Novell y a los clientes de Microsoft, con lo cual se intenta restituir de alguna otra forma (ya no tecnológica) la dependencia de un proveedor. Saludos, -- Jens.
Spamassassin me esta dejando pasar muchos mensajes
On Wed, 2006-09-13 at 12:26 -0400, Alvaro Herrera wrote: Lo que yo hago es no usar SpamAssassin, prefiero usar algo menos mainstream :-) Uso Bogofilter y funciona de pelos. Pero spamassassin también usa análisis bayesiano, además se puede conectar a listas negras y razors. En cambio con Bogofilter lo único que tienes es el análisis bayesiano, así que es un subconjunto de SA... -- Jens.
Debate Linux v/s Windows
On Thu, 2006-08-24 at 13:41 -0400, Franco Catrin wrote: Hasta no hace mucho asistia a cualquier parte que me invitaran, era como mi forma de devolver la mano al software libre. Pero al final me vi sobrepasado y tuve que comenzar a filtrar, y un criterio de filtro basico es la calidad de la invitación. Lo cual tiene como consecuencia que se abren oportunidades para que gente nueva se presente a dar charlas. Nosotros invitamos a Alonso García a una charla aquí en la PUC sobre interfaces gráficas y XGL, y resultó bastante buena. Esto fue gracias a la recomendación de Franco. Saludos, -- Jens.
Configurando Virtual Hosts - Apache/2.0.52 (CentOS)
On Fri, 2006-08-18 at 10:43 -0400, Andrés Ruz Salinas wrote: Bueno, yo he usado varios puertos y el resultado siempre es el mismo. ¿Qué me recomiendan? ¿Cómo puedo configurar el servidor para que me deje usar los puertos que deseo? ¿Alguna información para configurar SELinux? Pero por qué la necesidad de usar otros puertos? No te basta con tener varios virtual hosts a través del mismo port 80? Instrucciones (no probadas) para abrir el port sin dar permisos demás: 1. instalar el paquete selinux-policy-targeted-sources 2. Editar el archivo /etc/selinux/targeted/src/policy/policy.conf y ubicar la línea que dice algo como portcon tcp 80 system_u:object_r:http_port_t, copiarla y modificar el 80 por el número de port que quieras agregar en la línea copiada. 3. Ir al directorio /etc/selinux/targeted/src/policy y ejecutar make reload Si tienes instalado el comando semanage (parte de las nuevas policycoreutils que al parecer no están incluidas en CentOS), aquí hay dos hints para lograrlo de manera más simple: http://fedoraproject.org/wiki/SELinux/FAQ/ProposedAdditions#head-b8a7b039fa3a44f1d20c4e5035992af02426709d http://berrange.com/personal/diary/2006/03/good-times-for-developers Saludos, -- Jens.
Configurando Virtual Hosts - Apache/2.0.52 (CentOS)
On Thu, 2006-08-17 at 16:37 -0400, Andrés Ruz Salinas wrote: Hola, he instalado CentOS 4.3 y ya tengo todo funcionando menos los Virtual Hosts en el servidor apache. Estoy intentando usar 3 puertos a los q les asigno un sitio web virtual (Host Virtual) pero cuando lo quiero correr el servidor me lanza el siguiente error: Iniciando httpd: (13)Permission denied: make_sock: could not bind to address [::]:3000 no listening sockets available, shutting down Unable to open logs M no se q será ese error pero la configuración es la misma q he usado en otros server Apache y funciona. Ahora en este (en CentOS) ya no me funciona. OH, y ahora, ¿quién podrá ayudarme...? PD: Cuando habilito los puertos en la configuración (Listen 3000, Listen 3010, etc...), ahí me lanza el error. Esos ports no son los habituales para http, y probablemente sea SELinux el que no acepta que el servidor los use. La solución cavernícola es desactivar SELinux, la más elegante y recomendable es modificar la política de SELinux para aceptar esos ports o bien cambiar la configuración que estás usando de apache. Necesitas realmente usar esos puertos alternativos? Saludos, -- Jens.
Linux y temas legales [Was: Re: problema reverso para sendmail]
On Tue, 2006-07-25 at 15:07 -0400, Juan Martínez wrote: Victor Hugo dos Santos wrote: El 25/07/06, Horst H. von Brand[EMAIL PROTECTED] escribió: Jaime Oyarzun Cruzat [EMAIL PROTECTED] wrote: [...] [...] Contrata a un abogado entendido en el tema. alguien tiene alguna recomendacion de algun abogado experto en el tema en chile ??? Guau. Pides mucho. En Chile los abogados con suerte suman con abaco. Lo que más se acerca son los muchachos de Derechos Digitales: http://www.derechosdigitales.org/ , si los contactas de seguro te podrán asesorar. Saludos, -- Jens.
control de versiones
On Fri, 2006-06-23 at 10:33 -0400, Franco Catrin wrote: Ojo que hasta donde entiendo, la diferencia en el tratamiento de archivos binarios entre un sistema de control de versiones y otros va por el lado del rendimiento y/o eficiencia en uso de espacio, no creas que el sistema de control de versiones va a entender el formato binario que estas utilizando, solo almacenan los archivos. Esto aplica para CVS, SVN, etc. No había al menos la idea de poder agregar una especie de plug-in para SVN con el cual enseñarle a hacer merge automático de ciertos tipos de archivos? Alguien sabe más de eso? -- Jens.
Gestionar Anchos de Banda
On Wed, 2006-06-14 at 19:25 +0200, fernando villarroel wrote: Que recomiendan para hacer esto, aunque implemente el WEBCBQ y lo hice funcionar en una maquina de prueba, creo que seria mejor implementar un script que haga lo que necesito y ponerlo a correr como servicio?. Tanto webcbq como un potencial script lo que hacen es poblar las estructuras internas que le dicen al kernel cuáles son las políticas. De ahí en adelante, es el kernel el que procesa los paquetes de la manera especificada. Personalmente prefiero utilizar un script para hacer eso, ya que permite configuraciones más flexibles. Típicamente (al menos en el estado en que están para el caso de traffic shaping) las interfaces gráficas ofrecen solamente un subconjunto de las posibles configuraciones. Conocen alguna otra herramienta que permita graficar el comportamiento cada 5 min, 30, min etc. MRTG es un proyecto desarrollado específicamente para eso, y hay un desarrollo más genérico que se hizo para ir graficando cualquier información numérica (rrdtool). Saludos, -- Jens.
Apagar o no el monitor
Hantar Isaac Aguad Poblete wrote: Cosas que entiendo: - El apagar y encender excesivamente el monitor conlleva un desgaste de algunas piezas (en particular del boton on/off) - El poner un salvapantallas despues de 4 o 5 minutos /podria/ ser molesto en ciertas ocaciones. Puedes especificar que se active el protector de pantallas manualmente al presionar un cierto botón en la pantalla. En gnome basta asignar un Keyboard shortcut a la acción Lock Screen y listo, supongo que en KDE será igual de fácil, no sé si para otros manejadores... -- Jens.
Problemas de Seguridad con Apache.
Cristian Rodriguez wrote: On 5/10/06, Joel Campos [EMAIL PROTECTED] wrote: Estimados Listeros: 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www2.bpheonix.org:81/blog//index.php?show=26,07,2004 HTTP/1.1 403 343 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://schizocath.com/index.php/member/index.php/blog/1 HTTP/1.1 403 336 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.qualitynet.net/unwanted.html HTTP/1.1 403 324 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.weeklystandards.com/oldsite/archives/2004/05/tws_index-2.html HTTP/1.1 403 362 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.aquariumsite.org/linkfish.cfm?ID=1273 HTTP/1.1 403 335 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.ostblog.nullserver.net/2004_12_26_archiv.php?show_id=110450747956392629 HTTP/1.1 403 375 Mis mas sentidas condolencias, tienes un proxy abierto de par en par... Falso, el apache nunca entrega nada más que una página de error (código 403). Por lo demás, el origen de esas solicitudes es el número IP 192.168.1.1, así que no es algo que viene de Internet, sino que desde un host interno. -- Jens.
Neutralidad Tecnologica [Was: Re: OpenDocum ent estándar ISO.]
Alejandro Barros wrote: ¿Por qué se verían obligadas las instituciones oficiales a usar el formato tan sólo por que se trate de un estándar ISO? Concuerdo con que esto marca un precedente positivo, pero no veo cómo esto forzaría a las organizaciones a adoptarlo. Por la declaración de neutralidad tecnológica Ojo que a varios en el gobierno les he escuchado últimamente el término imparcialidad tecnológica informada como preferible por sobre neutralidad tecnológica. Y es algo sumamente razonable. De partida, es imposible ser tecnológicamente neutral si se pretende utilizar alguna tecnología concreta, o bien habría que utilizar todas al mismo tiempo (ya se imaginarán la eficiencia de eso). Por ejemplo, el SII al preferir las tecnologías de servidor web + browser y todo lo que involucra por sobre la tecnología de lápiz + papel, claramente no está siendo neutral con la tecnología. La idea de la imparcialidad tecnológica informada es que no se prefiera una tecnología por sobre otra a priori, que se sepan las ventajas y desventajas de todas las soluciones disponibles y que se elija en base a eso. Neutralidad tiene poco que buscar ahí. Ojalá que el resto del estado siga esa idea, porque neutralidad tecnológica es y siempre ha sido un sinsentido. Otro punto es que se elija la mejor tecnología considerando no sólo el corto plazo, y considerando no sólo la repartición de gobierno que está tomando la decisión (esto último es lo más difícil de lograr). Pero eso ya es irse a otra discusión. Saludos, -- Jens.
OpenDocument estándar ISO.
Roberto Bonvallet wrote: ¿Por qué se verían obligadas las instituciones oficiales a usar el formato tan sólo por que se trate de un estándar ISO? Concuerdo con que esto marca un precedente positivo, pero no veo cómo esto forzaría a las organizaciones a adoptarlo. En realidad no es porque sea un estándar ISO, sino porque es un formato que cumple con ciertos estándares y es público y de libre acceso. Mira por ejemplo lo que se exige a las instituciones públicas en Chile (Decreto Supremo 81): http://www.modernizacion.cl/1350/article-70681.html Dato al margen: los documentos Microsoft (en XML y todo lo que quieran) no tienen disponible el Schema que los define, y por lo tanto no cumplen con lo mínimo exigido en esa normativa. Y publicarlo no es fácil para MS, porque el Schema debe definir completamente el documento, en el caso de MS, hay algunos wildcard que permiten agregarle cosas MS-específicas dentro del documento. -- Jens.
