Dica rápida: Como acessar um roteador invertido na rede, estando em outro barramento.

Muitos de nós que trabalhamos em provedores já passamos pela situação de ter um roteador com a porta LAN ligada no cabo de rede que vem da rua, fazendo com que o servidor de DHCP do roteador responda na rede do provedor, gerando diversos problemas para os outros clientes. Nesses casos, quanto antes a origem do problema for descoberta, melhor. Para isso podemos usar o cliente de DHCP do Mikrotik vinculado à interface de rede onde o roteador invertido se encontra. É necessário desativar a obtenção do gateway (default route), evitando conflito com a rota padrão pré-existente, além de não obter o servidor de DNS nem NTP. Vamos supor que o roteador está ligado na rede da interface ether2, use o seguinte comando:

Continue lendo “Dica rápida: Como acessar um roteador invertido na rede, estando em outro barramento.”

Instalando o Zabbix 3.2.1 no Debian 8.6 a partir do código fonte

Como root digite a seguinte sequência de comandos (não copie e cole o bloco inteiro). Será pedida uma senha para o MySQL:

Continue lendo “Instalando o Zabbix 3.2.1 no Debian 8.6 a partir do código fonte”

NetBox, um DCIM + IPAM livre feito em Django

Garimpando pela net encontrei o NetBox, um sistema que une a capacidade de DCIM (Data Center Infraestructure Management)  e IPAM (IP Address Management). É desenvolvido por Jeremy Stretch, funcionário da Digital Ocean e está sob a licença Apache. Com ele você cadastra seus PoPs, Racks, Dispositivos, interfaces dos dispositivos, associando o uso dos endereços IP em cada um deles (vinculando às interfaces), além das conexões entre eles. Além disso é possível cadastrar VLANs, Circuitos, Senhas entre outras informações úteis para documentar uma rede e fazer inventário. Ideal para provedores que estão crescendo e precisam ter controle sobre a sua rede.

Continue lendo “NetBox, um DCIM + IPAM livre feito em Django”

Restringindo o acesso no RouterOS através do WebFig

Todos vocês devem conhecer o WebFig, o sistema web de gerência do RouterOS, similar ao Winbox. O que talvez nem todos saibam é que, com ele é possível restringir o acesso dos usuários à menus e submenus específicos, evitando com isso que eles vejam mais informações do que precisam. É uma forma de aumentar a segurança e de simplificar a interface, deixando-a mais limpa, com apenas o necessário.

O WebFig tem um recurso chamado skin, que é como se fosse um template, onde você pode definir o que cada usuário pode ou não acessar. Esse skin é editado e definido dentro da própria interface do WebFig. Vamos supor que a gente queira dar acesso para uma atendente apenas olhar as interfaces físicas, as conexões PPPoE e Hotspot, visualisar os Neighbors e os Logs, além de poder dar um ping e um traceroute. Vamos ver como configurar a skin para essa finalidade. Continue lendo “Restringindo o acesso no RouterOS através do WebFig”

Túnel EoIP entre o Mikrotik e o Linux

Hoje precisei resetar um rádio Ubiquiti que estava em produção e configurá-lo remotamente, acessando pela internet de casa. O problema é que quando se reseta o mesmo, ele vem sem um gateway padrão, então a princípio só seria possível acessá-lo estando no mesmo barramento físico, ou seja, na mesma rede. O dito rádio está atrás de uma RB. Nesse caso, se eu tivesse outra RB em mãos poderia criar um túnel EoIP, seguindo o raciocínio desse artigo, mas eu não tinha. Pensei em testar o aplicativo do projeto linux-eoip e criar um túnel EoIP entre o RouterOS e o meu Linux.

