Può essere necessario, sia usando IIS che Apache, possedere un certificato per le connessioni SSL.
Di solito i certificati vengono rilasciati da terze parti autorizzate, che hanno “reputazione globale” e quindi rilasciano certificati per soggetti “sicuri”, però può essere necessario disporre di un certificato fai da te, per i nostri siti web.
Per fare questo basterà ricorrere ad OpenSSL, praticamente presente in tutte le distribuzioni linux.
openssl req \
-x509 -nodes -days 365 \
-newkey rsa:1024 -keyout mycert.pem -out mycert.pem
Così semplicemente, immettendo i dati richiesti a video, creeremo il nostro certificato.
Se ad esempio vorremmo usarlo in IIS 6, dovremmo convertirlo in PKCS#12 (.pfx) semplicemente facendo
# export mycert.pem as PKCS#12 file, mycert.pfx
openssl pkcs12 -export \
-out mycert.pfx -in mycert.pem \
-name “My Certificate”
L’evento più importante per il mondo VoIP si svolgerà nelle giornate del 26/27 Settembre a Roma, ma solo per gli operatori del settore.
Io ci sarò giovedì 27, e consiglio a tutti questa data perchè si parlerà anche di Asterisk e VoIP Open Source, con la graditissima presenza di Jon “Mad Dog” Hall, presidente di Linux International, e si parlerà di come Asterisk può uscire dall’area “naif” e diventare un punto di forza rispetto ad altri prodotti commerciali.
Inoltre si parlerà del futuribile mVoIP, ovvero il voice over ip sulle reti mobile.
Che dire…magari ci vediamo!
Un saluto a tutti (e sempre più numerosi) i frequentatori del mio piccolo blog, che vuol dare una mano a tutti quelli che fanno un lavoro simile al mio.
Sono in meritate (spero!) ferie, e saltuariamente scriverò qualche novità nei giorni in cui tornerò al lavoro durante l’estate….ho qualcosa in cantiere di interessante sia per il mondo Linux che Trixbox…stay tuned! 
Come promesso ecco il breve resoconto sulla mattinata fiorentina didicata a Novell/SuSE.
Dopo aver affrontato il tremendo traffico di Firenze, io ed il mio collega siamo entrati nella hall, accolti da una signorina sud americana che ci ha fornito il materiale da conferenza, alcune brochure e delle borsine in tessuto tutte rosse con la scritta Novell.
La sala era irradiata da una luce verde molto scenica, colore istituzionale di SuSE, con un banco infarcito di portatili vari e due proiettori, di cui uno faceva e non faceva….(sarà aggiustato nel corso della conferenza).
Dopo un breve preambolo si parte!
Oltre a citare l’accordo con Microsoft, cui a fine conferenza devo riconsiderare non solo negativo, qualche innovazione nel campo dell’integrazione l’ha portata in effetti, si comincia a parlare di SuSE Linux Enterprise Server..
Ora tralasciando aspetti puramente commerciali, su tutti i loro (tanti) clienti, si è parlato anche di prodotti molto interessanti quali XEN per virtualizzazioni e para virtualizzazioni e HeartBeat v2 per i clusters ad alta affidabilità.
Lo XEN integratoin SLES è veramente ottimo, e grazie a i “patti” con M$, è possibile far girare come full virtualization Windows XP in Linux e SLES in Virtual Server 2005 R2 e 2007.
Inoltre il nuovo server Microsoft, ovvero Longhorn supporterà la paravirtualizzazione nativa, quindi potrà essere guest PV in SuSE..
Poi si è parlato di AppArmor, il corrispettivo, ma più flessibile, di SELinux, certificazioni, training e molto altro.
Inoltre è stata provata una “live migration” di una macchina virtuale Xen attraverso l’ausilio di HeartBeat 2..
Inoltre è interventuto un signore dal Texas, del reparto di ricerca e sviluppo Linux di IBM, che ha illustrato alcuni interessanti prodotti “entry-level” Liux di IBM.