Respaldos
Ernesto del Campo wrote: Listeros, Tengo un servidor que tiene 2 discos duros scsi de 36GB, la cosa es que quiero hacer respaldos incrementales de esta información a otro disco duro en el mismo servidor, cada cierto tiempo (una vez al dia por ej.). ¿Existe algun programa que haga respaldos ingrementales, sin tener que hacer un tar y un copy al otro disco duro? rsync es lo más cercano. Si tienes una gran cantidad de archivos, de los cuales solamente una fracción se va cambiando entre respaldos, te va a ahorrar bastante tiempo y recursos. Pero ojo con el objetivo de los respaldos. Típicamente cuando alguien quiere revisar el respaldo es un tiempo considerable después de que este haya sido borrado/modificado. Si el respaldo es de tipo espejo (lo que consigues con rsync), no te servirá de nada. En tal caso, un simple tar incremental o algo más elaborado como bacula es la solución, y no vas a copiar todos los archivos, solamente los modificados después del último respaldo. -- Jens.
RV: Problemas al reiniciar el servicio de red.
Andrés Ruz Salinas wrote: Hola lista, hoy me ha pasado algo raro, después de configurar la red de un pc tal y como lo he hecho siempre y sin problemas, después de usar service netowrk restart se bajan los dispositivos y cuando se empiezan a levantar, se queda pegado en el dispositivo loopback y simplemente no continúa. La única forma de salir de eso es con un CTRL+z o un CTRL+z. Bueno ojalá que alguien tenga alguna respuesta bajo la manga. Será que te falta la línea que define el localhost en /etc/hosts? Debiera ser algo como: 127.0.0.1 localhost.localdomain localhost Saludos, -- Jens.
CentOS, hay mirrors en Chile?
Jose Rivas G wrote: Existen 2 oficiales, uno de la UTFSM, y NETGLOBALIS.- UTFSM: ftp://ftp.inf.utfsm.cl/pub/Linux/CentOS/ NETGLOBALIS: http://mirror.netglobalis.net/pub/centos/ ftp://mirror.netglobalis.net/pub/centos/ Son 3, te faltó el de CSoL (claro que no sé por qué lo pusieron en categoría OC3): http://mirrors.csol.org/CentOS/ ftp://mirrors.csol.org/CentOS/ rsync://mirrors.csol.org/CentOS/ -- Jens.
dns - servidores raices
Victor Hugo dos Santos wrote: Hola a to2. estaba visitando el sitio del nic (http://www.nic.cl) y mire la noticia del dia 29/12 de que nic.cl tenia habilitado un espejo del dns raiz F !!! que bueno !!! ;-) ahora, mirando las nota de prensa y la presentación (pdf), veo que mencionan que por motivos tecnicos los servidores raíces NO pueden ser mas que 13 !!! En realidad, pueden ser más de 13 (.com tiene 15 por ejemplo). El problema es que al haber un número muy grande, ya no cabrá en un header UDP y se debe transmitir vía TCP. Si ignoramos el hecho que probablemente existan muchos firewalls mal configurados que no dejarán pasar esas respuestas, tenemos que se debe establecer una conexión TCP (3 paquetes: dos de ida y uno de vuelta, en el mejor caso), intercambiar la información (2 paquetes con sus respectivos ACKs) y finalmente cerrar la conexión (al menos 2 paquetes). Dado que el objetivo de tener más servidores es mejorar la eficiencia, no tiene sentido empeorarla al obligar a usar TCP cuando UDP es mucho más eficiente en este caso. No es que no se pueda, simplemente no conviene. La solución es utilizar anycast para que cada uno de esos 13 servidores pueda tener múltiples instancias. O sea que el mismo número IP existe en diversas ubicaciones geográficas y cada paquete es ruteado al más cercano. Saludos, -- Jens.
dns - servidores raices
Jens Hardings wrote: Victor Hugo dos Santos wrote: Hola a to2. estaba visitando el sitio del nic (http://www.nic.cl) y mire la noticia del dia 29/12 de que nic.cl tenia habilitado un espejo del dns raiz F !!! que bueno !!! ;-) ahora, mirando las nota de prensa y la presentación (pdf), veo que mencionan que por motivos tecnicos los servidores raíces NO pueden ser mas que 13 !!! En realidad, pueden ser más de 13 (.com tiene 15 por ejemplo). Bueno, no son 15... lo que pasa es que 2 de los 13 tienen además de la dirección IPv4 una dirección IPv6 y se incluyen ambas en las respuestas. El tamaño de una consulta a los NS de .com tiene tamaño 537 actualmente (en octetos). Si se considera que la MTU standard para una conexión conmutada es de 576 octetos, estamos bastante al límite de lo que se puede enviar via UDP. Saludos, -- Jens.
dns - servidores raices
Victor Hugo dos Santos wrote: perdon, pero de donde sacaste el tamano 537 ??? intente llegar al mismo numero, pero talvez no tenga ni la minima idea de lo que estoy hacendo !!! :.-( $dig ;; Query time: 147 msec ;; SERVER: x.x.x.x#53(x.x.x.x) ;; WHEN: Tue Jan 24 14:55:39 2006 ;; MSG SIZE rcvd: 404 entonces abro la calculadora (mmm.. no me acuerdo o no se como hacer el cambio mentalmente, tarea para aprender!!!), ingreso el numero 404 y despues cambio la visualizacion de base decimal para base octal, que me devolve el valor 624 que es diferente de los 537 que usted menciona. en que me equivoque ??? dig ns com. @f.root-servers.net me da como largo 509 bytes. A eso hay que sumarle 20 bytes del header IP y 8 bytes del header UDP. Y para evitar averiguarme el largo de cada header usé ethereal para ver el paquete y su largo ;-) -- Jens.
filtro en almacenamiento
[EMAIL PROTECTED] wrote: Me parece que winscp no es lo mas adecuado, toda vez que este permite visualizar todo el arbol de directorios, lo que puede conllevar a un problema de seguridad. Me parece que lo mas adecuado es samba, solo vera su carpeta. Ahora lo del scrip de limpieza creo que debe ir de todas maneras. Otro tema es considerar si quiero poder editar un documento sin tener que copiarlo localmente y luego volver a subirlo al servidor. En ese sentido, Samba funciona para clientes windows, incluyendo locking y por lo tanto cuando hay más de una persona editando un documento no se estarían pisando las versiones mutuamente. Sobre el tema del script, yo confiaría mucho más en el procesamiento humano: asignar una quota y el que necesite más espacio lo solicita justificando adecuadamente. El script de limpieza irremediablemente va a limpiar algo que no debiera haber limpiado. Y de acuerdo a Murphy, eso va a ocurrir en el preciso momento en que el gerente deba hacer esa presentación de la cual depende el presupuesto de los próximos 5 años y que solamente está accesible a tiempo en esa copia que se borró. Por lo demás, al igual que las restricciones a recursos como messenger, es una solución parche que tiene consecuencias poco deseables: * el mensaje que interpretan los afectados es que se permite todo lo que el sistema permite: si se puede convencer al sistema de aceptar algo, entonces es legítimo. Es la consecuencia de utilizar soluciones técnicas para resolver problemas que no son técnicos. * se invierten recursos en perseguir y castigar mientras los demás invierten recursos en esconder y encontrar la forma de ganarle al sistema. O sea, no se logra el supuesto objetivo de mejorar la productividad. * la mayoría de los trabajos no debiera definirse como estar 8 horas diarias frente a un escritorio, sino en base a criterios específicos, metas y otros. Entonces, si el trabajador quiere tener sus documentos, y los recursos son relativamente baratos, debiera dar lo mismo siempre y cuando no incurra en ilegalidades que puedan perjudicar a la empresa y cumpla con lo que tiene que cumplir. Lamentablemente la cultura laboral chilena está aún en los sesentas, en un clima de empleados v/s empleadores en vez de trabajar de manera coordinada para el beneficio justo de todos los involucrados, así que en general se opta por la salida obvia y cortoplacista. Pero no vale la pena el intento? En este caso el riesgo no es demasiado alto y además tanto el costo como el riesgo son menores. Saludos, -- Jens.
tabla mangle y rutas multiples
Miguel Oyarzo wrote: # regla por defecto (va primero en mangle?) iptables -A PREROUTING -i eth0 -t mangle -j MARK --set-mark 2 iptables -A PREROUTING -i eth2 -t mangle -j MARK --set-mark 2 iptables -A PREROUTING -i eth3 -t mangle -j MARK --set-mark 2 # regla especifica iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 80 -j MARK --set-mark 1 si subo la especifica primero, entonces el paquete no se marca directamente. la salida de # iptables -L -n -v -t mangle igual me muestra las reglas default arriba. Alguien puede confirmar esto? porque no funciona como la tabla filter? Se supone que la marca es una sola, así que la última regla que calza elimina la(s) marca(s) anterior(es). Al parecer no se puede entregar una máscara para marcar solamente algunos bits del paquete (que parece es lo que intentas hacer), pero lo que sí se puede hacer es marcar la conexión (utilizando máscara para modificar sólo algunos bits) y luego se puede aplicar la marca de la conexión al paquete. Se puede jugar un poco con reglas como estas, eliminando o modificando el orden de las tres primeras: iptables -A PREROUTING -i eth0 -j MARK --set-mark 1 iptables -A PREROUTING -i eth0 -j MARK --set-mark 2 iptables -A PREROUTING -i eth0 -j MARK --set-mark 3 iptables -A FORWARD -m mark --mark 1/1 -j LOG --log-prefix mark 1: iptables -A FORWARD -m mark --mark 1 -j LOG --log-prefix mark solo 1: iptables -A FORWARD -m mark --mark 2/2 -j LOG --log-prefix mark 2: iptables -A FORWARD -m mark --mark 2 -j LOG --log-prefix mark solo 2: Saludos, -- Jens.