Baixei o arquivo linux-eoip-0.5.tgz e o descompactei. Compilei com os comandos abaixo: Continue lendo “Túnel EoIP entre o Mikrotik e o Linux”

Como evitar NAT atrás de NAT

Enquanto o IPv6 não chega, quando finalmente ficaremos livres da NAT, vamos ver algumas possibilidades de evitar o uso desnecessário da mesma. Como vocês sabem, na técnica de NAT é usada a tradução de vários endereços de uma rede para apenas um endereço de outra rede e vice-versa, normalmente de endereços privados para público. Ocorre que muitos provedores não tem IPs públicos para todos os seus clientes e fazem NAT, entregando IPs privados para eles. Os mesmo usam um roteador WIFI domésticos que também faz NAT. Pra completar, os usuários colocam mais roteadores na rede para ampliar a área de cobertura do sinal de rádio e os configuram também fazendo NAT. Nesse cenário temos 3 equipamentos fazendo NAT, um atrás do outro. A isso dá-se o nome de NAT-3. Algumas aplicações não conseguem funcionar atrás de três níveis de NAT, notadamente o Play Station. Outra possibilidade é quando se usa modems ADSL em modo router. Às vezes esses modems não têm WIFI embutido, então depois deles vem um roteador, que também faz NAT. Vamos ver como evitar o uso desnecessário de NAT reduzindo pelo menos para NAT-2. Continue lendo “Como evitar NAT atrás de NAT”

Dica rápida: Script para adicionar os IPs do Whatsapp em uma lista de endereços

Vamos criar um shell script para gerar uma lista de endereços do Whatsapp que poderá ser usada para bloqueá-lo, por exemplo. Os scripts do RouterOS são limitados. Não se pode tratar variáveis lidas a partir de arquivos maiores do que 4096 bytes. Por conta dessa limitação vamos gerar um arquivo .rsc no Linux. Depois é só enviar esse arquivo para o Mikrotik e importá-lo ou copiar e colar no terminal. Continue lendo “Dica rápida: Script para adicionar os IPs do Whatsapp em uma lista de endereços”

Dica rápida: Use sempre bridge no Mikrotik

AVISO: esse conteúdo está defasado. Não reflete mais a realidade das novas versões do RouterOS, que já têm proteção nativa contra loop, para interfaces e vlans.

Calma, não estou querendo dizer com isso que você deve usar rede em bridge ao invés de rede roteada. Você vai entender.

O Mikrotik RouterOS tem uma característica interessante de informar nos logs a possibilidade de um loop, mas ele só faz isso em interfaces do tipo bridge, então mesmo que você não tenha a necessidade de fazer uma bridge entre duas interfaces, você deve criar uma bridge para cada interface e associar cada uma à sua bridge. Dessa forma além de ser avisado em caso de loop você ainda poderá filtrar pacotes na camada 2 através do firewall para bridge.

Para explicar um pouco melhor vou exemplificar.

Continue lendo “Dica rápida: Use sempre bridge no Mikrotik”

VLAN: Brincando com o Mikrotik e switches gerenciáveis Planet GSD-1020S

Vou mostrar passo a passo como usar o Mikrotik (RouterOS) em conjunto com o switch gerenciável Planet GSD-1020S (o procedimento deve servir para outros modelos) para criar VLANs e setorizar a rede. Vou exemplificar com um RouterOS e 3 switches em cascata. Veja abaixo o diagrama.

Diagrama de interligação dos equipamentos

Continue lendo “VLAN: Brincando com o Mikrotik e switches gerenciáveis Planet GSD-1020S”

Configurando uma VPN de verdade no Mikrotik

Fazer VPN com PPTP e nada é quase a mesma coisa. Vamos configurar uma VPN de responsa, com o OpenVPN.

O método de autenticação escolhido foi através de certificado auto-assinado, além de usuário e senha. Façamos como Jack, em partes.

É possível gerar o certificado diretamente no RouterOS, mas como uso Linux, vou fazê-lo usando o pacote easy-rsa.

