segunda-feira, 12 de março de 2012

Convertendo discos Thick para Thin Provision VMware ESXI


Para realizar tal conversão, usaremos o vmkfstools:

Efetue login via SSH no Esxi partindo do seu cliente ssh;


Mudar para o diretório que contém o disco virtual:
#cd /vmfs/volumes//

Execute o comando vmkfstools para criar uma cópia thin do disco virtual:
#vmkfstools -i ./arquivo_atual.vmdk -d thin ./arquivo_novo.vmdk

Dependendo do tamanho do disco, pode demorar um pouco, e vc pode acompanhar o status da conversão
tanto via ssh quanto via Vsphere Client.


*Conversão feita com sucesso utilizando Esxi 5.0

quarta-feira, 5 de outubro de 2011

L2/L3 IOU Rack: Laboratório Cisco em casa

Quem tal um rack com seis roteadores e quatro switches layer 3, para você brincar a vontade? E o melhor: de graça!
Pois saiba que isto é possível graças ao L2/L3 IOU, uma VM pronta para usar, criada para permitir a elaboração de diversas topologias, e treinar na prática para as certificações.
Você vai precisar do VMware Workstation, para rodar a VM onde os equipamentos serão emulados. Se não tiver, instale antes de continuar. É recomendado o uso da versão 7, porém eu testei com a versão 6.5.3 e funcionou.

Preparando a VM
1) Faça o download através de um dos links abaixo, e descompacte os arquivos. Você encontrará dois arquivos .rar.
O Cisco_IOU_Rack_v3_Video.rar é um vídeo mostrando como iniciar o LAB e acessar os equipamentos (o resumo eu coloquei abaixo). Já o arquivo  Cisco_IOU_Rack_VM_by_flyxj.rar é a VM (Debian), onde temos os equipamentos.

Download Via Wupload: L2/L3 IOU

2) Descompacte o arquivo onde está a VM e abra o VMware Workstation. Inicie o VMware, clique em File > Open e selecione o local onde está o arquivo descompactado.
Depois clique em Edit > Virtual Network Editor.


3) Para o LAB funcionar é OBRIGATÓRIO fazer as seguintes configurações:
- VMnet0: Bridged to an automatically chosen adapter – Bridged
- VMnet1: Local Area Connection 3 – Subnet 192.168.20.0/24 – DHCP Enabled – Host Only
- VMnet8: Local Area Connection 4 – Subnet 192.168.80.0/24 – DHCP Enabled – NAT


Após a configuração das 3 VMnets, clique em Summary e veja se sua configuração ficou como na imagemabaixo. Este é o passo mais importante. Se algo estiver diferente disso o LAB pode não funcionar. 


4) Com as VMnets configuradas basta iniciar a VM e começar a usar o LAB.
Usando o LAB
1) Quando a VM inicializar você vai ver a tela abaixo, com as informações básicas para o uso LAB. Faça o login usando o usuário e senha indicados, e entre no diretório LAB.


2) Dentro do diretório LAB você pode usar o comando show para visualizar a topologia, e o comando Rx ou Sx para iniciar o respectivo roteador e swtich.


Topologia com 3 roteadore e 1 switch iniciado

3) Para acessar os equipamentos basta você dar um Telnet no IP / Porta.
  • R1: 192.168.80.160:2001
  • R2: 192.168.80.160:2002
  • R3: 192.168.80.160:2003
  • S4: 192.168.80.160:2004
  • S5: 192.168.80.160:2005
  • R6: 192.168.80.160:2006
  • R7: 192.168.80.160:2007
  • R8: 192.168.80.160:2008
  • S9: 192.168.80.160:2009
  • S10:192.168.80.160:2010
IMPORTANTE: Não mude o hostname ou IP de acesso aos equipamentos (192.168.80.160). Isto pode fazer com que o LAB pare de funcionar.
Usei pouco até agora, mas por enquanto estou gostando.
As funcionalidades que testei funcionaram e outro fato positivo é que a VM não está consumindo muitos recursos, como é comum no Dynamips.
Se tiver alguma dúvida assista o vídeo que vem junto com o download. Também é possível encontrar mais exemplos no Youtube.