tabla mangle y rutas multiples
Miguel Oyarzo wrote: At 10:42 10-01-2006, Jens Hardings wrote: Miguel Oyarzo wrote: # regla por defecto (va primero en mangle?) iptables -A PREROUTING -i eth0 -t mangle -j MARK --set-mark 2 iptables -A PREROUTING -i eth2 -t mangle -j MARK --set-mark 2 iptables -A PREROUTING -i eth3 -t mangle -j MARK --set-mark 2 # regla especifica iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 80 -j MARK --set-mark 1 si subo la especifica primero, entonces el paquete no se marca directamente. la salida de # iptables -L -n -v -t mangle igual me muestra las reglas default arriba. Alguien puede confirmar esto? porque no funciona como la tabla filter? Se supone que la marca es una sola, así que la última regla que calza elimina la(s) marca(s) anterior(es). mmm... no creo que funcione asi: la primera coincidencia descarta el resto de las reglas. No, eso es sólo para los target ACCEPT, REJECT y DROP. Los demás targets pueden retornar, y en particular el MARK y LOG siempre retornan. osea, el paquete entra y a la primera regla que concuerde se aplica la accion. por lo menos la tabla filter funciona de esa manera. Al parecer no se puede entregar una máscara para marcar solamente algunos bits del paquete (que parece es lo que intentas hacer), pero lo que sí se puede hacer es marcar la conexión (utilizando máscara para modificar sólo algunos bits) y luego se puede aplicar la marca de la conexión al paquete. En realdidad no he intentando marcar conexiones. Lo que hago es marcar paquetes y redirijir los paquetes con dicha marca a una ruta especifica. No encontre ningun inconveniente en hacer eso y hasta aqui el trafico hace exactamente lo que deseo (dependiendo del origen lo mando por uno de los 3 gateways) Se puede jugar un poco con reglas como estas, eliminando o modificando el orden de las tres primeras: iptables -A PREROUTING -i eth0 -j MARK --set-mark 1 iptables -A PREROUTING -i eth0 -j MARK --set-mark 2 iptables -A PREROUTING -i eth0 -j MARK --set-mark 3 iptables -A FORWARD -m mark --mark 1/1 -j LOG --log-prefix mark 1: iptables -A FORWARD -m mark --mark 1 -j LOG --log-prefix mark solo 1: iptables -A FORWARD -m mark --mark 2/2 -j LOG --log-prefix mark 2: iptables -A FORWARD -m mark --mark 2 -j LOG --log-prefix mark solo 2: Jen, no entendi tu ejemplo. Parece q no me explique bien antes. Es para que hagas ejemplos. Si piensas que la primera regla que calza manda y luego el resto no se ejecuta, intenta con: iptables -A PREROUTING -t mangle -i eth1 -j MARK --set-mark 1 iptables -A PREROUTING -t mangle -i eth1 -j MARK --set-mark 2 iptables -A FORWARD -m mark --mark 1/1 -j LOG --log-prefix mark 1: iptables -A FORWARD -m mark --mark 1 -j LOG --log-prefix mark solo 1: iptables -A FORWARD -m mark --mark 2/2 -j LOG --log-prefix mark 2: iptables -A FORWARD -m mark --mark 2 -j LOG --log-prefix mark solo 2: Y verás que se registra la marca 2 y no la 1. Al revés lo mismo, se registrará la marca 1 iptables -A PREROUTING -t mangle -i eth1 -j MARK --set-mark 2 iptables -A PREROUTING -t mangle -i eth1 -j MARK --set-mark 1 iptables -A FORWARD -m mark --mark 1/1 -j LOG --log-prefix mark 1: iptables -A FORWARD -m mark --mark 1 -j LOG --log-prefix mark solo 1: iptables -A FORWARD -m mark --mark 2/2 -j LOG --log-prefix mark 2: iptables -A FORWARD -m mark --mark 2 -j LOG --log-prefix mark solo 2: Con eso verás que efectivamente al saltar a la cadena MARK se ejecuta lo que se pide y después se continúa con la siguiente cadena. La idea es asociar la marca a una tabla de ruteo especifica- Ej: ip rule add fwmark 2 table tabla1-enlace-hiperveloz ip rule add fwmark 1 table tabla2-enlace-medio ip rule add fwmark 3 table tabla3-enlace-lento Ojo entonces con poner una marca 3, porque viendo el mismo ejemplo: iptables -A PREROUTING -t mangle -i eth1 -j MARK --set-mark 3 iptables -A FORWARD -m mark --mark 1/1 -j LOG --log-prefix mark 1: iptables -A FORWARD -m mark --mark 1 -j LOG --log-prefix mark solo 1: iptables -A FORWARD -m mark --mark 2/2 -j LOG --log-prefix mark 2: iptables -A FORWARD -m mark --mark 2 -j LOG --log-prefix mark solo 2: Resulta que tanto el 1 como el 2 están seteados. Sugiero poner múltiplos de 2 para las marcas y así te evitas la ambigüedad. Saludos, -- Jens.
tabla mangle y rutas multiples
Miguel Oyarzo wrote: Pero segun lo que mencionaste antes, entiendo que la tabla filter usa comparaciones (matches) y no retorna el trafico (por eso necesita las reglas defaul al final) ... en cambio en las tablas mangle la ultima cadena sobreescribe a la primera (retorna como tu dices ... aun que te prometo que no te entiendo bien a que te refieres con eso, veo q senalaste una diferencia clave) A lo que me refiero con retornar es que, incluso en la tabla filter, puedes tener una cadena que retorne (ya sea usando el target RETURN o cuando ninguna regla calza). Es el equivalente a una función que retorna a la instrucción (regla en este caso) siguiente de la que invocó. De alli desprendo que las cadenas deben escribirse necesariamente AL REVES :) Concides o me equivoque en alguna parte? Si, al menos en este caso. -- Jens.
Acerca de Facturaluz Chile
Leonardo Martinez wrote: Srs. Hace ya bastante tiempo que deje de particiapr de forma anonima(leyendo) esta lista, pues bien como siempre decir que mientras estuve en el lado linux fueron mentores cada uno de ustedes. Despues de tanto halago, mi pregunta Hace un tiempo aca en la lista escuhe que habia un proyecto local de Facturalux, pues bien ahora tengo un cliente que necesita precisamente un soft como aquel, pero me encontre con la ingrata sorpresa que el dominio facturalux.cl http://facturalux.cl no esta en funcionamiento Me gustaria poder tener en mi poder la ultima version de este software. Agradecido por la ayuda que me daran http://chileforge.cl/projects/facturalux/ Mira en el CVS. Saludos, -- Jens.
Acerca de Facturaluz Chile
Miguel Angel Amador L wrote: sera el mismo pero con .org ? http://facturalux.org/ ?? La versión chilena es una modificación a la de .org (adaptado a las prácticas y reglas chilenas). -- Jens.
Convertir XML a PDF
Horst von Brand wrote: Jens Hardings [EMAIL PROTECTED] wrote: Edison Caprile Pons wrote: Alguien conoce o ha trabajado con alguna aplicación que a partir de un archivo XML ya generado se pueda convertir a PDF???.lo pregunto porque entre emisores electrónicos se envÃan vÃa mail documentos electrónicos tributarios (DTE) los cuales van en XML y que para un usuario normal no tiene ningún sentido y no los puede leer, en especial cuando se trata de generar pagos a partir de este XML recepcionado por mail... Si se puede. El XML contiene toda la información (al revés no se puede). Si mi memoria no me falla, en alguna parte de Chileforge.cl incluso hay una herramienta para hacer eso. Lamentablemente ahora no tengo el tiempo para buscarla... Busca por dte en los proyectos y revisa el contenido de los CVS. Cuidado, eso depende... XML es una mezcla extran~a entre Markup language (manera de poner marcas especiales que significan algo en el texto, Pero la pregunta va dirigida a un tipo de documento muy particular, especificado por el Servicio de Impuestos Internos de Chile: el DTE. Prácticamente todas las demás respuestas ignoraron ese punto. -- Jens.
[OT] FUAS...
Juan Carlos Muñoz Ilabaca wrote: Disque el Martes, 13 de Diciembre de 2005 10:58, Jens Hardings escribiosese: Juan Carlos Muñoz Ilabaca wrote: Y eso que tiene que ver con que el SO sea Linux??? de hecho si yo me preocupo de definir requerimientos para que las plataformas sean linux no guarda relación con que el cliente no pida que la aplicación sea W3C compliant no??? Además... hay que ir por partes... si menos del 1% de los usuarios usan FF en Chile, no hay justificación valida para hacerlo, salvo que sea estándar... y ser estándar incrementa los valores del producto, porque la aplicación fue hecha solo para explorer... Si fueron 91.000 los estudiantes postularon (y 35.000 los que por alguna razón no lo hicieron), eso significaría que es aceptable excluir al menos a 910 alumnos de poder postular. No estoy de acuerdo con eso. Si hay solamente un postulante que no puede participar porque el único acceso que tiene es por medio de un browser que no sea Internet Explorer, eso está mal y no lo debemos aceptar. Y si consideramos que para muchos (sobre todo de los que más necesitan las becas o créditos) el acceso a Internet es por medio de infocentros, y que varios de ellos no tienen forma de usar Internet Explorer, le estamos negando el acceso a la educación. Mis estadísticas (Apache) dan menos del 1% de usuarios tratando de usar FF, y yo no estoy tratando de justificar a los desarrolladores... yo no hago ni una sola aplicación que no sea W3C compliant... solo estoy dando un enfoque del JP de Mineduc... yo fui el primero en quejarme y dar mi opinión el las reuniones con respecto a los alcances de la compatibilidad del sitio. Claro, si yo estuviera interesado en postular, también me habría metido con IE dados los antecedentes. En tal caso, habría navegado por dos o tres páginas usando Firefox y el resto de mis accesos aparecerían como IE (sin mencionar browsers que mienten para hacerse pasar por IE). Sería como concluir que solamente el 1% de la población chilena es menor de edad basándose en una encuesta realizada dentro de un local apto sólo para mayores de 18... Por lo demás, las cifras de uso de Firefox en Chile son mucho más altas. Se habla de un 5% (de acuerdo a Almacenes Paris) hasta un 8% (http://www.argonave.com/francotirador/archives/2005/11/habemus_firefox.htm l), lo que equivaldría a 7.280 postulantes a becas y créditos. El uso depende del nicho y para este nicho es mucho menor... nadie de las personas a las que le di soporte en linea sabía lo que era un browser, por lo cual difícilmente iban a instalar FF Esa información está aún más sesgada: me parece sumamente natural que las personas que pidan soporte no tengan idea. Con mayor razón se debiera permitir que el sitio funcione con cualquier browser decente, porque de lo contrario los que ignoran lo que es un browser jamás van a poder saber por qué no les funciona el cuento. Hay estadísticas sobre cuántos de los que intentaron utilizar el sitio contactaron a soporte? Sobre lo del nicho (perdón por repetir el argumento del mail anterior pero me parece importante): el acceso a financiamiento para personas de bajos recursos no es un nicho de mercado, y es muy aberrante verlo así. Si hay un sólo colegio que ofrece a sus alumnos acceso a Internet y utilizan Linux, se les va a dejar fuera del proceso? Claro, en las estadísticas eso es mucho menos de un 1%, pero en la realidad, estás dejando un colegio completo fuera del sistema. Ahora imagina titulares basados en eso y quedará claro que el costo de hacer bien la aplicación es mucho menor al costo político... Ojo que no te pretendo atacar con esto, sino al contrario: ojalá que puedas tomar alguno de los puntos y convencer a quien tome la decisión que es importante hacer bien la pega, y no dejar las decisiones de acceso en manos de los que programan la aplicación. Ya con seguir la guía web del gobierno se estaría avanzando bastante en ese sentido. Saludos, -- Jens.
