Kwames' Blog

–
Kwame

El título lo dice todo.


–
Kwame

Para no hacer muy largo el anuncio.

Fedora 12 now available –> https://fedoraproject.org/wiki/Fedora_12_tour
Download it …

Saludos
–
Kwame

Acabo de terminar de hacer un pequeño rediseño de http://informatux.net … pasen a darle un ojo.

Saludos!

Uno de los problemas comunes a los que se enfrenta un linuxero (sysadmin/developer/linux-user-wanabee) es crear una serie de reglas de iptables decente para proteger su instalación. El problema se encuentra en que muchas veces no se sabe exactamente que es lo que iptables está bloqueando y si no se conocen comandos comúnes de como diagnosticar en que puerto X aplicación está escuchando el problema crece exponencialmente.

Para conocer en que puertos está escuchando tu linux box, netstat es muy útil:

[root@monitor ~]# netstat -luntp  | grep -i listen
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2457/portmap
tcp        0      0 0.0.0.0:980                 0.0.0.0:*                   LISTEN      2494/rpc.statd
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      20873/xinetd
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      2706/cupsd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      2752/sendmail: acce
tcp        0      0 :::80                       :::*                        LISTEN      20394/httpd
tcp        0      0 :::22                       :::*                        LISTEN      2695/sshd
tcp        0      0 :::443                      :::*                        LISTEN      20394/httpd
[root@monitor ~]#

En este caso vams a tomar el puerto 21 como ejemplo, aquí tenemos proftpd corriendo y escuchando en el puerto 21 pero este puerto no está abierto en el firewall.

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT

Por lo tanto, cuando trato conectarme al puerto 21 (aquí voy a utilizar telnet solo para verificar que el puerto está abierto/cerrado) voy a ver lo siguiente:

dan@dan:/home/dan
$ telnet monitor 21
Trying 192.168.98.164...
telnet: Unable to connect to remote host: Connection refused
dan@dan:/home/dan
$

Aquí es donde puedo utilizar la utilería de iptables para loggear, en mi Linux CentOS 5.3 hice lo siguiente:

Modifiqué lo siguiente en /etc/syslog.conf

[root@monitor ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*							/dev/console
kern.*							/var/log/kernel

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none,kern.none		/var/log/messages
.
.
.

Reinicio syslog con /etc/init.d/syslog restart
y le agrego la siguiente línea a /etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -j LOG --log-prefix "Dropped Packets: " --log-level=info

Ahora, mi iptables queda de la siguiente manera:

[root@monitor ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j LOG --log-prefix "Dropped Packets: " --log-level=info
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT
[root@monitor ~]#

Y ahora, puedo ver lo siguiente en /var/log/kernel

dan@dan:/home/dan
$ telnet monitor 21
Trying 192.168.98.164...
telnet: Unable to connect to remote host: Connection refused
dan@dan:/home/dan
$
.
.
.
[root@monitor ~]# tail -f /var/log/kernel | grep 192.168.98.129
Sep 25 15:12:36 monitor kernel: Dropped Packets: IN=eth0 OUT= MAC=00:19:bb:d6:88:ca:00:19:bb:49:8e:31:08:00 SRC=192.168.98.129 DST=192.168.98.164 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=25720 DF PROTO=TCP SPT=46080 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0
[root@monitor ~]#

Los 2 campos que son importantes para comenzar es PROTO y DPT, protocolo y puerto destino, ahí me dice que es una conección TCP al puerto 21 … ya con eso tengo más que suficiente para modificar mi /etc/sysconfig/iptables y reinciar.
Aunque editar el archivo y reiniciar iptables no es la manera más elegante de hacerlo, funciona.
En el siguiente post voy a hablar de como agregar reglas al vuelo y en un órden específico.

Saludos!

Al corriente con mis posts? Debo de aceptar que esta interfaz esta suave. Arriba el g1!!