Continue lendo “Configurando uma VPN de verdade no Mikrotik”

Dica: Monitorando em modo promíscuo remotamente pelo Mikrotik

Imagine o seguinte cenário: Você administra a rede de uma empresa que tem uma matriz e uma filial e você está na matriz e a rede da filial está com um problema lógico, intermitente e de difícil diagnóstico, que exige uma análise mais profunda, preferencialmente através de um analisador de pacotes como tcpdump ou wireshark. Você pode coletar os pacotes em um arquivo e enviar esse arquivo para posterior análise, ou ainda enviar via stream para o Wireshark (que teria que ser devidamente configurado para receber o stream) mas vamos supor que você queira e precise monitorar diretamente, e talvez com outra ferramenta que nao suporte stream. Como fazer? Continue lendo “Dica: Monitorando em modo promíscuo remotamente pelo Mikrotik”

Dica: Fazendo backup dos rádios Ubiquiti em lote via SSH

Aproveitando a mesma lógica usada no artigo http://daniel.hoisel.com.br/2016/06/23/dica-atualizando-os-radios-da-ubiquiti-em-lote-via-ssh/ vamos fazer um script para automatizar o backup dos rádios Ubiquiti. Para isso vamos criar um script salvando-o em /usr/local/bin/backup-ubiquiti com o seguinte conteúdo:

Continue lendo “Dica: Fazendo backup dos rádios Ubiquiti em lote via SSH”

Colocando senha nos gráficos do Mikrotik RouterOS usando .htaccess

O RouterOS da Mikrotik tem um defeito gravíssimo que é não exigir credenciais para exibir os gráficos gerados por ele. Esses gráficos são configurados em /tools/graphing e ficam disponíveis no endereço SEU_IP/graphs. As informações ali contidas podem ser muito úteis, inclusive para os seus concorrentes. Uma das maneiras de evitar que essas informações fiquem públicas é inabilitar esse recurso e obter  esses dados via SNMP, armazenando remotamente em uma ferramenta como o ZABBIX. Outra maneira é como vou explanar abaixo. Continue lendo “Colocando senha nos gráficos do Mikrotik RouterOS usando .htaccess”

Dica: Atualizando os rádios da Ubiquiti em lote via SSH

Esse artigo é para você que tem muitos rádios da Ubiquiti e não quer ou não pode usar o AirControl para atualizá-los. Com um simples script feito em bash é possível atualizar todos os seus rádios. Basta que o servidor de SSH esteja ativo neles e que todos tenham o mesmo usuário e senha. Estou deduzindo que você não configurou o método de autenticação por chaves assimétricas. Faça o seguinte procedimento:

Continue lendo “Dica: Atualizando os rádios da Ubiquiti em lote via SSH”

Linux para leigos: mais comandos básicos

Agora que você já aprendeu os comandos básicos de manipulação de arquivos no artigo anterior, vamos ver alguns detalhes adicionais e mais uns comandos.

No MS-DOS e no Windows, para ocultar um arquivo altera-se um atributo. No Linux, qualquer arquivo que seu nome comece com um ponto é um arquivo oculto, que não será listado com um simples ls e nem aparecerá por padrão nos gerenciadores de arquivos gráficos. Em se tratando de linha de comando podemos ver como isso funciona da seguinte forma:

Continue lendo “Linux para leigos: mais comandos básicos”

Dica: Permitindo apenas tráfego PPPoE nos rádios Ubiquiti

Se você tem um enlace de rádio ponto a ponto e usa o método de autenticação PPPoE entre os clientes que estão em um lado do enlace, e um concentrador PPPoE que está do outro lado, pode pensar em limitar o tipo de tráfego permitido nesse enlace. Se permitir apenas o protocolo PPPoE irá evitar que muito lixo, como NetBIOS, excesso de broadcast, dhcp, entre outras coisas, atravessem o seu link.

Caso use equipamentos da Ubiquiti no modo bridge, existe uma forma simples de obter esse resultado. Filtrando os pacotes na camada 2 através do comando ebtables. Esse procedimento só precisa ser aplicado na estação.