[OT] FUAS...
Juan Carlos Muñoz Ilabaca wrote: Concuerdo en parte con tu tema... pero me estoy poniendo muy abogado del diablo... la verdad es que si bien el tema es muy relevante en terminos de acceso para todos los chilenos que requieran postular... quiero que veamos el lado positivo... Linux está entrando fuerte... mientras mas fuerte entre... por la famosa ley del chorreo de buchi... vamos a tener mas cosas entrando de la misma forma... Es algo positivo sin duda. Pero de todas formas hay que verlo con mucha calma: no es fácil poder explicarle a una persona que tuvo sus momentos de nerviosismo al ver ese 500: server busy o el mensaje de error que daba, que eso fue problema de la aplicación y no del servidor. Por eso que yo por ejemplo no me atrevería a hablar públicamente sobre el gran desempeño de Linux en ese caso, porque lo que importa es el resultado completo. Y si hay algo que falla, es el sistema completo que se ve involucrado. Saludos, -- Jens.
[OT] FUAS...
Ricardo Mun~oz A. wrote: seria posible contactar algun colegio que tuvo ese problema y hacer justamente eso?? a muchos de aca no les deben faltar los contactos con periodistas... Werner publicó algo para lograr justamente eso, en la lista de Educalibre (http://listas.lcampino.cl/mailman/listinfo/educalibre). -- Jens.
[OT] FUAS...
Juan Carlos Muñoz Ilabaca wrote: Hagamos algo mejor... yo no cuento mis esfuerzos por que se hagan proyectos grandes en OS y así nadie se preocupa si no es como les gustaría que fueran... Este es mi último comentario de este hilo... No te tomes esas críticas a modo personal. Quedó bastante claro que tú no tuviste que ver con la aplicación y que incluso diste tus argumentos para que se hiciera correctamente, lo que está muy bien. Ahora, si no te hicieron caso, el hecho que se haya hecho una parte en Linux no obliga a nadie a ignorar errores. Al contrario: imagina que ahora llegue alguna empresa a alegar que al utilizar open source se genera una serie de problemas y nosotros tratamos de tapar eso solamente porque corrió sobre servidores Linux... no es la idea, verdad? -- Jens.
ningun browser navega
Muad'Dib wrote: Ping al gateway: Ok. Ping a www.yahoo.com: Ok. dig a www.yahoo.com: Resuelve ping a los demás equipos de la red: Ok. Acceso servidor NTP en Internet: Ok. Los únicos servicios que no funcionan son el Wheather Report y navegar vía browser o telnet al puerto 80, por ejemplo hacer un telnet www.yahoo.com 80 funciona en los demás y no en este equipo, lo mismo al navegar, sea con Mozilla o Firefox; lo único en decir Done en la barra de estado pero no despliega nada. Imagino que dejé alguna escoba con el puerto 80 de ese equipo, pero iptables no está corriendo y no logro encontrar el problema. Has mirado lo que efectivamente pasa por la red (Ethereal, tcpdump)? Sería útil saber si efectivamente el paquete sale de hacia la red, si vuelve alguna respuesta, y ojalá mirarlo desde algún segmento que esté en el camino, no del mismo computador. O sino intenta un cambio de IP, por ejemplo intercambiar ese equipo con algún otro que ahora esté funcionando, incluyendo su configuración de red. Con eso puedes comprobar o descartar que el problema sea del equipo o bien de una regla de algún router en el camino. -- Jens.
Hay algo igual a Exchange??
Edison Caprile Pons wrote: Hola Lista: Estoy en busca de alternativas que se asimilen a EXCHANGE de Microsoft pero en su versión OPEN, que maneje libreta de direcciones, delegados y se acople a un dominio NT o WIN2000tal cual como el famoso Exchange, no me reten por esto pero la opción de cambiar todo a linux la han dilatado por ser una opción radical, pero bien, como no soy dueño de las lucas debo buscar alternativas. Mi experiencia es que si quieren algo idéntico a Exchange mejor se queden con Exchange. Es posible proveer todo lo que quieren utilizando varias herramientas libres, pero siempre van a encontrar algo que no sea idéntico y por lo tanto no va a cumplir con sus expectativas. Eso a pesar que se pueda argumentar que incluso la alternativa es mejor, pero claramente no están buscando algo mejor, sino algo idéntico a Exchange con el beneficio adicional que sea gratuito. Si están dispuestos hacer un cambio, se les puede ofrecer cambiar algunas de las herramientas solamente, y ver cómo se comporta? Pueden pasar la libreta de direcciones a OpenLDAP o algo por el estilo mientras siguen igual, luego pueden optar por mejorar el servicio de SMTP, y finalmente las agendas. -- Jens.
Nombres de dominio con acentos
Cristian Rodriguez wrote: El 11/11/05, Miguel Oyarzo O.[EMAIL PROTECTED] escribió: Cual seria la razon de la estupidez de la idea? Miguel Oyarzo INALAMBRICA S.A. Punta Arenas http://cr.yp.to/djbdns/idn.html Postula primero cambiar _todo_ el software relacionado con DNS en _todo_ aparato conectado a Internet, y luego hacer el cambio. En otras palabras, nunca haremos el cambio. http://www.shmoo.com/idn/ Señala el problema de permitir _todos_ los caracteres UTF, cosa que ya no se da por dos razones: 1. los browsers han tomado medidas para evitar eso 2. los TLD no aceptan _todos_ los caracteres UTF, solamente los que tienen sentido. En el caso de Chile, son á, é, í, ó, ú, ü y ñ. Ni más ni menos. http://support.microsoft.com/default.aspx?scid=kb;en-us;842848 ( vade retro ¡¡ xD) IE no soporta IDN no es un argumento. http://weblogs.mozillazine.org/gerv/archives/007562.html El punto 2 que se menciona ya está disponible, así que es noticia vieja. Por el punto de que el NIC va a tener mayores ingresos es lo de menos. Si uno quiere tener todos los dominios y combinaciones posibles para evitar algún mal uso del nombre, los abogados que se encargan de proteger marcas se han encargado de demostrar que se tiene que invertir bastante, sin que hayan existido tildes antes. Y la solución alternativa es básicamente adaptar el idioma a lo que la red permite, y no modificar eso último... no me parece una solución apropiada. -- Jens.
separar subredes usando iptables
[EMAIL PROTECTED] wrote: Miguel Angel Amador L [EMAIL PROTECTED] wrote: [...] mmm Iptables ? # Regla por defecto para forward iptables -P FORWARD DROP N!!! REJECT, /nunca/ DROP! Y eso seria por...? (o sea, que avise, ok, pero cual es la ganancia?) Porque si intenta conectarse pero no pasa nada al perderse los paquetes: 1. reintentará durante varios minutos 2. buscará ayuda técnica para resolver el problema 3. se perderán muchas HH buscando el problema, para finalmente encontrarse que era un tema de políticas de las cuales ya todos se habían olvidado En caso de avisar, el ususario recibirá un aviso instantáneamente que falló la conexión, y al revisar en mayor profundidad será obvio el problema. No es posible confundir eso con problemas en la red. -- Jens.
Problemas con GTK
Alvaro Gajardo wrote: El soporte de Java en Linux es bastante precario, particularmente en areas graficas. El cuento de portabilidad de Java es (a) mentira, (b) costoso Y finalmente, Java es un lenguaje horrible de malo. por que razón. has hecho un código en java escrito en linux y después lo has tratado de compilar en windows ???... Por lo menos a mi no me a funcionado varias veces, pueden decir que es muy multiplataforma pero eso es hasta por ahi solamente... Mi experiencia es distinta... he trabajado en proyectos de más de 278.000 líneas de código, y hacerlos funcionar en Unix al mismo tiempo que en Windows (donde se hizo el desarrollo inicialmente) fue un esfuerzo moderado (entre 20 y 40 horas, no estaba tomando el tiempo). Claro, no es que funcione automágicamente, hay que tener ciertas consideraciones... En aplicaciones web es potente. Para que ??? tienes php y apache... Hasta donde se php tambien trae orientación a objetos... y además puedes controlar puertos... en java no se puede hacer eso tan facilmente... Una cosa es que php traiga orientación a objetos y otra muy distinta es que exista toda una infraestructura como J2EE, con servidores de aplicaciones, estandarización de aplicaciones web para que sean portables, toda una infraestructura para componentes, clustering para alta disponibilidad y/o distribución de carga, ... swing es bastante malo.(extremadamente pesado) Por lo general java es malo Parece que no me llegó el mail completo, porque aquí esperaba encontrarme con algún argumento... -- Jens.
