Arquivo fevereiro 2011

Comando mtr

O comando mtr é mais uma das muitas ferramentas para diagnósticos de rede em sistemas Linux, o mesmo combina a funcionalidade dos comandos ping e traceroute em um único programa.Ao iniciar, o mtr verifica a conexão entre o host de origem (localhost por exemplo), até um host de destino (www.minimedia.com.br por exemplo). O mtr traça os resultados dos comandos de acordo com o host name verificando o percentual de perdas e tempos de reposta. Abaixo segue um exempo de uso do comando mtr:

leandro@r2d2:/tmp$ mtr -r -c 4 www.minimedia.com.br
HOST: r2d2                        Loss%   Snt   Last   Avg  Best  Wrst StDev
1. 192.168.254.1                 0.0%     4    0.2   0.2   0.1   0.2   0.0
2. core-spo-65.brc.com.br        0.0%     4    0.6   0.6   0.6   0.7   0.1
3. atm-25695-0-0-2.spo.gvt.net.  0.0%     4    2.6   4.9   2.6  11.6   4.5
4. gvt-ge-0-1-2-rc01.spo.gvt.ne  0.0%     4    2.6   2.6   2.5   2.6   0.0
5. ???                          100.0     4    0.0   0.0   0.0   0.0   0.0
6. 200.221.136.174               0.0%     4    4.5   8.3   4.4  17.7   6.3
7. 200.221.30.174                0.0%     4   26.0  23.9  21.3  26.4   2.7
8. whl0019.whservidor.com       25.0%     4   24.6  28.9  21.4  40.8  10.4

Neste exemplo a análise é realizada ao host www.minimedia.com.br, a opção -c foi utilizada para que fossem enviados 4 pacotes, a opção -r para o resultado da linha de comandos ser exibida durante os 4 ciclos, ambas as opções podem ser combinadas para sua utilização, caso as mesmas sejam omitidas, o resultado ficará sendo exibido até que o mesmo seja interrompido com a combinação de teclas control + c. Também é possível utilizar o mtr pela interface gráfica (GTK) caso a mesma esteja instalada no sistema utilizando a opção -g ou –gtk, caso esteja executando com um usuário comum, é provável que o mtr seja aberto em GTK, se o desejo for executar no console, deve ser utilizada a opção -curses ou -t.

Outras três opções interessantes, são as opções -i –n e -a, a primeira diz o intervalo em que serão enviados os pacotes, por exemplo, para enviar os pacotes de três em treês segundos, utilizamos:

leandro@r2d2:/tmp$ mtr -i 3 www.minimedia.com.br

A opção -n é utilizada para que não sejam resolvidos nomes,e a opção -a, para especificar o endereço de saída, por exemplo, se quisermos que nosso teste seja realizado através de um segundo link de internet localizado no device eth2, devemos prosseguir da seguinte forma:

leandro@r2d2:/tmp$ mtr -a 200.200.200.200 www.minimedia.com.br

Onde 200.200.200.200 é nosso segundo link de internet. O mtr é uma ferramenta muito útil para detectar problemas em uma rede, principalmente quando o link de internet possui problemas e os técnicos da operadora dizem que o mesmo está normal, pelo campo Loss, é possível identificar perdas no link e descobrir de onde vem a lentidão. Maiores informações sobre o mtr e downloads específicos estão disponíveis em sua home pega em http://www.bitwizard.nl/mtr/ e de sua página de manual.

Sendmail – Relay

Os arquivos /etc/mail/access e /etc/mail/access.db do sendmail servem para definir quais hosts e redes poderão enviar emails através de nosso servidor sem a necessidade de autenticação. Abeixo segue um exemplo do arquivo /etc/mail/access permitindo que somente a rede local e o localhost enviem emails sem a necessidade de autenticação:

0.0.0.0 REJECT
192.168.0 RELAY
127.0.0.1 RELAY
localhost RELAY
localhost.localdomain RELAY

No exemplo acima definimosque somente a rede local e o localhost enviem emails, essa característica é super recomendada, principalmente pelo alto índice  de spammer que utilizam servidores mal configurados para enviar emails não autorizados. Para que as configurações tenham efeito, não basta somente editar o arquivo /etc/mail/access, é necessário enviar estas informações para o arquivo /etc/mail/access.db, este é um banco de dados com informações do arquivo /etc/mail/access com informações de regras que irão permitir ou negar relay para um domínio host ou rede, utilizaremos a linha de comandos abaixo para esta operação:

[root@host root]# makemap hash /etc/mail/access.db < /etc/mail/access

Esta operação fará com que o conteúdo do arquivo /etc/mail/access seja enviado para o arquivo /etc/mail/access.db, após as alterações, é necessário que o sendmail releia a nova configuração, isso pode ser realizado reiniciado o serviço ou recarregando o mesmo passando os parâmetros reload ou restar ao scripts de inicialização do sendmail:

[root@mail root]# /etc/init.d/sendmail reload

Ou

[root@mail root]# /etc/init.d/sendmail restart

Após este procedimento, o servidor de emails já contará com um recurso a mais em segurança, onde será evitado o envio de mensagens não autorizadas e utilização do servidor por spammers. Vale lembrar também que os usuários devem possuir senhas fortes para que as mesmas não sejam quebradas por ataques de brute-force.

Servidor Virtual

Em muitos casos, temos a necessidade de acessar determinado host ou serviço interno em nossa rede quando estamos fora da mesma, um exemplo deste caso seria acessar uma estação de trabalho ou servidor remotamente utilizando o serviço de terminal da Microsoft, abaixo temos o exemplo de como acessar o host 192.168.0.2 de outras localidades:

xwing:~#iptables -t filter -I FORWARD -s 200.201.200.201 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT
xwing:~#iptables -t nat -I PREROUTING -p tcp --dport 3389 -i eth1 -j DNAT --to 192.168.0.2:3389

A primeira regra libera o endereço ip 200.201.200.201 para que o mesmo tenha permissão de entrada na rede através do device eth1 (device com ip válido), e 3389, a segunda regra redireciona o tráfego da porta padrão do serviço de terminal para a porta 3389 do host 192.168.0.2. Para que a conexão deja devolvida corretamente do host 192.168.0.2, é necessário que o mesmo possua o endereço da interface de rede interna como gateway, caso contrário as requisições podem ser perder pela rede. No caso da criação de redirecionamentos utilizando a tabela nat, o administrador deverá estar atento a segurança, e utilizar autenticação no host interno, pois neste caso o firewall somente redireciona a conexão.

Zero Conf

Caso o sistema seja iniciado / reiniciado, e a rota zero-conf (169.254.0.0) esteja habilitada, em sistemas baseados em Red Hat Linux a mesma pode ser desabilitada utilizando o comando route, porém existe uma forma bem mais simples e definitiva para desabilitar a rota zero-conf. Basta editar o arquivo de configurações /etc/sysconfig/network e adicionar a seguinte opção no final do arquivo:

NOZEROCONF=yes

Após este procedimento, na proxima inicializaçao do sistema a rota zero-conf não será mais carregada, para obter mais informaçoes sobre a lrota zero-conf, é recomendada uma visita em seu site http://www.zeroconf.org/.