Tengo instalado ubuntu 8.0 la ultima version y interesado en un firewall para mejorar aun mas la seguridad.
Tengo instalado ubuntu 8.0 la ultima version y interesado en un firewall para mejorar aun mas la seguridad.
te viene por defecto con iptables
y para configurarlo, podes usar firestarter
sudo apt-get install firestarter
Quizá te sea útil esto:
http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall-html/
Salu2
Keep on Rollin'
es algo que me paso a mi cuando me cambie a GNU/Linux, acostumbrado a una ventanita para mi firewall, me preguntaba, cómo veo las conexiones activas ? cómo se cuando alguien me escanea los puertos ?
estaria bueno tener en GNU/Linux algo medio integrado, pero mientras...
yo para ver mis conexiones uso: ss y bueno, el firewall ya lo configure con firestarter
aun así, como dice j8.. siempre es bueno tener nociones de como trabajar con iptables, ya que es increible todo lo que se puede hacer con él.
Para la monitorización de interfaces y servicios se puede usar Nagios (aunque no es tan trivial).
Yo para ver las conexiones activas uso netstat, claro está. Y para configurar iptables uso... iptables
Sabiendo los comandos del sistema que te proporcionan la información que quieres, y con unas nociones en programación, te puedes hacer virguerías. Por ejemplo, puedo hacerme un pequeño servicio web, con python, que me genere los reportes en html, me prepare un bonioto pdf listo para la descarga o me muestre todo en una ventana tradicional. El caso es que hay muchas formas para elegir
Salu2
Keep on Rollin'
a mi lo que no me gusta de netstat es que
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Ruta
y todo lo que aparece despues.
y cada vez que quiero ver las conexiones tengo que subir el scroll.. ( si lo hice en un terminal, porque por lo general para ver conexines lo hago en tty6 y ahí marche :-/ )
en cambio con ss, veo solo los shockets, y si quiero nombres ss -r
ss me gusta mucho más
lo encontre navegando por el /sbin y me quede con él.
Me voy a mirar el nagios a ver que tal
Saludoss
Si quieres ver los servicios tcp a la escuchaPara las conexiones tcp establecidas simplemente no filtres con grepCódigo:netstat -atpn | grep LISTENPara todas las conexiones sumas la u de udpCódigo:netstat -atpnPD: ss sin argumentos no te dice los demonios a la escucha. ¿Sabías que tienes `sudo netstat -atpn | grep LISTEN | wc -l` demonios a la escucha en tu sistema? ¿Estás seguro de que los necesitas todos?Código:netstat -atupn
Si la respuesta a la pregunta última es negativa, update-rc.d -f servicio remove es lo que tienes que hacer para que no inicie a cada arranque. Por ejemplo, para que /etc/init.d/nfs-common no inicie en cada reinicio:Salu2Código:update-rc.d -f nfs-common remove
Keep on Rollin'
j8, eres, sin duda alguna, el mejor.
No sé por qué tengo la sensación de que me estás haciendo la pelota xD
Salu2
Keep on Rollin'
No te estoy haciendo la pelota, porque no tengo motivo, pero es que realmente para concatenar "sudo netstat -atpn | grep LISTEN | wc -l" hay que tener maña. Bueno, realmente no, pero para saber tantos comandos hay que tener maña. O una carrera...
Nah, no es nada, lo que pasa es que con shell scripting se puede hacer casi todo.