Lentitud Servicios !!!
angelo astorga wrote: Hola lista, tengo una aplicacion en linux + apache + php + postgresql, corriendo en un server... No entiendo el porque¿?, de cada vez que se cae internet (ADSL), dicha aplicación se vuelve lenta y casi inoperativa... a algún indicio o papita de donde esta el problema?? Algo o alguien intentando resolver nombres de dominio tal vez? Se debieran agregar los necesarios a /etc/hosts y/o configurar apache para que no resuelva los nombres al escribirlos al log, eso se puede hacer después si se quiere. -- Jens.
Sobre Encuentro Linux 2005
Ricardo Mun~oz A. wrote: El mar, 04-10-2005 a las 09:41, Juan Carlos Inostroza escribió: On Tue, 2005-10-04 at 09:07 -0400, Alvaro Herrera wrote: Hay 19 exposiciones programadas ... Y varias que no llegaron. como saben la cantidad de exposiciones y si alguna no llego si la web del Encuentro no indica nada?? Germán es parte del comité evaluador (http://www.ubiobio.cl/~gpoo/weblog/archives/000416.html). Por lo que puedo interpretar del mail de Juan Carlos (agregando información de http://jci.codemonkey.cl/index.php/2005/10/03/teeest), el habría enviado una propuesta y nunca le llegó respuesta: ni aceptación ni rechazo, ni solicitud de subir su presentación al sistema openconf que se está usando para coordinar al comité evaluador. Por lo tanto, pareciera que su postulación nunca se evaluó (yo no tengo suficiente información para verificar eso, a pesar de que también estoy en el comité evaluador). Supongo que las dudas se despejarán cuando se haya actualizado la información en la página del encuentro (que ojalá sea lo antes posible). De todas formas no me parece sano estar generando FUD con denuncias indirectas o a medias. Todos tienen derecho de criticar, y ojalá dar la mayor cantidad de antecedentes posible cuando lo hacen. De esa manera se pueden superar los conflictos y/o superar errores de la mejor manera. -- Jens.
Busco mirror chileno con iso DVD Fedora Core 4
Alvaro Jiménez wrote: Hola a todos, como dice el subject busco un ftp chileno que tenga el DVD iso de Fedora 4, el tema es que el bittorrent no me sirve de mucho porque estoy en una zona bloqueada. Curiosamente busque en varios ftp y estan sólo los iso para CD, incluso en la pagina fedora.redhat.com no aparece link a tal version del iso aun cuando la mencionan y efectivamente esta dentro del servidor: http://download.fedora.redhat.com/pub/fedora/linux/core/4/i386/iso/FC4-i386-DVD.iso ftp://download.fedora.redhat.com/pub/fedora/linux/core/4/i386/iso/FC4-i386-DVD.iso Mi intencion es sacarlo desde un ftp de chile o cercano, ya que bajarlo desde fedora es muy lento. ya busque en ftp.frag.cl, ftp.inf.utfsm.cl, linux.udec.cl, ftp.rdc.cl y otros que no recuerdo ftp://mirrors.csol.org/fedora/linux/core/4/i386/iso/FC4-i386-DVD.iso (solo disponible via ftp y rsync, via http no se ve el archivo por una limitación de apache 2.0) No sé si te va a funcionar muy rápido eso sí, está bastante alto el uso de ancho de banda por el momento... Una alternativa es encargarlo en http://wiki.tux.cl/doku.php/recursos/venta_distribuciones Saludos, -- Jens.
duda sobre tunel ssh por squid
[EMAIL PROTECTED] wrote: he intentado con httptunel y dejando el servidor de ssh atendiendo por el 443, alquien sabe cual es el funcionamiento real de squid, me refiero si cuando trata de accesde a un 443 piensa en peticiones HTTP No solo piensa en peticiones HTTP, sino que efectivametne son peticiones http. Lo que tienes que hacer no es poner ssh atendiendo por el 443, sino más bien hts atendiendo por cualquier puerto (idealmente el 80, pero ese probablemente estará ocupado con un httpd de verdad). hts es el programa para crear el tunel por el lado del servidor, y si lo ejecutas como hts -F localhost:22 80 va a redirigir el tráfico desencapsulado hacia el port 22 (ssh) local. En el cliente ejecutas htc con los parámetros que correspondan y luego al hacer algo como 'ssh localhost' te conectarás al servidor ssh del servidor externo, pasando a través del proxy. Saludos, -- Jens.
Consultas del tipo query IN AAAA
Pablo Silva wrote: Por qué se hacen consultas del tipo IPv6?, si no tengo nada configurado en el server. Me gustaría eliminar este tipo de consultas (IN ), de antemano muchas gracias por sus indicaciones. Esas consultas las hacen los clientes, así que no puedes evitarlo en el server. Puedes desactivar ipv6 en el cliente respectivo para que deje de intentar por esa vía. -- Jens.
Articulo en El Mercurio (de Valpo) : ¿Market ing o campaña social?
No.Spam.Lists wrote: Franco Catrin wrote: ¿Marketing o campaña social? http://www.mercuriovalpo.cl/prontus4_noticias/site/artic/20050819/pags/20050819025202.html Disculpa Franco por mi ignorancia, pero que es un flame? Preguntas/comentarios: 1. De verdad no han habido propuestas anteriores a esta campanya de ofrecer un pc mas economico?; Pero es que no es un pc mas economico... es un pc a 10 lukas (20 us$ aprox, el pago mensual) y un pc que no requiere tener cuenta bancaria. El efecto que eso último produce en términos de masa es bastante importante. No importa que alguien pueda ofrecer un PC a 5 lukas pero pagando con tarjeta de crédito, porque el mercado objetivo es justamente gente que no tiene tarjeta de crédito, pero en general sí tiene acceso a tarjetas de las grandes tiendas. (No es que yo encuentre que eso sea bueno o malo, son los hechos.) 2. En lo personal he observado que en el Persa Bio-Bio las ofertas abundan; Si, pero para acceder a esas ofertas necesitas pagar al contado, con cheques o con tarjeta de crédito (además de estar en Stgo, que es otro tema), o sea que es una oferta a la cual pueden acceder los menos de 2 millones de cuentacorrentistas de la banca privada en Chile. Mi Primer PC apunta a los restantes 14 millones de personas... -- Jens.
Software para simulacion de redes
Alvaro Herrera wrote: On Thu, Sep 08, 2005 at 11:39:52AM -0400, Marcos Ramirez A. wrote: Y si usas un programa que simule uno de los extremos? Podria hacer eso, pero primero tendria que decodificar el protocolo de Spread y implementarlo practicamente todo de nuevo :-( No puedes hacer que Spread en vez de tirar su i/o a través de un socket de red en realidad use un socket local (named socket por ejemlo) y así le enchufas un man-in-the-middle que pueda modificar esas comunicaciones? Si el código de Spread no coopera, entonces al menos debieras poder usar iptables para redirigir ciertos paquetes (incluso aleatoriamente) a un programa en user-space que altere ese paquete usando la API de libipq (me parece que dummynet no permite alterar paquetes) y finalmente encolar esa versión modificada. Ver el target QUEUE de iptables. Saludos, -- Jens.
gzip
Juan Rojas wrote: ya lei el man por si acaso, tengo dudas respecto del comando gzip, existe algun limite respecto al achivo a comprimir cual es? No hay límite, y tampoco es necesario conocer el largo a priori. Pueden haber límites por otros lados, como el sistema de archivos donde quieres guardar el resultado. Saludos, -- Jens.
Maldito MSN porfis
Felipe Navarro V. wrote: intentaste bloquear passport.net ? Hay más usos de passport.net que solamente la utilización de MSN. Ese bloqueo _VA_ a traer consecuencias en algún momento. De acuerdo a Murphy, será justamente en el momento en que nadie se acuerde de ese bloqueo (cuando por lo demás MSN va a estar funcionando de alguna otra forma) y por lo tanto la solución requerirá muchas horas de investigación descartando todas las posibles fallas. -- Jens.
Costos L_v/s_W
Marcos Ramirez A. wrote: Es parte de la campaña: Estan equiparando el uso de software sin licencia (aka pirata) con el uso de articulos no originales, por ejemplo, un remedio, donde la calidad del producto falsificado usualmente dista mucho de la del producto original, e incluso llega a ser nocivo. No por nada las EULAS dicen este programa es /original/ y no este programa cuenta /con licencia/ de uso. Para el FUD, cualquier cosa sirve. Pero el que lo dice es la cámara nacional de comercio de Chile (repitiendo lo que dice IDC, pero de todas formas le están dando algún nivel de validación al hacerlo), y me parece muy grave que ellos se presten a propagar mentiras sin fundamento solamente porque a algunos de sus afiliados les conviene que la gente las crea. Una cosa es FUD, que se podría decir incluso que es una estrategia de marketing aceptable... Pero andar inventando ese tipo de cosas no tiene ninguna justificación. -- Jens.
Maldito MSN
[EMAIL PROTECTED] wrote: Holas: Aunque es una gran fuente de entretencion y comunicacion el famoso Messenger, la verdad es que a mi me está dando dolor de cabeza. No se como bloquearlo. Tengo squid para compartir internet, denegar sitios, denegar algunas descargas, etc, pero el msn, snifff, nada de nada. He probado con algunos tips acerca de iptables pero no me funcionan. ¿Alguien que haya sufrido lo que yo pero ahora esté aliviado? Gracias Supongo que la solución va por el lado de capa 8: convencer a los usuarios que trabajar en vez de estar todo el día chateando puede mejorar notablemente su permanencia dentro de la empresa, o que los estudiantes que en vez de poner atención en clase se distraen en conversaciones por msn van a tener mejores notas si dejan eso de lado, etc. Impedirles acceder a esos servicios por medio de restricciones técnicas (complejas de implementar bien por lo demás), hará que se busquen otra entretención pero nunca va a solucionar el problema real, que no es técnico. Si el problema es que se gasta demasiado ancho de banda en eso (cosa que dudo), se puede implementar un traffic shaper que permita reservar una fracción para MSN y dejar los servicios necesarios con su porción garantizada. Saludos, -- Jens.
se viene la ñ, a partir del 21 de septiemb re a las 11.00
Julio Retamal Rojas wrote: Buen comentario es verdad... que pasa si esos MTA o BIND (DNS) no lo soporta Los MTA y DNS nunca se enteran, para ellos ñandú.cl es simlemente xn--and-6ma2c.cl. Los que se encargan de crearle la ilusión al usuario final de que el dominio se llama ñandú.cl son las aplicaciones que usa el usuario final (cliente de mail, browser, ...), pero sigue siendo una ilusión... -- Jens.