En vez de crear un nuevo impuesto y aumentar unos otros más, que les parece si nos ahorramos el siguiente dinero:

500 diputados federales
120 senadores

Salario de un diputado federal = $120,000.00 mensuales
Salario de un senador = $140,000.00 mensuales

Esto es lo que gastamos en los HHH (puaj) diputados al año:
500 * 120,000 = $60,000,000.00 … esto por 12 meses = $720,000,000.00 al año

Ahora, los senadores:
120 * 140,000 = $16,800,000.00 … esto por 12 meses = $201,600,000.00

Lo que da un gran total de $921,600,000.00 al año, esto sin contar los boletos de avión, comidas, casetas, celular, costo de asistentes, choferes y un largo etc.

Si los diputados federales de verdad tuvieran interes por México, bajarían su salario en un 80%, y asi ganarían una nada despreciable cantidad de $24,000.00 pesos mensuales (por lo que he leído y tengo entendido, un maestro de escuela pública gana en promedio $8,500.00 pesos mensuales) y los senadores ganarían $28,000.00

Si los diputados y senadores se aplicaran esta medida a ellos mismos, sería la mas grade prueba de que su interés es México y no sus propios bolsillos.

Sacando números de nuevo:

Diputados:
500 * 24000 = 12,000,000.00 * 12 meses = 144,000,000.0

Senadores:
120 * 28000 = 3,360,000.00 * 12 meses = 40,320,000.00

Lo que da un gran total de $184,320,000.00

El presupuesto actual $921,600,000.00
Menos el 80% $184,320,000.00

Nos podemos ahorrar $737,280,000.00

Estoy seguro que este numero está muy por debajo de los números reales, pero es un buen inicio, aparte, no estoy considerando a las lapas de diputados locales, presidentes municipales (alcaldes como el desgraciado “Juanito”), gobernadores y toda la bola de secretarios, sub-secretarios y otro largo etc etc etc …

Ah! pero eso si, todo México está pendiente el día de hoy para … ver a México ganarle a Honduras! … Pobre de mi México, tan fregado y tan ciego.

En Perl … solo para tener la nota:

equals			        ==		eq
not equals	         	         !=		ne
loess than		                <		lt
greater than 		        >		gt
less than or equals	       <=		le
greater than or equals	>=		ge

El tiempo de nuestra visita a México aveces se veía tan lejos que me resulta casi imposible creer que estoy de regreso “en casa”. En cuanto más tiempo paso aquí, más cómodo me siento con el lugar y la gente, pero no dejo de considerar a Cuernavaca cómo “mi casa”.

Me resultó muy grato ver a gente y amigos que tenía mucho tiempo de no ver. También me causó cierta tristesa ver cómo mucha gente que sigue haciendo el mismo trabajo para subsistir, la realidad contrastante de México es … única.

Antes que nada, todo el tiempo que pude pasar con Sol y Josué fue lo mejor de todo, me hacía falta pasar todo ese tiempo con ellos, es muy fácil envolverse en la rutina diaria del trabajo y actividades de la casa y así perderse lo entretenido y divertido que es pasar tiempo en familia. Por otra parte, todo el tiempo que pude pasar con mis padres no tiene precio, pudimos platicar y hacer planes y ponernos al corriente con todo lo que ha ocurrido con nuestras vidas.

Uno de mis paseos favoritos fue el que hicimos a Tepoztlán, ese lugar me trae tantos recuerdos, ya estaré posteando un poco más de fotos.

Por otra parte, he dejado muy abandonado mi blog y por eso no tengo excusa, bueno si, mi familia

El trabajo sigue muy bien y hay muchos planes y proyectos pendientes que terminar.

Saludos!
[ad#k-posts]

Desde el jueves pasado llegué a mi querido CuernaRancho, ya tenía muchas ganas de visitar por estos lares. Todo sigue igual y muy cambiado
Ayer les envié un email a GaRaGeD, Imoq, Altamar y el Turbo para ver si nos vamos a hechar relajo ñoño. Para los ex-miembros del ya casi extinto SLM (Software Libre Morelos) mándenme un email para ponernos de acuerdo, si es que se quieren apuntar, claro.

Saludos!