Cerezos en flor (II)

Two years later…

GP de Francia F1 2008

¡¡¡¡¡YA SON MÍAS!!!!! )))))))))))))))))))))))))))))))))))))))))))

Firewall con IPTABLES con DROP como política por defecto

Hace unos días me tocó estar peleándome con IPTABLES para montar un pequeño firewall en una máquina Linux con tres interfaces de red para las tres zonas a filtrar (LAN, DMZ y WAN). Quería implementarlo con política por defecto DROP para todas las cadenas y buscando por internet algún ejemplo en el que basarme, me di cuenta de que no abundan, sino que, la gran mayoría de los scripts que encontré, tienen ACCEPT como política por defecto. Por éso, se me ha ocurrido publicar aquí el script que preparé. No es que sea muy complejo y seguro que no está todo lo optimizado que podría, pero a lo mejor le puede servir a alguien para hacerse un idea, caso de que necesite algo de ayuda y esté buscando por la web algún ejemplo con política DROP. Por lo menos a mí, me hubiera venido bien encontrar algo así en su día, así que aquí dejo el script junto con su esquema de red correspondiente.

 

## 1. Seguridad del equipo FW

# FLUSH de reglas (limpia todas las cadenas,
# borra cadenas vacías y pone a 0 los
# contadores de paquetes y bytes)
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# Poner por defecto la regla “Denegar todo”.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP

# Permitir el tráfico de entrada hacia el FW
# por la interfaz eth0 (LAN)
iptables -t nat -A PREROUTING -i eth0 -j ACCEPT

# Permitir el acceso al FW desde el equipo del administrador
# (10.0.0.1) por Telnet (puerto 23).
# Al haberse establecido que la política por defecto sea DROP,
# hay que permitir el tráfico en los dos sentidos.
iptables -A INPUT -s 10.0.0.1 -p tcp –dport 23 -j ACCEPT
iptables -A OUTPUT -d 10.0.0.1 -p tcp –sport 23 -j ACCEPT

# Evitar intentos de IP Spoofing
# El spoof vendría de la red externa (WAN) a través de la
# interfaz eth1, por eso se rechaza todo el tráfico que
# entre por la eth1 con una ip de origen de la red interna
# (192.168.100.0/24 y 10.0.0.0/24), que sería una ip falseada.
iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j DROP

## 2. Conexiones LAN-DMZ

# IMPORTANTE:
# Activación del BIT de FORWARDING, para permitir hacer
# FORWARD de paquetes en el firewall.
echo “1″ > /proc/sys/net/ipv4/ip_forward

# Permitir el tráfico de salida por eth2 (DMZ)
iptables -t nat -A POSTROUTING -o eth2 -j ACCEPT

# Permitir a todos los equipos de la LAN hacer consultas
# UDP al servidor DNS de la DMZ.
iptables -A FORWARD -s 10.0.0.0/24 -d 192.168.100.1 -p udp –dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.100.1 -d 10.0.0.0/24 -p udp –sport 53 -j ACCEPT

# Permitir hacer PING a los equipos de la DMZ desde la LAN.
iptables -A FORWARD -s 10.0.0.0/24 -d 192.168.100.0/24 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 10.0.0.0/24 -p icmp -j ACCEPT

# Permitir al equipo del administrador acceso total a la DMZ.
iptables -A FORWARD -s 10.0.0.1 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 10.0.0.1 -j ACCEPT

## 3. Conexiones WAN-DMZ

# Aplicar NAT a los servidores de la DMZ 192.168.100.2
# (HTTP y HTTPS) y 192.168.100.1 (DNS) para ocultar su IP interna.
# Así los paquetes que lleguen con destino a la DMZ y esos puertos,
# se encaminarán a esos servidores.
iptables -t NAT -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to-destination 192.168.100.2:80
iptables -t NAT -A PREROUTING -i eth1 -p tcp –dport 443 -j DNAT –to-destination 192.168.100.2:443
iptables -t NAT -A PREROUTING -i eth1 -p udp –dport 53 -j DNAT –to-destination 192.168.100.1:53

# Permitir la conexión al servidor WWW de la DMZ
# desde la WAN por HTTP (puerto 80).
iptables -A FORWARD -p tcp –dport 80 -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp –sport 80 -i eth2 -o eth1 -j ACCEPT

# Permitir la conexión al servidor WWW de la DMZ
# desde la WAN por HTTPS (puerto 443).
iptables -A FORWARD -p tcp –dport 443 -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp –sport 443 -i eth2 -o eth1 -j ACCEPT

# Permitir la conexión al servidor DNS de la DMZ
# desde la WAN por el puerto 53 (udp).
iptables -A FORWARD -p udp –dport 53 -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -p udp –sport 53 -i eth2 -o eth1 -j ACCEPT

## 4. Conexiones WAN-LAN

# Por tener la política por defecto en DROP, no se puede acceder
# a la LAN desde la WAN ni viceversa. Si desde la LAN se debiera
# poder acceder a algún servicio en la WAN, añadiríamos las líneas
# que vienen a continuación. En este ejemplo, para salir a la WAN
# por HTTP y HTTPS. En primer lugar se enmascaran las IPs de la
# LAN al salir a la WAN y después se habilita el tráfico en los
# dos sentidos para el puerto 80 y el 443.