Te pongo un ejemplo, es uno de mis preferidos, sirve para ordenar por nivel de señal la salida de iwlist (lista de puntos de acceso al alcance):
PD: Como se puede apreciar no se trata de sh ni de bash, sino de kshCódigo:#!/bin/ksh x=; ctrla=$(print -n '\001'); ctrlb=$(print -n '\002'); ctrlc=$(print -n '\003') cont=0 (cat; print Cell) | while IFS= read -r line; do if [[ $line = *@(Cell)* ]]; then [[ -n $x ]] && print -r -- "$x" x="$ctrlc$line" elif [[ $line = *@(Signal level)* ]]; then level=$(print -r -- "$line" | \ sed 's/^.*Signal level=\([0-9-]*\) .*$/\1/') x=$level$ctrlb$x$ctrla$line else x=$x$ctrla$line fi done | sort -nrt"$ctrlb" | sed "s/^.*${ctrlb}//" | sed "s/^.*${ctrlb}//" | tr '\ 001' '\012' | while IFS='\012' read -r linea; do [[ $linea = *@($ctrlc)* ]] && $((++cont)) 2> /dev/null echo $linea | sed "s/${ctrlc}/$cont/" done
Salu2
Keep on Rollin'
Como bien dice nuestro compi j8 ese es el script en Korn Shell de como hacer las rosquillas de la abuela de casillas
Dios. Korn Shell. Pensaba que solo sabían escribir en ese lenguaje sus creadores. Me cago en la puta.
PD: Me está siendo útil tu script.
Última edición por Nost; 15-07-2008 a las 09:44
joe.. j8 is god !!
con los demonios, me acabo de enterar que hay 4 o 3 que no estoy seguro de saber de dónde salen.. pero con nagios ya van 9 :-/
y yo creia que me habia armado un buen script xD
y lo paro con Ctrl+c xDCódigo:#! /bin/bash a=0 while a=0; do iwconfig wlan0 > ~/signall; grep 'Signal level' ~/signall; rm ~/signall; clear; done;
esa es mi verción para ver la señal del wifi que siempre corro en tty6, :$ xD
realmente es útil, pero no es muy prolijo que digamos :-/
bastante rudimentaria es la cosa mia en bash :-/ xD
En fin.. larga vida a j8 the god's GNU/Linux !
Última edición por Cypress; 15-07-2008 a las 11:53
ksh es muy parecido a sus primos bash, sh, etc. Pero añade funcionalidades muy útiles. A mí personalmente me gusta más que ninguno
Aunque en debian mantengo a bash como $SHELL, en openbsd es ksh a quien tengo, y dudo mucho que lo derroquen
Mira que sois exagerados, yo no soy ningún gurú de ksh, sólo un usuario modestito . A mí me costó meses comprender el conjunto de los mecanismos que aparecen en el script (después de años de uso de intérpretes de comandos), y no es para tanto, lo que pasa es que está condensadito xD
Cypress, tu script se puede reducir un poquito. No necesitas variable, ni archivo temporal.
Veo que no hay una pausa entre cada iteración del bucle, por lo que se ejecutaría el comando una y otra vez, "pausado" sólamente el tiempo en que realmente se está ejecutando el comando aunque sin imprimir en pantalla. Puedes pausarlo unos momentos, digamos 5 segundos. De todas formas no creo que en ese tiempo cambie demasiado el panorama de los puntos de acceso cercanos. Si quieres una representación a tiempo real más fidedigna puedes usar herramientas como kismet o airodump.
Con los cambios, quedaría algo así:
Pero si además de las señales, quieres ver los ESSIDs a los que corresponden, debes cambiar los argumentos de grep:Código:#! /bin/bash while ((1)); do iwconfig wlan0 | grep 'Signal level' sleep 5 done
Y si quieres un pelín de formato, puedes valerte del poderoso sed:Código:#! /bin/bash while ((1)); do iwconfig wlan0 | grep -e 'Signal level' -e 'ESSID' sleep 5 done
Salu2Código:#!/bin/sh clear while ((1));do clear echo -e "\t\t\t+---------------------------------------+\n\t\t\t| |\n\t\t\t| Wireless AP's Monitor (by j8k6f4v9j) |\n\t\t\t+---------------------------------------+" echo -e \ `iwconfig wlan0 2> /dev/null \ | grep -e 'ESSID' -e 'Signal level' \ | sed \ -e "s/^.*ESSID:\(.*\) .*$/Punto de acceso: \1/" \ -e "s/^.*Signal level=\([0-9-]*\) .*$/Señal: \1/"` sleep 5 done
Keep on Rollin'
El poderoso sed dice... ¡el poderoso j8! Joer, que máquina...
Marcadores