Vi em brainwork






 

quarta-feira, 29 de junho de 2011

Por que proxy não transparente é melhor que o transparente

A explicação simples é a de que, além de ser mais seguro, o proxy não transparente usa o recurso do cache de DNS. Para a explicação detalhada, leia o post:

Como funciona o proxy?

A palavra proxy significa literalmente procurador. No caso de um proxy HTTP, o servidor recebe uma requisição HTTP, a interpreta e executa as ações necessárias para respondê-la. Como geralmente possui um cache, ou ele responde com o conteúdo do cache, ou requisita o recurso (arquivo) ao servidor HTTP original, desta vez como um pedido próprio.

Proxy Transparente

O proxy transparente é uma arquitetura que permite que o navegador cliente não saiba da existência do proxy. Ele acha que está solicitando o recurso diretamente ao servidor original; o proxy encarrega-se de capturar e processar a solicitação.
A principal vantagem nesta arquitetura é que não é necessária a configuração de proxy nos navegadores cliente. Outra (incorretamente) alegada vantagem é que o proxy não transparente não impede a conexão direta à Internet.
Como fica o navegador?
Uma requisição comum de um agente HTTP se dá em duas fases:
1) há a requisição DNS para resolver o endereço de destino;
2) é feita a requisição HTTP propriamente dita.
Se o navegador não conhece a existência do proxy, ele irá fazer inicialmente a requisição DNS e, após resolvido o endereço, irá lançar a requisição HTTP ao servidor original. O proxy, por sua vez, não irá usar o DNS resolvido pelo navegador, e fará sua própria requisição DNS antes da requisição HTTP.
Existe uma consideração importante: apesar de o pacote DNS ser pequeno e transmitido em UDP, o tempo de resolução costuma não ser desprezível. Às vezes, chega a mais de um minuto. E é o minuto mais importante, porque fica entre o e o aparecer alguma coisa no navegador.
É, portanto, interessante para a LAN ter um cache DNS interno servindo a todas as máquinas. Isto pode ser feito com a instalação de um servidor DNS ou com o uso do cache DNS do próprio Squid.
Se o navegador conhece o servidor proxy, ele não fará nenhuma resolução DNS e fará a solicitação do recurso ao servidor proxy, não ao servidor original.