Diskette a CD
Jorge Valenzuela wrote: Hola: Es posible pasar un diskette booteable a un cd booteable ? como ? Si, no solo es posible, sino que según recuerdo es la forma standard de crear un cd booteable. Si usas mkisofs, indicas cuál es la imagen del diskette usando la opción '-b'. -- Jens.
Mi primer pc
Julio Retamal Rojas wrote: Las fuentes de financiamiento son las siguientes: Gobierno de Chile Fundación Bill Melinda Gates; Microsoft Chile; DIBAM; Municipalidades. Ahi esta el problema Mocosoft anda metido en todo... Ese no es el problema. El problema es que el software libre / open source no está metido. Microsoft tiene derecho a meterse donde quiera. Es cierto que por lo general está al filo de lo que es legal, y en algunas ocasiones ha traspasado la frontera, pero el problema no se soluciona por la vía de sacar a Microsoft del camino... -- Jens.
Mi primer pc
Julio Retamal Rojas wrote: Eso de los dardos no te acompaño mucho en tu opinion ya que el gobierno tambien es partidario de este proyecto por apoyar a esas empresas y recuerda que Microsoft entrego codigo de windows al gobierno para mejorar el SO a nivel de gobierno asi que Microsoft ya logro infectar al gopbierno... Microsoft no le ha entregado código de windows a nadie. Hay un programa en el cual Chile toma parte, algunas personas seleccionadas (no me acuerdo exactamente cuántas, pero no más de 10) pueden presentar un plan de trabajo a Microsoft mediante el cual pueden estudiar alguna parte del código de productos Microsoft. El código no se les entrega, se da permiso para que usen un computador conectado a Redmond donde se despliega el código, pero ellos no pueden grabarlo ni hacer anotaciones, menos modificarlo o compilar algo. No sé si alguno de los potenciales candidatos ha efectivamente visto algún código, porque en realidad no tiene mucho sentido bajo esas condiciones... la mayor ventaja de estar en ese programa es que cualquier duda técnica que tengan sobre alguna aplicación la pueden enviar y tendrán un experto que les conteste dentro de un plazo determinado. Claro, los que quieren ver el código de Microsoft no van a poder trabajar en su área por una buena cantidad de años, pero eso es todo lo que hay en cuanto a infección. Hay muchas personas en el gobierno a los que les gustaría tener mayor presencia de software libre / open source, supongo que habrá algunos que lo ven con temor, y la mayoría que no tiene la más mínima idea, tal como sucede fuera del gobierno también. Lo que ellos ven es que alguien se acercó a ellos, con una propuesta que puede eventualmente aportar a reducir la brecha digital. Si funciona o no en realidad no es tan importante, primero porque eso se va a saber recién después de las elecciones, y al menos ellos hicieron algo por apoyar la iniciativa. Si alguien llega con una iniciativa basada en software libre, también la van a apoyar, pero siempre y cuando la vean como una propuesta seria y que al menos parezca ser factible. -- Jens.
Linux + UPS + Regulador de Voltaje
Francisco Collao Garate wrote: blackbeer wrote: si en el shutdown command del script de apagado pongo halt, el sistema se inicia automaticamente al volver la energia? Esto es asi? Para que el equipo inicie con la energia, debes configurar su bios y decirle en el tema del Power, que siempre encienda cuando tenga energia, en otras palabras que quede siempre encendido, de esa manera cuando llegue la encergia al pc este se encienda. Me parece recordar que para los casos de restaure el estado anterior cuando vuelva la energía, que es el más común de encontrar, generalmente es posible dejar el computador prendido, y configurar el halt de forma que en vez de apagar el computador le diga a la UPS que corte la energía cuando ya esté todo abajo. De esa forma, el estado hasta el corte de energía va a ser prendido y cuando vuelva la energía el computador volverá a encenderse. La gracia de usar equipos hechos para ser servidores es que facilitan configurar ese tipo de detalles a nivel de BIOS y demases, los PC para la casa pocas veces permiten la configuración exacta que uno quiere. Saludos, -- Jens. From [EMAIL PROTECTED] Thu Jul 7 15:59:55 2005 From: [EMAIL PROTECTED] (Rodrigo Flores) Date: Thu Jul 7 15:53:50 2005 Subject: FedoraCore4 no quiere instalarce In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Sres muy buenas, tengo el siguiente problema. Aprovechando el cambio de lado (fin de semestre) baje las iso de FC4 las queme y agarre un disco por ahi de un pc para instalar sin correr riesgos de instalar en mi actual fc3 y quedar fuera. Bueno mi sorpresa fue grande cuando me dijo: no ram disk found seguido de una serie de direcciones y nombres asociado a esas direcciones y luego se congela. Probe cambiando disco y nuevamente lo mismo, queme nuevamente el FC4 dissco 1 por si las moscas y nada. Alguien tiene antecedentes, se de rumores parecidos pero nada que me de luces Cualquier aporte desde ya gracias Si fuera fierro no estaria funcionando fc3? -- Rodrigo Flores [EMAIL PROTECTED] Universidad
SMS con linux.
Sergio Palacios wrote: Telefonica tenia un servicio de envio de emails gratis, eso si, todo el msg debia ir en el subjet, el cuerpo vacio. Era un simple mail , me llegaba al mail como sms, todo lindo, todos eramos felices, hasta que movistar cerro el servicio, ahora es pagado, 50$ por mail. El tema es que muchas veces uno quiere que le lleguen avisos de problemas en los servidores. En tal caso, depender de que funcione una serie de sistemas de desconocida disponibilidad es mala idea. Sobre todo si en general las fallas pueden ser gatilladas porque se cayó la conexión, el servidor de mail, etc... Por eso que las soluciones de un celular conectado via cable serial son atractivas, ya que solamente se depende de la red celular, que uno tiene la remota esperanza que es relativamente independiente del resto de las fallas (aunque en algunos casos, es justamente la misma). Saludos, -- Jens.
consulta chmod 666 ttyS0
Muad'Dib wrote: Estimados, Para poder sincronizar my Palm usando jpilot cambio el permiso del puerto serial usando chmod 666 /dev/ttyS0 y funciona sin problemas; sin embargo cuando vuelvo a bootear el equipo, los permidos están en 660 y debo cambiarlos nuevamente. Esto no me pasaba antes de instalar FC3 y en San Google no encontré ninguna referencia. FC3 usa udev, así que lo que ves como /dev es en realidad un filesystem que solo existe en memoria. O sea, ningún cambio que hagas ahí se traspasa a disco. Para dejar los permisos seteados, tienes que modificar /etc/udev/permissions.d/50-udev.permissions Saludos, -- Jens.
software opensource
Troy Anonimous wrote: Hola como estan, quisiera hacerles una pregunta y se que sera muy extensa de responder pero necesito unos lineamientos. Estoy preparando una presentacion para la gerencia donde indico cuales son los programas opensource mas usando y necesito darles por lo menos 40 ejemplos para que ellos despues tranquilamente los lean. lo que mas o menos indique son estos si alguien me ayuda con nuevos soft opensource se lo agradezco. saludos sendmail, webalizer, iptables, mailscanner, spamassassin, apache, openwebmail, squid, ntop, gaim, openca, openssl, b2(blogger), jabber, ldap, mysql, openh323, mailman, phpnuke et alls, tripwire, nessus, snort, acid, shorewall, openoffice. pero no se me ocurre mucho mas alguien que tenga algunas ideas de soft relevante y que sea opensource? puede ser tanto para server como para cliente. gracias Puedes mirar las Directrices IDA de migración a software de fuentes abiertas (http://europa.eu.int/idabc/en/document/2623/5585#migration). Además de citar muchos paquetes disponibles, da detalles y recomendaciones sobre su uso, clasificado en categorías. Saludos, -- Jens.
Dominio en web
Wilson Acha wrote: Como podria habilitar un dominio para acceso en la web de la forma: http://usuario.empresa.com cuando cree un usuario en el sistema Tengo entendido que hay que modificar la configuracion de apache para lograr: http://www.empresa.com/~usuario, pero ahora la idea es que la referencia al usuario vaya al principio y no al final. Puedes usar algo como esto como base: VirtualHost *:80 UseCanonicalName off ServerName empresa.com ServerAlias *.empresa.com VirtualDocumentRoot /home/%1/public_html VirtualScriptAlias /home/%1/cgi-bin /VirtualHost Saludos, -- Jens.
Direcciones ip en servidor dns ...
Leonardo Soto M wrote: El vie, 06-05-2005 a las 00:43 -0400, Jens Hardings escribió: [...] También se usa poner registros A directamente, donde simplemente se repite el número IP. Inicialmente se desincentivaba eso, justamente para permitir un mapeo 1 a 1 entre un nombre canónico y una IP. Pero ha demostrado ser menos problemático usar varios registros A en general. Recuerdo haber leido tambien en algun otro lado (DNS Howto?) aquello de que era mejor usar hartos A apuntando a la misma IP que un solo A y CNAME para todo el resto. Cual es la razon? El tema es que los CNAME son jodidos: si tienes un CNAME, no puedes tener otro registro para ese mismo nombre por ejemplo. Y tampoco está permitido poner un CNAME que apunte a un nombre que a su vez es un CNAME, pero esos casos se dan, sobre todo cuando un administrador controla el primer CNAME, que inicialmente está apuntando a un nombre que tiene registro A, pero luego el otro administrador que controla ese registro decide cambiarlo por un CNAME. En última instancia, es menos eficiente, porque implica en general más consultas: primero averiguas el nombre canónico y luego la dirección de ese nombre canónico, en cambio con varios registros A tienes siempre el resultado final en la primera serie de consultas. Y como resolver estás obligado a seguir varios CNAMEs si alguien no sigue la prohibición de tener varios niveles de aliases (un CNAME apuntando a otro CNAME), y por lo tanto tienes que lidiar con potenciales problemas como ciclos, etc. En teoría los CNAME son la mejor solución. En la práctica, lidiar con los problemas que surgen (generalmente a través de la mala aplicación, pero que es difícil de controlar) hacen que sea mejor solución agregar varios registros A. Es la vieja paradoja de la teoría y la práctica. En teoría no hay diferencia entre ambas, pero en la práctica esa diferencia puede ser abismante ;-) -- Jens.