Dopo il meritato coffe break è stata la volta di SuSE Linux Enterprise Desktop, con le sue caratteristiche di integrazione con Active Directory, OpenOffice e support macro VB, di standard aperti con ODF ed interoperabilità con OpenXML.
A chiudere un barboso intervento di AMD, barbosamente commerciale…
Alla fine le solite chiaccherate di rito, domande più o meno intelligenti (alcune proprio banali..ma la gente cosa ascolta????) e poi pranzo buffet!!
La cosa migliore?Sicuramente il buon vino Chianti!
Apparte gli scherzi, Novell mi ha fatto una buona impressione e credo che commercialmente abbia una marcia in più rispetto a RedHat..poi a me sono sempre piaciuti i camaleonti!!
ps.
A breve qualche foto, camaleonte compreso!
Domattina con un mio collega saremo al seminario Novell, tenuto a Firenze, dal titolo “SuSE Linux Tour” in cui saranno illustrate le caratteristiche salienti di questa distribuzione, in ambito enterprise. (SuSE Linux Enterprise 10)
Sono curioso di sentire se verrà mai fatto riferimento all’accordo tra Novell e Microsoft, e soprattutto in che termini!
In caso sarò li per protestare!!
A presto!
Qualche giorno di ritardo, infatti il 13 Febbraio è uscita l’ultima release candidate, la due di Trustix Secure Linux.
Infatti come annunciato sul sito, il prossimo rilascio sarà la versione stabile.
Essenzialemente questa versione rispetto alla precedente porta bugs fix e aggiornamenti ad alcuni pacchetti.
Tutte le info sul sito ufficiale.
Ciao, dopo qualche giorno di silenzio totale, dovuto a taaaanto lavoro, eccomi qui a ripostare qualche cosuccia, spero utile!
In questi giorni, il nostro pbx aziendale ha avuto qualche problema, e dopo qualche indagine, ho trovato che i problemi erano sui driver mISDN, infatti sul log messages avevo tali messaggi, un pò random
Feb 12 17:46:03 pbx kernel: mISDN dss1 fromup without proc pr=35a80 dinfo(112dd9)
Feb 12 17:46:49 pbx kernel: mISDN dss1 fromup without proc pr=35a80 dinfo(112ddc)
Feb 12 17:47:03 pbx kernel: mISDN dss1 fromup without proc pr=35a80 dinfo(112ddd)Feb 13 11:32:45 pbx kernel: mISDN_rdata: rport queue overflow 256/256 [addr:52020201 prim:120282 dinfo:ffffffff]
Feb 13 11:32:45 pbx kernel: mISDN_rdata: rport queue overflow 256/256 [addr:52010401 prim:120282 dinfo:ffffffff]
Feb 13 11:32:45 pbx kernel: mISDN_rdata: rport queue overflow 256/256 [addr:52020201 prim:120282 dinfo:ffffffff]Feb 13 13:05:35 pbx kernel: mISDN_FsmAddTimer: timer already active!
Feb 13 13:08:32 pbx kernel: mISDN: prim 280 addr 1000000 not implemented
Feb 13 13:08:55 pbx kernel: mISDN dss1 fromup without proc pr=35a80 dinfo(80070)
Feb 13 13:57:28 pbx kernel: mISDN dss1 fromup without proc pr=35a80 dinfo(a0107)
Feb 13 13:59:49 pbx kernel: mISDN: INTERNAL ERROR in /usr/src/install-misdn-mqueue/mqueue-misdn/mISDN/drivers/isdn/hardware/mISDN/stack.c:971 register duplicate 50010800 d91c3400 d91c3400
Feb 13 13:59:49 pbx kernel: mISDN: INTERNAL ERROR in /usr/src/install-misdn-mqueue/mqueue-misdn/mISDN/drivers/isdn/hardware/mISDN/stack.c:1180
Feb 13 13:59:49 pbx kernel: mISDNd: addr(f0000) prim(f1980) failed err(-22)
Feb 13 13:59:54 pbx kernel: mISDN: prim 280 addr 1000000 not implemented
Feb 13 13:59:54 pbx kernel: mISDN: prim 280 addr 1000000 not implemented
Feb 13 14:01:20 pbx kernel: mISDN: INTERNAL ERROR in /usr/src/install-misdn-mqueue/mqueue-misdn/mISDN/drivers/isdn/hardware/mISDN/stack.c:971 register
E così via…
Bhe questi problemi sembravano affliggere solo le versioni di mISDN precedenti alla 1.0.4, e potete risolvere installando la nuova versione, seguendo le istruzioni in un mio precedente post o dal sito misdn.org.