Continue lendo “Dica: Permitindo apenas tráfego PPPoE nos rádios Ubiquiti”

Mikrotik RouterOS: Configurando um servidor PPPoE

Ainda que uma das grandes vantagens de usar o Mikrotik RouterOS seja a interface amigável do Winbox, vou ensinar a configurar um concentrador PPPoE através da CLI (Command Line Interface).

Abra o Winbox e entre no seu equipamento (PC, RB, CCR). Uma vez logado, clique na opção New Terminal, como na figura abaixo.

winbox_new_terminal

A partir daqui faremos tudo através de comandos. Vamos lá!

Continue lendo “Mikrotik RouterOS: Configurando um servidor PPPoE”

Roteamento: Rotas estáticas

Agora que você já aprendeu o que são e para que servem as máscaras, no artigo introdutório sobre TCP/IP, vamos aprender como funciona o mecanismo de roteamento. Quando duas redes separadas precisam se comunicar, usamos um roteador para fazer o serviço de encaminhamento de pacotes de dados, entre uma e a outra. O roteador é um equipamento que tem no mínimo duas interfaces de rede e se comunica com duas ou mais redes. Ele é capaz de receber pacotes de uma rede e encaminhar para a outra, e vice-versa, se estiver configurado para tanto. Note que aqui não estou tratando de roteador sem fio, ou qualquer outro que faça uso de NAT, e sim de roteador tradicional de pacotes.

Continue lendo “Roteamento: Rotas estáticas”

Linux para leigos: Comandos Básicos

Vamos aprender Linux?

Primeiro informo que vou falar de Linux na linha de comando e de antemão adianto que ele não é esse bicho de sete cabeças. É importante que você esteja usando qualquer distribuição Linux, nem que seja virtualizada, no Virtualbox por exemplo. Então sem mais delongas, vamos lá!

Abra um terminal (console) e vamos criar um diretório para os nossos exercícios.
No início não havia nada. E criou-se o primeiro diretório.

Continue lendo “Linux para leigos: Comandos Básicos”

Roteamento: Introdução

Esse artigo é o primeiro de uma série sobre rede TCP/IP e roteamento. Nele vou introduzir alguns conceitos de rede, de endereçamento e de máscaras.

Para que dois computadores (ou dispositivos) comuniquem-se em rede, usualmente utiliza-se o protocolo TCP/IP. É uma forma que os computadores tem de conversarem entre si. Esse protocolo funciona através de um sistema de endereçamento numérico. Cada computador tem que ter um endereço, ou seja, um número diferente do outro. Esses números são representados no formato de quatro octetos separados por ponto, por exemplo: 192.0.20.1. Esses octetos são números que variam de zero 0 a 255, o que dá 256 números. São chamados de octetos por que 2 elevado a 8 é igual a 256. Como são 4 octetos de 256, temos 256 * 256 * 256 * 256 = 4.294.967.296 (aproximadamente 4 bilhões) de combinações possíveis. Os endereços vão de 0.0.0.0 a 255.255.255.255 em IPv4.

Continue lendo “Roteamento: Introdução”

A evolução dos CMS

Em 2002 criei um site, em parceria com Aderino França, chamado IlheusAmado. Usei o PHPNuke como sistema de publicação, que praticamente era o único disponível. Como o próprio nome indica, era feito na linguagem PHP, que era a mais popular para aplicações web. A essa altura se usava PHP ou Perl. Ah, tinham os famigerados CGI, às vezes feitos em C.

Depois de alguns anos o PHPNuke passou a ter muitos problemas de segurança, e volta e meia haviam notícias de sites que usavam ele e foram raqueados. No final de 2004, pesquisando alternativas descobri o Xoops, que era um fork do PHPNuke. Com a ajuda de alguns scripts migrei a base de dados para ele. Fui feliz por mais um tempo.