Direcciones ip en servidor dns ...
Germán Poó Caamaño wrote: En teoría los CNAME son la mejor solución. En la práctica, lidiar con los problemas que surgen (generalmente a través de la mala aplicación, pero que es difícil de controlar) hacen que sea mejor solución agregar varios registros A. El problema es que para cada registro A se debe tener su correspondiente registro PTR. Si tienes varios nombres con registros A apuntando a una misma dirección IP, entonces n-1 asociaciones nombre-IP se quedan si su asociación IP-nombre. Tiene relevancia cuando tienes servicios que verifican que el reverso tenga coherencia con el nombre. Típicamente tcp-wrappers y servidores de correo. En general funciona. Lo que se revisa al recibir conexiones es que al hacer las consultas IP - nombre - IPs, el resultado de las IPs (registros A o ) entregados en la segunda incluyan la IP por la que se consultó inicialmente. Eso nunca deja de funcionar por el hecho de agregar más registros A que no tienen su correspondiente registro PTR en in-addr.arpa. En el caso que el que inicia la conexión quiere verificar la correspondencia via nombre - IP - nombre, ahí sí pueden encontrarse problemas. Pero en la práctica existen mejores formas de verificar que un receptor es confiable, y no he visto situaciones en las cuales efectivamente se haga ese tipo de chequeos a nivel de servidores de mail. Lo que sí se verifica es que el mailer daemon salude indicando el nombre canónico correspondiente a su(s) IP(s), pero se acepta que el registro MX sea un host con un registro A cuyo PTR correspondiente apunte a un nombre canónico diferente. Coincido en que es feo, pero algún costo había que pagar ;-) -- Jens.
Trabajo de espia
Rodrigo Gutierrez Torres wrote: Dicho en términos simples, el empleador puede regular cuándo puedes revisar el correo, cuantas veces e incluso desde qué máquina; pero establece claramente la naturaleza privada de los correos electrónicos, enviados y recibidos, de igual modo que ocurre con la correspondencia tradicional, lo que está protegido constitucionalmente (artículo 19, Nro 5). Pero también pueden estipular que no está permitido hacer uso privado de una dirección de correo electrónico entregada por la empresa. En ese caso no sería ilegal hacer monitoreo (siempre y cuando los empleados estén debidamente informados de qué monitoreo se hace, que no sea discriminatorio, etc, y hayan aceptado esas condiciones), porque no habría legítimamente ninguna correspondencia privada. Claro que en el caso de la pregunta original, me da la idea que se refiere a accesos a un webmail que no es provisto por la empresa, eso ya es más delicado aún... En fin, a un empleado en ese caso lo pueden echar perfectamente por hace uso indebido de recursos proporcionados por la empresa para fines estrictamente laborales (el tiempo y la conexión), si eso está claro en los reglamentos internos. Y el empleador es el responsable por demostrar que se hizo un uso indebido, así que cierto nivel de control es necesario, sobre todo considerando por ejemplo que la empresa puede ser responsable de las acciones de los empleados en el ejercicio de sus funciones. -- Jens.
Direcciones ip en servidor dns ...
Horst von Brand wrote: Jens Hardings [EMAIL PROTECTED] dijo: Horst von Brand wrote: [...] CNAME significa indireccion (o sea, en principio dos consultas: Por el nombre, y por el CNAME). Aunque dudo que influya mayormente en la practica. Y me extran~aria que el NS del caso no de la informacion completa de una vez como simple cortesia, asi que... En todo caso, por lo que se el tener varios nombres con la misma IP siempre fue, sigue siendo, y nada indica que dejara de ser, totalmente ilegal. Si alguien puede citar capitulo y verso (i.e., RFC) que contradiga eso, soy todo oidos. RFC 2219, sección 5 (DNS server configuration). OK. Es un Best current practice, no un standard per se. Cito: An alternative approach would be to create an A record for each of the IP addresses associated with ph.hivnet.fr, e.g. Cierto, no lo releí con suficiente detalle cuando lo revisé :-( Pero es un error que diga eso, porque en ese párrafo supuestamente explica la alternativa a usar varios CNAMEs para indicar en qué máquinas están los servicios comunes (ftp, www. gopher, ...). Uno de los párrafos está mal, ya que en el caso de usar CNAMEs claramente no se está asignando más de una dirección a un mismo nombre, sino al contrario: más de un nombre a la misma dirección. En el RFC 1912 se especifica qué significa tener un match entre registros A y PTR, y no exige que una dirección IP esté contenida en solo un registro A. Incluso en la sección 2.4 da un ejemplo donde dos nombres diferentes tienen la misma dirección IP en un registro A. -- Jens.
Trabajo de espia
Cristian Rodriguez wrote: El 6/05/05, Jose Miguel Vidal Lavin[EMAIL PROTECTED] escribió: ninguna ley interna de empresa esta sobre las leyes de cada estado, yo hice las consultas al abogado de la empresa donde trabajo y en ningun motivo se puede hacer eso, solo con orden judicial. exacto,los contratos civiles no pueden estar SOBRE la constitucion y las leyes de la republica. Yo no postulé nada que vaya en contra de la constitución ni las leyes. De hecho, según el código del trabajo, el empleador puede perfectamente emplear medidas de control. Claro que estas tienen que efectuarse por medios idóneos y concordantes con la naturaleza de la relación laboral y, en todo caso, su aplicación deberá ser general, garantizándose la impersonalidad de la medida, para respetar la dignidad del trabajador. (artículo 154). Si dejar una copia de cada correo saliente y entrante forma concuerda con la naturaleza de la relación laboral, entonces la ley lo permite. Algunos antecedentes de la dirección del trabajo: * ORD. Nº 363/21: El sistema de circuito cerrado de televisión instalado con fines de seguridad en la empresa Plásticos Warda S.A. no pondría en riesgo la honra y dignidad de los trabajadores por lo que no habría impedimento legal para su funcionamiento. * En Telefónica CTC Chile aplic(ba)an control antidroga a sus empleados, y eso está avalado (ateniéndose a ciertas restricciones) por el dictamen ORD. Nº 1560/76 (http://www.dt.gob.cl/legislacion/1611/article-62560.html) * Aquí un ejemplo que sobrepasa la honra y dignidad del trabajador y debiera quedar en manos de la policía: ORD. Nº 2060/176: No resulta jurídicamente procedente que la empresa Prosegur Ltda. ante el evento de producirse una situación anómala de tipo delictual, pueda exigir a su dotación de trabajadores someterse a la medida de revisión corporal y de sus efectos personales, por cuanto dicha exigencia reviste un carácter investigatorio y prepolicial que vulnera la garantía constitucional del respeto a la honra y dignidad del trabajador. Como ingeniero en general me resulta incómodo que todo esto en realidad no tiene ninguna conclusión definitiva, porque en cada caso es necesario evaluar la naturaleza de la relación laboral, entre otros mucho parámetros que cambian radicalmente de caso en caso. Esto es mucho más complejo que calcular un TCO, y en eso ya se puede concluir cualquier cosa... En fin, las leyes son así, y en el fondo eso es reflejo de lo complejas que son las relaciones entre personas. Probablemente este no sea el mejor lugar para discutir ese tema, recomiendo la lista de Derechos Digitales (http://listas.csol.org/mailman/listinfo/derechosdigitales). Saludos, -- Jens.
Direcciones ip en servidor dns ...
Jesus Aneiros Sosa wrote: pq esta mal la configuración? .. acaso si la misma no fuera publica como hace el servidor para devolver lo querido al hacer un query de dominio? Una cosa es responder a consultas y la otra transferir las zonas completamente. Es posible responder a las consultas sin tener la transferencia de zonas permitida a todo el mundo. Al menos asi funciona BIND 9 de manera implicita si mal no recuerdo. Es un tema sumamente relativo. Consideremos por ejemplo DNSSEC, que supuestamente agrega mayor seguridad, al ir firmadas las zonas y en todas las respuestas se pueden verificar critpográficamente las respuestas. Para lograr poder verificar efectivamente las respuestas negativas (para tal nombre no existe un RR de tipo XX asociado), es necesario agregar registros de tipo NSEC (antes llamados NXT), y ordenar las zonas alfabéticamente. De lo contrario, sería necesario firmar de antemano todas las posibles combinaciones de nombres y registros que a alguien se le podría ocurrir solicitar, lo cual no resulta demasiado práctico. El resultado es que con un par de consultas cualquier persona puede acceder a la información completa de la zona. Así que el ocultar la zona en realidad aporta bastante poco a mejorar la seguridad de una red (security by obscurity), y además entra en conflicto con otras mejoras a la seguridad (evitar cache poisoning entre otros) que aporta DNSSEC. Saludos, -- Jens.