DNS com Squid e BIND

O Squid possui um cache DNS interno que pode ser acessado com o CGI Cache Manager (no debian, pacote squid-cgi ou squid3-cgi), item Internal DNS Statistics. O recurso é tão bom que diz o quanto tempo falta para cada entrada DNS expirar.
Não achei recurso semelhante no BIND (servidor DNS mais usado no mundo). No máximo, estatísticas gerais. O BIND é dividido em duas partes: servidor com autoridade e servidor de encaminhamento. Segundo sua documentação, é focado na performance.
Quando fiz meu TCC, tive que analisar algumas centenas de requisições DNS. E apesar de não ter visto os dados concretos do BIND, tive a nítida impressão de que o Squid é mais confiável no quesito cache. Ele visivelmente fazia menos encaminhamentos (ou seja, dava mais respostas de cache).
Segurança
Os vírus não usam proxy. Eles assumem uma conexão direta a Internet. Quando se usa proxy transparente, você está encaminhando as mensagens de vírus para a Internet. Simples assim.
Uma segunda consideração está relacionada também à conectividade: no modelo não transparente, os navegadores não precisam estar conectados à Internet. Eles só precisam estar conectados ao proxy e este se vira pra chegar à web. Se você costuma usar apenas web, então pode usar um gateway falso nos clientes. Isso significa que os softwares que não conhecerem o proxy não poderão iniciar mensagens para a Internet, pois não sabem a rota. Às vezes, pode ser útil.
Além disso, não é válido o argumento de que não se pode controlar a conexão no proxy não transparente. No proxy transparente, captura-se o pacote e, dessa forma, assegura-se que ele irá seguir o caminho do proxy. Na arquitetura de proxy não transparente, pode-se inibir o uso de Internet sem o proxy colocando-se um filtro do netfilter (via iptables) no firewall.
Se o proxy está no gateway, deve-se permitir (ACCEPT) pacotes para a porta 80 (--dport) apenas vindos da própria máquina (OUTPUT) e deve-se bloquear (DROP) as vindas da rede (FORWARD) para fora.
Se o proxy não está no gateway, deve-se permitir pacotes na porta 80 cuja fonte (-s) seja o proxy e bloquear as outras.
A sintaxe é aproximadamente essa:
proxy na mesma máquina firewall/gateway.
# iptables -A INPUT --dport 80 -j ACCEPT //requisições da LAN para o proxy
# iptables -A FORWARD --dport 80 -j DROP //requisições da rede pra fora
# iptables -A OUTPUT --dport 80 -j ACCEPT //requisições do proxy pra fora
proxy em máquina interna da rede.
# iptables -A FORWARD -s --dport 80 -j ACCEPT //requisições do proxy pra fora
# iptables -A FORWARD --dport 80 -j DROP //requisições da rede pra fora


Conclusão

Quanto à performance, existem duas formas eficientes de se fazer a dobradinha proxy/cache e cache DNS. Usando proxy transparente e servidor DNS ou usando o Squid como proxy não transparente.
Na primeira forma, deve-se colocar o servidor DNS interno à LAN e fazer com que tanto o proxy quanto a LAN utilizem-no. É comum as LAN Houses e mesmo as pequenas empresas usarem o servidor DNS do provedor. Isso é prejudicial no proxy transparente, já que as requisições são individuais dos navegadores, gerando tráfego desnecessário.
Na segunda forma, o servidor proxy Squid encarrega-se de fazer o próprio cache DNS. Esta implementação é mais simples e mais econômica em recursos. Pela "filosofia" KISS, pode-se dizer que é melhor.
E se houver um duplo uso de cache? Proxy não transparente + servidor DNS interno? Fiz isso no meu TCC, pensando que era a melhor saída. Pelo que pude analisar (com squid 2.7 e BIND 9.5), sempre que o squid requisitava DNS, o BIND9 encaminhava a requisição. Ou seja, o squid era suficiente. Além do mais, o servidor BIND estava configurado para realizar requisições em múltiplos servidores DNS caso o simples encaminhamento falhasse. O tráfego era enorme e redundante.
Quanto à segurança, parece-me que o melhor mesmo é usar proxy não transparente, principalmente por causa dos vírus, trojans e toda a fauna de processos mal intencionados no sistema operacional. No Windows, isso é vital. Coloca-se um gateway e servidores DNS falsos e processa-se apenas o que vier através do navegador. Sugiro utilizar uma máquina válida preparada para receber os pacotes não autorizados, de modo que identifique-se, via tcpdump, a origem e intenção destes pacotes.
Uma preocupação constante é quanto à facilidade de configuração da rede. Para isto, há o método do proxy auto-config (PAC). Sobre ele, você pode ler mais aqui e aqui.
Pelos motivos explanados acima, é possível considerar que em ambientes simplificados o uso de proxies não transparentes ofereça mais vantagens que desvantagens em relação aos transparentes. Claro que cada caso é um caso. Às vezes, a vantagem na facilidade de implantação do proxy transparente pode suplantar todas as vantagens do outro modelo.


fonte: lucianopinheiro

terça-feira, 28 de junho de 2011

Autenticação NTLM Windows 7

Para alterar o nível de segurança da autenticação NTLM:

Iniciar > executar > regedit.exe

Adicionar a chave abaixo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Crie (provavelmente não tem) um DWORD com o nome LmCompatibilityLevel e setar o valor 1, para usar a NTLM e NTLMv2.