Continue lendo “A evolução dos CMS”

Painéis de controle para hospedagem

Quando temos poucos domínios e contas de email, controlamos facilmente na unha manualmente, porém quando se fornece o serviço de hospedagem a tendência é que os números cresçam e então surge a necessidade de automatizar. Existe um software comercial bem famoso e popular que resolve a questão. É o cPanel. O problema é que ele é comercial e proprietário e eu sou pró software livre, então pesquisei soluções livres para essa tarefa.

Continue lendo “Painéis de controle para hospedagem”

Meus “segundos” passos com o Linux

Em 1999 abri um provedor discado e a cabo em Itabuna – BA, em sociedade com meu antigo patrão, Eduardo Carvalho e o presidente da CDL de Itabuna, Rolemberg Macedo.

Tinha o conhecimento de dois anos de uso de Linux no desktop e de cara tive que configurar uma multiserial Cyclades, com um servidor de dial-in usando o pppd.

Configurei tudo, mas os clientes conectavam, recebiam os IPs (públicos) e não navegavam.

Continue lendo “Meus “segundos” passos com o Linux”

A indústria da certificação

Quão exato uma certificação mede a capacidade de um profissional? É possível que uma pessoa inteligente e com um raciocínio ágil, que nunca tenha feito um curso e nunca tenha passado pelo crivo de uma instituição, tenha o conhecimento e a experiência para resolver melhor determinados problemas do que outra que tenha optado pela caminho acadêmico e seus “títulos”.

Continue lendo “A indústria da certificação”

Tutorial para remasterizar o Sabayon

Artigo atualizado em 04/06/2016, pois a  distribuição Sabayon descontinuou o suporte à arquitetura x86 e removeu o suporte ao pacote media-gfx/digikam.

1. INTRODUÇÃO

1.1) No artigo anterior falei do Sabayon e de suas vantagens, agora vou explicar passo a passo como remasterizá-lo, ou seja, como criar uma nova imagem ISO pronta para instalar, com vários programas adicionais pré-instalados, a partir da imagem oficial. Isso é bastante útil tanto para se ter um sistema personalizado instalado em um pendrive ou DVD, quanto para fazer instalações em vários computadores, como em um laboratório de informática, em uma escola ou até mesmo em uma empresa. Economiza-se tempo e largura de banda.

Para tal tarefa existe o molecule, um programa que automatiza essa tarefa, mas nós não vamos usá-lo, primeiro para aprendermos mais a fundo o processo e depois por que ele não reaproveita a estrutura criada e cada vez que ele é executado, refaz tudo do zero. Todos os comandos seguintes devem ser dados como root. Lembre-se de que esse procedimento pode ser feito em qualquer distribuição, mas depende de alguns pacotes, como cdrtools, por exemplo.

Continue lendo “Tutorial para remasterizar o Sabayon”

Sabayon, uma distribuição Linux matadora.

Screenshot-6

O assunto agora é a distribuição Sabayon.

Depois de experimentar vários sabores de Linux, entre eles o Ubuntu, Mandriva, OpenSuse, ArchLinux, Linux Mint, Manjaro, Gentoo, Elementry, PCLinuxOS, Pear, entre outras, tive a grata satisfação de conhecer o Sabayon, uma distribuição italiana que tem como base o Gentoo, mas traz várias vantagens adicionais.

Continue lendo “Sabayon, uma distribuição Linux matadora.”

Meus primeiros passos com o Linux

Já faz um tempo que eu queria fazer um blog para publicar sobre os mais variados assuntos que me interessam, principalmente, é claro, sobre informática e mais precisamente sobre Linux. Então aí está o http://daniel.hoisel.com.br. Aqui vou tentar transmitir algum conhecimento acumulado nesses 18 anos de informática e 16 anos de Linux. Assuntos, como rádio amador, eletrônica, programação, redes entre outros também serão tratados. Então, de cara, vamos ao que interessa, vamos falar de …

Continue lendo “Meus primeiros passos com o Linux”