Blog de Horacio de Oro: junio 2012

martes, 12 de junio de 2012

Servicios IPv6 y firewalls

Hace tiempo las distintas distribuciones de Linux poseen soporte para IPv6, lo que incluye generar interfaces de red con direcciones IPv6 y servicios escuchando en dichas direcciones.

Por ejemplo, usando netstat podemos revisar los servicios TCP y UDP escuchando en IPv6:

$ sudo netstat -6nlptu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp6 0 0 :::139 :::* LISTEN 1140/smbd
tcp6 0 0 fe80::bc47:21ff:fe67:53 :::* LISTEN 1509/dnsmasq
tcp6 0 0 :::22 :::* LISTEN 1142/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1219/cupsd
tcp6 0 0 ::1:25 :::* LISTEN 2275/exim4
tcp6 0 0 :::445 :::* LISTEN 1140/smbd
tcp6 0 0 :::12865 :::* LISTEN 2305/netserver
udp6 0 0 fe80::bc47:21ff:fe67:53 :::* 1509/dnsmasq
udp6 0 0 :::55594 :::* 1188/avahi-daemon:
udp6 0 0 :::5353 :::* 1188/avahi-daemon:

Otra forma sería realizar un escaneo de puertos. Por ejemplo:

$ sudo nmap -6 -P0 ::1

Starting Nmap 5.21 ( http://nmap.org ) at 2012-06-12 10:26 ART

Nmap scan report for ip6-localhost (::1)

Host is up (0.00026s latency).

Not shown: 995 closed ports

PORT STATE SERVICE

22/tcp open ssh

25/tcp open smtp

139/tcp open netbios-ssn

445/tcp open microsoft-ds

631/tcp open ipp

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

Esto puede resultar en un gran problema de seguridad si no fue tenido en cuenta al configurar los firewalls, sobre todo si hablamos de servidores conectados a internet.

Una forma de revisar si las reglas firewall para IPv6 están siendo cargadas es:

$ sudo chkconfig --list ip6tables

ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off

En este caso vemos que el servicio está activado. Si no fuera así, puede activarse con:

$ sudo chkconfig ip6tables on

El siguiente paso es revisar qué reglas de firewall hay configuradas para IPv6:

$ sudo ip6tables -n -L -v

Si las reglas cargadas son correctas y proveen una protección para el equipo, aquí terminó nuestro trabajo (aunque sería bueno reiniciar el servidor para asegurarnos que todo quedó correctamente configurado). Además, si el equipo es un servidor, y hay otros administradores, puede ser que haya reglas cargadas, sean correctas, pero hayan sido cargadas "a mano", y se pierdan al reiniciar el equipo.

Si no hay reglas cargadas, una forma rápida de realizar una configuración "de emergencia" para que el kernel ignore todos los paquetes IPv6 que lleguen es:

$ sudo ip6tables -P INPUT DROP
$ sudo ip6tables -P FORWARD DROP

Esta configuración eliminará todos los paquetes, inclusive las conexiones creadas localmente (lo que pude causar problemas... para realizar una correcta configuración, hay que aprender a usar iptables!) y los paquetes de respuesta de conexiones IPv6 creadas a otros equipos...

Estas modificaciones que introdujimos al firewall se perderán al reiniciar el equipo. Para guardarlas, de manera que se apliquen automáticamente al arrancar el equipo, debemos ejecutar:

$ sudo service ip6tables save
$ sudo service ip6tables restart

Aceleración de consultas de DNS reverso

Las consultas de DNS reveso (Reverse DNS lookup) pueden hacer que cualquier proceso que las utilice (por ejemplo, servidores SMTP) se torne lerdo en responder, sobre todo si se realizan consultas por IPs privadas, y los DNS no están configurados con las zonas reversas correspondientes.

Para solucionarlo, una opción es desactivar las consultas reversas, pero éstas pueden proveer información útil (generalmente son realizadas para loguear el nombre asociado a los IP que crea la conexión), sobre todo cuando las conexiones son originadas en Internet. Además, esta solución implica modificar cada uno de los servicios en cada servidor.

La solución correcta es crear una zona en nuestros DNSs que respondan a estas consultas. En el caso de Bind, y suponiendo que nuestra lan utiliza las direcciones 192.168.*.*, esto se puede lograr de la siguiente manera:

En /etc/named.conf, agregar las siguientes líneas:

zone "168.192.in-addr.arpa" {
type master;
file "/etc/named.192.168.reverse";
};

El contenido del archivo /etc/named.192.168.reverse debe ser parecido a:

$TTL 2d
$ORIGIN 168.192.IN-ADDR.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
200001011 ; serial number
3h ; refresh
15m ; update retry
3w ; expiry
3h ; nx = nxdomain ttl
)
IN NS ns1.example.com.
IN NS ns2.example.com.

(digo "parecido a" porque habría que ajustar "ns1.example.com", "hostmaster.example.com" y los NS).

viernes, 8 de junio de 2012

PIL + Virtualenv en Ubuntu Precise Pangolin

Al instalar PIL en un virtualenv, el proceso terminó con:

*** TKINTER support not available
*** JPEG support not available
*** ZLIB (PNG/ZIP) support not available
*** FREETYPE2 support not available
*** LITTLECMS support not available

lo que indica que PIL fue compilado SIN soporte para JPG, aunque todas las librerías necesarias (libz, libjpeg, etc) estaban instaladas, incluyendo los correspondientes paquetes de desarrollo (*-dev).

En busca de soluciones, encontré algunos posts que sugerían crear links de las librerias (libxxxxx.so) en /usr/lib, solución que me pareció poco "elegante". Hasta que encontré una solución diferente, donde tambien hace falta crear links, pero esta vez en el directorio "lib" de virtualenv.

Básicamente, hay que ejecutar:

$ cd virtualenv/lib

$ ln -s /usr/lib/x86_64-linux-gnu/libfreetype.* .

$ ln -s /usr/lib/x86_64-linux-gnu/libjpeg.* .

$ ln -s /usr/lib/x86_64-linux-gnu/libz.* .