Reinicie o computador.

Enjoy!

Segue esquema bem interessante do funcionamento da autenticação NTLM



quinta-feira, 16 de junho de 2011

Opções DHCP Server Cisco

Algumas opções de configuração de DHCP em equipamentos Cisco:

Criando um escopo:
SW(config)#ip dhcp pool nome-pool
SW(dhcp-config)#network 192.168.0.0 255.255.255.0
SW(dhcp-config)#default-router 192.168.0.1
SW(dhcp-config)#dns-server 192.168.0.1
SW(dhcp-config)#exit

Entrada estática:
Mac address 00.1b.fc.ad.02.88
SW(dhcp-config)#client-identifier 0100.1bfc.ad02.88 #Adcione 01, é o que identifica ethernet
SW(dhcp-config)#host 192.168.0.69
SW(dhcp-config)#default-router 192.168.0.1
SW(dhcp-config)#dns-server 192.168.0.1
SW(dhcp-config)#exit

Troubleshooting:

Verificando concessões:
SW#sh ip dhcp binding
IP address             Client-ID/                       Lease expiration                   Type
                             Hardware address
192.192.0.46      0100.1558.b1bd.df          Mar 10 1993 12:51 AM       Automatic
192.192.0.48      0190.e6ba.2c94.ff           Mar 10 1993 05:17 AM       Automatic
192.192.0.52      0100.1966.c88a.57         Mar 10 1993 12:27 PM        Automatic
192.192.0.53      0017.c550.0f44              Mar 09 1993 12:32 PM        Automatic
192.192.0.233    0190.e6ba.1017.db        Infinite                                  Manual
192.192.0.234    001b.fcf8.7b7e              Infinite                                  Manual
192.192.0.235    001d.7d8c.51d7            Infinite                                  Manual
192.192.0.236    00e0.7dcc.1aa6             Infinite                                  Manual

Note que entradas estaticas, são marcadas como  "infinite"

Excluindo entrada dhcp:
SW#clear ip dhcp binding X.X.X.X

Removendo pool:

SW(config)#ip dhcp pool nome-pool








DHCP Server em Interfaces Vlan's Cisco

Para criar pools dhcp em determinadas interfaces Vlans, é necessário primeiro atribuir endereço ip na mesma, feito isso crie o escopo, e o pool será fornecido pelo gateway da interface correspondente, exemplo:

Vlan1: 192.168.0.1/24
Vlan2: 192.168.1.1/24

Configurando Escopo 1:

Username: XXXX
Password:
SW01>en
Password:
SW01#conf t
SW01(config)#ip dhcp pool nome_pool
SW01(dhcp-config)#network 192.168.0.0 255.255.255.0
SW01(dhcp-config)#default-router 192.168.0.1
SW01(dhcp-config)#dns-server 192.168.0.1
SW01(dhcp-config)#exit
SW01(config)#

Configurando Escopo 2:

Username: XXXX
Password:
SW01>en
Password:
SW01#conf t
SW01(config)#ip dhcp pool nome_pool
SW01(dhcp-config)#network 192.168.1.0 255.255.255.0
SW01(dhcp-config)#default-router 192.168.1.1
SW01(dhcp-config)#dns-server 192.168.1.1
SW01(dhcp-config)#exit
SW01(config)#

Pronto, a interface 192.168.0.1 e 192.168.0.1 irá fornecer os ip`s de suas respectivas redes.


quarta-feira, 8 de junho de 2011

Criando arquivo com determinado tamanho no linux

Para a tarefa em questão, utilizaremos o dd, segue sintaxe:

criando arquivo de 10mb:

[lsantos@mail lsantos]$ dd if=/dev/zero of=teste2 bs=1M count=10
10+0 records in
10+0 records out

onde:

if= origem
 of= destino do arquivo
bs= tamanho do bloco em bytes
count= copia n vezes bs para o arquiv

resultado:


[lsantos@mail lsantos]$ ls -lahS teste2
-rw-r--r--    1 lsantos  1000          10M Jun  8 16:13 teste2
[lsantos@mail lsantos]$





sábado, 21 de maio de 2011

terça-feira, 17 de maio de 2011

Está na hora das ISOs netinstall?