Sincronizar hora
Jesus Aneiros Sosa wrote: On Sun, 1 May 2005, Jens Hardings wrote: Eso es una solución parche. ntpdate simplemente sincroniza en un Espero que ntpdate sea el equivalente del rdate de RH. Más o menos... ntpdate sigue el protocolo ntp especificado en el RFC 1305, en el cual se elige el mejor servidor de entre los disponibles en base a varios criterios cuidadosamente estudiados, considera las demoras y el jitter en la red, etc. rdate sigue el protocolo definido en el RFC 868, que es bastante más primitivo. Ahora, si vas a usar solamente ntpdate y no el resto del servicio de un servidor ntp, bien puedes quedarte con rdate. Total, con la precisión que tienen los relojes dentro de los equipos, al par de días da lo mismo si la sincronización inicial tenía una diferencia de 10 o de 600 ms, la hora va a andar por la luna de todas formas. instante del tiempo, y luego cada servidor sigue manteniendo su propia hora independiente del resto. En cambio, ntpd mantiene un seguimiento, Aqui lo unico que olvidas mencionar es la necesidad de configuracion/administracion de otro servicio. Creo que todo depende del grado de exactitud que se quiera en el ajuste. Claro, pero en una máquina con un uptime de cientos de días, un esquema como setear la hora al booteo (que quizás sirve para otros servidores que se deben rebootear con cierta frecuencia) deja de tener sentido. Es peor que tener un reloj análogo detenido: al menos ese da la hora precisa exactamente dos veces al día ;-) Y un desajuste de 1 segundo ya implica bastante trabajo a la hora de revisar logs generados por distintas máquinas. Un buen administrador es un hombre flojo (o mujer floja, no seamos sexistas), por lo tanto va a hacer lo posible por evitar ese trabajo extra, manteniendo los servidores a la hora. Si hay posibilidad de mantener una diferencia de menos de 20 ms, por qué no aprovecharlo? La implementación ya está hecha y la configuración es relativamente sencilla. Y te ahorras toneladas de trabajo y errores en momentos críticos (revisar logs no es lo que uno hace en pleno relajo dominguero, por lo general hay mucha presión involucrada). Saludos, -- Jens.
Direcciones ip en servidor dns ...
Jesus Aneiros Sosa wrote: On Thu, 5 May 2005, Miguel Oyarzo O. wrote: [...] A partir de un IP no puedes saber todos los DNSs publicos que lo apuntan. Por que? Que me impide pedir el registro ns para una determinada zona dentro de .in-addr.arpa? Un registro PTR de .in-addr.arpa está asociado a un solo nombre. Por lo tanto, si un cierto IP tiene el nombre de www.dominio1.cl y también de www.dominio2.cl, hay el registro PTR no puede apuntar a ambos. Saludos, -- Jens.
Direcciones ip en servidor dns ...
Jesus Aneiros Sosa wrote: Pero un resolver no es un servidor DNS, es la parte cliente y al menos en Linux no es ni siquiera una aplicacion, mas bien una biblioteca. Por supuesto un servidor puede ser de solo cache, que creo es a lo que te refieres como resolver. En realidad resolver es un concepto sobrecargado, porque tiene dos significados. El primero es justamente la resolución por el lado cliente, pero también se usa para denominar un servidor DNS que acepta consultas recursivas. De esa manera, los clientes finales tienen un resolver básico que solamente pregunta al resolver central, el cual mantiene su cache y puede tener varias vistas, etc. Lo que se recomienda es que si un servidor se va a usar con ese tipo de configuración, haciendo consultas recursivas a pedido de los clientes, ese mismo servidor no mantenga zonas con autoridad. Saludos, -- Jens.
Direcciones ip en servidor dns ...
Victor Hugo dos Santos wrote:
Usando bind (de named.conf(8)):
allow-transfer { address_match_element; ... };
Se puede definir para cada zona por separado.
esto no impide q las zonas sean transferidas
suponiendo q vuestro dominio (csol.org) tenga esta característica
implementada, este es el resultado al hacer una transferencia:
No la tiene implementada ;-)
Prueba con otros: nic.cl, google.cl, ejercito.cl, gob.cl, que sí
restringen transferencias de zonas.
--
Jens.
Aplicacion grafica para subir archivos a sftp
Gonzalo Valenzuela wrote: El Lun 02 May 2005 05:32, Cristian Aravena Romero escribió: Hola, Estoy trabajando en un proyecto en chileforge.cl y deseo utilzar alguna aplicacion grafica para subir los archivos, creo que el gftp no es compatible con el sftp. Trate de conectarme y no pude. En su defecto me servira alguna aplicacion como el ncftp. Por favor alguna sugerencia Atentamente kbear y konqueror te sirven, filezilla tb Lo mismo Nautilus (por si usas gnome). Supongo que para konqueror es lo mismo que para nautilus: pones la url sftp://[EMAIL PROTECTED]/path/inicial/ y te abre una ventanita. Si usas ssh-agent y tienes la llave en el servidor, funciona de manera transparente. Saludos, -- Jens.
Direcciones ip en servidor dns ...
Tipler wrote: Que tal .. .. como puedo acceder a un servidor de dns y listar las ip de los distintos dominios que se encuentran apuntados en él .. .. estuve probando con nslookup de Bind 9, pero la opcion ls no se encuentra implementada. Puedes intentar transferir la zona usando por ejemplo dig(1). Claro que muchos deshabilitan la transferencia de zonas a hosts que no son masters ni slaves de la zona. -- Jens.
Sincronizar hora
Yonathan Dossow wrote: Jose wrote: Existe la posibilidad de hacer que varios servidores (en otra subred) puedan sincronizar la hora desde un servidor central, este inconveniente nace de la necesidad de que en varias ocasiones por razones desconocidas algunos de nuestros servidores tenian la hora cambiada afectando a nuestros sistemas de informacion. Como podria dar solucion a este tema? saludos ntpdate ip_server_ntp Eso es una solución parche. ntpdate simplemente sincroniza en un instante del tiempo, y luego cada servidor sigue manteniendo su propia hora independiente del resto. En cambio, ntpd mantiene un seguimiento, elige al master de entre varios candidatos (de acuerdo a las condiciones de la red y otros datos), y puede mantener sin problemas una sincronización del orden de los 10ms de error de manera constante. Si se hace bien y se sincroniza con un servidor conectado a reloj atómico (basta que el master local sincronice con varios stratum 2-3 externos), también se consideran los leap seconds que se agregan cada cierto tiempo a la hora para ajustar los relojes a la velocidad de rotación de la tierra. Ver http://hpiers.obspm.fr/ o http://tf.nist.gov/pubs/bulletin/leapsecond.htm para información general, http://ntp.isc.org/bin/view/Servers/WebHome para detalles sobre ntp. Saludos, -- Jens.
Legalidad
Alvaro Jiménez wrote: Mi pregunta es cual es la validez legal de los distintos tipos de licencias aca en Chile. Por ejemplo si alguno de nosotros construye software basado en alguna de estas licencias, ¿son validas? ¿es posible hacerlas respetar legalmente? En principio, si. Si quieres más detalles, te sugiero preguntar en la lista de Derechos Digitales: http://listas.csol.org/mailman/listinfo/derechosdigitales Saludos, -- Jens.
tamaño de las ventanas
Sergio Hernandez wrote: Administro la minired de nuestra oficina, convivo con usuarios de windows comunes (bastante torpes), y, como siempre ocurre, todos los problemas de computacion (lease archivo perdido, formato desconocido, conexion que se cae, y problemas triviales varios), debo solucionarlos yo. Me aburri de subir y bajar escaleras e ir de un lado a otro... nada mas. La exigencia que hago de un sistema de administracion remota como vnc, es, por lo tanto, baja. Me basta con su funcionamiento, aunque sea lento e ineficiente. Por lo demas, desconozco si las alternativas que mencionas funcionan tambien con maquinas windows. Pero no se supone que la EULA de Windows prohibe ese tipo de conexiones, o al menos lo intenta? Y que la única forma de hacer eso es utilizando el programa Microsoft (que se vende por separado)? -- Jens.
Acqua
Daemon wrote: Alguien sabe donde bajar la interfaz Acqua (MacOS) para Fedora Si usas GTK2 y metacity (configuración por defecto en gnome bajo Fedora), te recomiendo: - gnuAquaSE (http://themes.freshmeat.net/projects/gnuaquase/) para controles (GTK2) - Aqua-Fixation (http://freshmeat.net/projects/aquafixation/) o AquaOSX-Inspired (http://freshmeat.net/projects/aosxinsp/) para los frames (metacity). El último incluye controles también, pero prefiero los de gnuAquaSE. -- Jens.
¿¿¿ Es Posible redireccionar la red wire less para que use como gateway un equipo conectado al rout er - y probando ???
Andrés Ruz Salinas wrote: Hola lista, Como bien la mayoría sabe, un ROUTER INALAMBRICO tiene opción de comunicación con equipos con T.RED WIFI y equipos con T.RED NORMALES. Lo normal es que la configuración de los quipos conectados al ROUTER deben usar como GATEWAY el mismo ROUTER para salir fuera de la red ¿cierto? Teniendo en cuenta que yo tengo una LAN con el formato 192.168.1.0/24 y mi firewall/GateWay usa la ip 192.168.1.1 (t.red lan), conecto la T.RED LAN al ROUTER intentando que todos los equipos con T.RED WIFI usen como GATEWAY al Firewall-Gateway(192.168.1.1) y no al mismo ROUTER. Finalmente esto no me ha funcionado y aun me queda la duda de por que no funciona. OK, si lo entiendo bien, intentas usar el router WIFI solamente como bridge, y la puerta WAN no está conectada a nada, sino que el firewall/gateway se conecta como un cliente más. Me quedan un par de dudas: - Cómo se le asigna el número IP a los clientes: DHCP? Si es así, quién entrega ese servicio, el router WIFI, el firewall/gateway o un tercero? Debiera ser uno solo. - Hay colisiones de números IP (por ejemplo el router WIFI usando la misma del firewall/gateway, o asignándola a uno de los clientes)? - Cuál es la ruta default de los clientes, quizás el router WIFI asigna la suya? Llegan al firewall/gateway directamente? Está configurado el router WIFI para hacer ruteo (routing o forwarding)? - Qué firewall/gateway usas? -- Jens.
Interfaces de red
Jorge Valencia wrote: Horst von Brand wrote: Para que? Mientras no termine su trabajo, no tienes red, y levantar muchas otras cosas no tiene sentido... Porque es para un PC donde no tengo ningun servicio que levantar (esta solo para navegar y chatear). Si tienes ganas de invertir tiempo (y aprender mucho mientras estás en eso), puedes echarle una mirada a este proyecto: http://www-106.ibm.com/developerworks/linux/library/l-boot.html?ca=dgr-lnxw04BootFaster . La idea es paralelizar lo más posible los scripts de inicio, teniendo en cuenta las dependencias. -- Jens.