Però potrete incorrere, come me, nei seguenti errori
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c: In function `handle_bmsg’:
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:2770: error: `HW_ECHOCAN_ON’ undeclared (first use in this function)
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:2770: error: (Each undeclared identifier is reported only once
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:2770: error: for each function it appears in.)
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:2783: error: `HW_ECHOCAN_OFF’ undeclared (first use in this function)
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c: In function `release_ports_hw’:
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:3511: warning: ISO C90 forbids mixed declarations and code
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c: In function `hfcpci_probe’:
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:4188: warning: ISO C90 forbids mixed declarations and code
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c: In function `HFCmulti_cleanup’:
/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.c:4378: warning: unused variable `i’
make[3]: *** [/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN/hfc_multi.o] Error 1
make[2]: *** [_module_/usr/src/install-misdn-mqueue/mISDN-1_0_4/drivers/isdn/hardware/mISDN] Error 2
make[2]: Leaving directory `/usr/src/linux-2.6.15.2′
make[1]: *** [all] Error 2
make[1]: Leaving directory `/usr/src/install-misdn-mqueue/mISDN-1_0_4′
make: *** [mISDN-1_0_4] Error 2
Bene, basta che prima di eseguire il make, lanciare make force.
Ringrazio corona33cl del forum vocesuip.com per la soluzione!
The bad packets stop here, come recita il sito ufficiale.
IPCop è una delle prime e meglio riuscite distruzioni linux dedicate al firewalling.
Piccola, veloce ed immediata, è l’ideale per creare firewall con semplicità, ma può essere dotata di decine e decine di addons, quali content filtering (SquidGuard o Dansguardian), antivirus, monitoraggio reti, server OpenVPN e così via.
Inoltre da svariati test effettuati è molto più performante, sia in termini di ritardo di rete che di semplice reboot rispetto al suo fork italiano, Endian.
Personalemente ho usato entrambi, ma tropo IPCop meno “legata” e molto più customizzabile, specialemente per quanto riguarda il Content Filtering e controllo sulle connessioni in uscita.
A dire il vero questi sono moduli di IPCop, chiamati BOT e COP+.
Infatti per fare un firewall completo consiglio di installare oltre ai componenti sopracitati anche Net-Traffic, un comodo “riepilogo” del traffico, giornaliero, settimanale, mensile etc..etc..
Il sito maggiore per gli addons è http://firewalladdons.sourceforge.net oltre a http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopAddons .
Ah ovviamente IPCop supporta l’IDS Snort, utilissimo anche per individuare attività come la replicazione dei worms.
Tempo permettendo posterò via via configurazioni e “trucchetti” su vari moduli 
Per finire, cosa molto interessante, dal road map della distribuzione è previsto il passaggio al kernel 2.6 nella versione 1.5 e all’utilizzo di Shorewall per la creazione delle regole dalla versione 1.6
Uno dei principali usi del nostro amato GNU/Linux è sicuramente quello del firewall.
Potente, economico, versatile e facile da configurare…bhe non sempre!!!
Rispetto ad ipchains, il vecchio firewall che stava nei kenrnel 2.0, Iptables/Netfilter ha reso la sintassi meno contorta, ma per creare regole elaborate può essere sempre una pratica ostica.