A partir do momento em que a Canonical decidiu concentrar os seus esforços na interface Unity, uma legião de usuários fiéis ao GNOME decidiram desabilitar a nova interface em favor do GNOME clássico ou até mesmo do GNOME Shell, que está prevista para não vir nas próximas versões da distribuição a ser lançada. Então, eis a questão: não está na hora de dispormos de uma versão netinstall das distribuições mais populares?
Caso não saibam, a imagem de instalação netinstall surgiu com o Debian, a qual possui um volume minimalista de pacotes, suficientes apenas para realizar uma instalação básica e em modo texto. A partir do sistema de gerenciamento de pacotes, poderemos realizar a personalização do sistema operacional, instalando tão somente os softwares que desejarmos! Então, em um universo de distribuições, onde algumas destas se subdividem em versões alternativas para cada ambiente gráfico (que nem sempre são tão utilizadas), acredito que seria mais produtivo concentrar os esforços em uma imagem netinstall. Além disso, promoverá melhor o ambiente gráfico padrão, sem contar ainda a possibilidade de definir as aplicações que deverão vir junto deles!
Claro que a idéia em questão servirá apenas para os usuários hardcores, já que os leigos certamente terão dificuldades de realizar a personalização. Ainda assim, acredito que a versão mainstream certamente será suficiente para eles.


O que acham? &;-D

Texto: Ednei Melo

segunda-feira, 16 de maio de 2011

Alterando arquivo hosts Windows com .bat

Segue sintaxe para alterar o hosts do windows via arquivo em lote:

echo 192.168.1.10 test.test.com>>c:\Windows\System32\drivers\etc\hosts



quinta-feira, 5 de maio de 2011

Regra Servidor Virtual iptables

Regra simples e muito útil de redirecionamento de pacotes entre redes.

Cenário:
WAN 172.10.2.35
LAN 192.168.56.1

No exemplo, quando for solicitado a conexão na porta 22 (ssh) para o ip 172.10.2.35, será redirecionado para o host na lan 192.168.56.2

#habilitando o encaminhamento de pacotes:
root@iw000750:~# echo 1 > /proc/sys/net/ipv4/ip_forward

#liberando conexões com destino a porta 22:
root@iw000750:~# iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

#redirecionando pacotes que chegaram na interface 172.10.2.35 porta 22
para a máquina 192.168.56.2
root@iw000750:~# iptables -t nat -A PREROUTING -d 172.10.2.35 -p tcp --dport 22 -j DNAT --to 192.168.56.2

#Na liberação do serviço ssh, pode se implementar um pouco de 
segurança, filtrando a origem com o parâmetro -s, neste exemplo 
restringindo o acesso a porta 22 somente ao host 172.10.2.38 :
root@iw000750:~# iptables -A FORWARD -s 172.10.2.38 -p tcp --dport 22 -j ACCEPT











Alterando Tela "roxa" inicialização Ubuntu

Pra quem acha meio "São Paulino" a tela de inicialização do Ubuntu, edite este arquivo:

 /lib/plymouth/themes/ubuntu-logo/ubuntu-logo.script

os seguintes parametros em negrito, definem as cores (no caso do exemplo foi alterado para a cor preta):

Window.SetBackgroundTopColor (0.00, 0.00, 0.00);     # Nice colour on top of the screen fading to
Window.SetBackgroundBottomColor (0.00, 0.00, 0.00);  # an equally nice colour on the bottom