Inoltre le appliances firewall commerciali più conosciute, permettono di considerare il traffico entrante ed uscente non in schede di rete, ma in visione più ampia, in zone.
Ogni zona può “gestire” anche più schede di rete, e le interazioni tra zone saranno governate da policy di default che potranno essere “superate” da regole specifiche, ma andiamo con calma!!
Il files fondamentali che troverete in /etc/shorewall sono i seguenti
- zones
- interfaces
- policy
- rules
Ovviamente i nomi sono esplicativi, definizione delle zone, delle interfacce per ogni zona, delle policy di default tra zone e le specifiche regole.
Adesso vi riporterò una configurazione tipica con due schede di rete, con regole che bloccano il traffico di ingresso se non verso determinati ip, blocco totale del traffico in uscita (nattato) escluso determinate porte ed inoltre dei redirect per l’interazione con Dansguardian/Squid e p3scan, ovviamente il nome delle zone sono indicativi
/etc/shorewall/zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
verde ipv4
rossa ipv4
#LAST LINE – ADD YOUR ENTRIES ABOVE THIS ONE – DO NOT REMOVE
/etc/shorewall/interfaces
#ZONE INTERFACE BROADCAST OPTIONS
verde eth0
rossa eth1 - routeback
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE
/etc/shorewall/policy
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
rossa fw DROP
rossa verde DROP
verde fw ACCEPT
verde rossa DROP
fw verde ACCEPT
fw rossa ACCEPT
#LAST LINE — DO NOT REMOVE
/etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT(S) PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
LOG:info verde fw tcp 22
LOG:info verde fw tcp 10000
ACCEPT rossa:XX.XX.XX.XX $FW tcp 22
ACCEPT rossa:XX.XX.XX.XX $FW tcp 10000
DNAT rossa:XX.XX.XX.XX verde:192.168.0.113 tcp 3389
REDIRECT verde 8110 tcp 110
REDIRECT verde 8080 tcp 80
ACCEPT verde rossa tcp 13,17,21,22,23,25,43,53,80,81,110,113,119,143,443
ACCEPT verde rossa tcp 465,993,995,1352,1755,1863,2003,2345,3389,4711
ACCEPT verde rossa tcp 2082,2401,4800,4899,5190,5900,7070,8080,8081,8443,8827,8775,10000
ACCEPT verde rossa tcp 50022,50080
ACCEPT verde rossa tcp 6665:6669
ACCEPT verde rossa tcp 1001:1010
ACCEPT verde rossa tcp 65120:65122
ACCEPT verde rossa tcp 60000:60010
ACCEPT verde rossa tcp 31443
ACCEPT verde rossa udp 37,53,123,3052,4569
Due breve righe su casi particolari (messi per esempio)
ACCEPT rossa:XX.XX.XX.XX $FW tcp 22 (accetta collegamenti ssh da un determinato ip)
ACCEPT rossa:XX.XX.XX.XX $FW tcp 10000 (accetta collegamenti sulla porta webmin)
DNAT rossa:XX.XX.XX.XX verde:192.168.0.113 tcp 3389 (port forwarding su un server windows 2003 interno. sempre solo da un determinato ip esterno)
REDIRECT verde 8110 tcp 110 (per il check del traffico da parte di p3scan)
REDIRECT verde 8080 tcp 80 (per il controllo dei contenuti da parte di Dansguardian)
Questa serie di regole dovrebbero permettervi una navigazione tranquilla degli utenti, ma anche una certa sicurezza (ad esempio impedire il peer to peer)
Maggiori info sulla sintassi le trovate nella documentazione ufficiale.
Inoltre le distro più adatte per questo uso, IMHO sono Debian e Trustix.
A presto con nuovi articoli sul tema!
Ah dimenticavo, un ottimo frontend per Shorewall è l’onnipresente Webmin!
Previous Entries
Categories
Tag Cloud
Blog RSS
Comments RSS
Last 50 Posts
Back
Void 
Life 
Earth 
Wind 
Water 
Fire