# Enmascarar la IP de los equipos de la LAN
# a la hora de salir hacia la WAN.
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE

# Se permite el acceso hacia el exterior (WAN) para
# navegación web (HTTP y HTTPS).
# El resto de las conexiones desde el exterior (WAN)
# hacia la red interna (LAN) (las que no proceden de los
# puertos 80 y 443) no están permitidas por haber establecido
# por defecto la regla “denegar todo” (DROP).
iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state –state NEW,ESTABLISHED,RELATED –dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state –state ESTABLISHED,RELATED –sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state –state NEW,ESTABLISHED,RELATED –dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state –state ESTABLISHED,RELATED –sport 443 -j ACCEPT

Mañana será otro día

A veces me pregunto si no estaría mejor sin vacaciones. Total, que uno se las ve y se las desea para poder coger una miserable semana, y cuando vuelve al curro se pregunta si, para estar unos pocos días de vacaciones, merece la pena encontrarse a la vuelta con tantas preocupaciones esperándote. Y es que a veces pesan. Vale que tengo un curro de puta madre (aunque ya podría ganar un poco más, que creo que es poco para lo que hago), pero tener en la cabeza tantas cosas abiertas y pendientes, pesan. Cada una pesa su pequeña parte y todas juntas pesan mucho. Pesa el ser responsable de que aquéllo llegue a buen puerto y pesan los kilos de presión que ejercen ciertas personas interesadas en la conclusión del asunto. Personas que no tienen ni idea del trabajo que supone ciertas tareas. Personas que lo más que saben de informática es abrir el Word en el ordenador. Personas que a veces ni conoces y que posiblemente nunca llegues a conocer, pero que tienen poder suficiente como para, desde la lejanía, sobrecargar más aún las sinapsis de tus neuronas. Cuando vuelvo de vacaciones, me encuentro siempre con todo lo que se quedó pendiente al comenzarlas y algo más. Siempre hay algo más, aunque dejes tu puesto de trabajo por dos tristes días. Al ir acabando tu semanita libre, piensas: “la última vez. La próxima me cogeré dos semanas enteras“. Iluso de mí. Créeme si te digo que ahora dudo de esas mismas palabras. Contento si puedes cogerte vacaciones la próxima oportunidad que quieras o si no tienes que volver a cancelarlas otra vez más a mitad de ellas porque ha surgido aquéllo tan importante.

Puedo envidiar muchas cosas de mucha gente, pero en estos momentos me acuerdo del Atlas aquél que sin rechistar aguantaba todo el peso del firmamento y del mundo sobre sus hombros… y yo quejándome…

Esto último me recuerda una frase de una canción de Metallica: “You insist that the weight of the world should be on your shoulders…” Pues aquí que va, qué narices…

Cuando alguien te gana al Wii Sports…

Después de un mes sin actualizar ésto, que parece que hasta mis neuronas han cogido vacaciones en Agosto, vuelvo con algo que me ha pasado jugando al Wii Sports.

Ha sido una experiencia que he vivido por primera vez. Después de tanto tiempo con la Wii en casa, me faltaba experimentar lo que se siente al ser derrotado en el Wii Sports, sin que tal hecho fuera fruto de la casualidad y de la buena o mala suerte, y de encontrar alguien con quien un enfrentamiento me llevara a tener que jugar concentrado. Pues ya lo he experimentado. Después de una larga e igualada lucha sin cuartel, al más alto nivel, y a lo largo de 9 hoyos, me han ganado al golf. Pero ahí no queda éso. He de reconocer que tal osadía ha sido perpetrada por una mujer. Una mujer que no había tocado una Wii hasta hace cuatro días (si ya era sabido que ésas manos tenían algo especial…). Añado también que no fue fruto de la casualidad, puesto que partidas anteriores ya venía amenazando con ganar y además lo consiguió con algún que otro golpe flipante.

Así pues, sirvan estas líneas para rendir pleitesía a mi rival y otorgarle públicamente el título de Maestro.

Un besote de parte de su discípulo.

Summercase

De jueves a lunes. 5 días. Para mí ya se han acabado las vacaciones de verano. Y han servido para acabar de darme cuenta de que la cana que me encontré hace poco ante el espejo del baño era real. Una pequeña escapada a Barcelona para estar en el SUMMERCASE ha terminado por demostrar que ya estoy un poco viejo, y es que hay que ver lo que me ha costado recuperarme de todas esas horas de festival de este fin de semana pasado. Eso sí, por supuesto que ha merecido la pena. Nada más que el hecho de ver al genial DJ Shadow, ya me ha dejado un buen recuerdo. Lo demás todo muy bien y tal, pero el directo del DJ americano era algo que llevaba tiempo esperando. Encima, la excusa de organizar esta pequeña escapada para el festival, y para rematar las minivacaciones, me ha llevado a disfrutar de una buena compañía, que si bien era esperada, no me imaginaba que pudiera acabar de bordar de la manera que lo ha hecho las “vacaciones” de verano del 2007.

DJ Shadow – Organ Donor Live @ Brixton Academy

Regreso del paraíso

He vuelto de pasar una semana en el paraíso, y es que he cumplido uno de mis mayores sueños desde que era un crío. He estado una semana en el Valle del Motor, en Italia: Parma, Modena, Maranello, Bolonia,… El paraíso es estar durmiendo en la habitación del hotel y ser despertado por los rugidos de los V10 y V12 de los Lamborghini que los probadores de la fábrica situada a escasos cuatro kilómetros de allí, en Sant’Agata Bolognese, testeaban en la carretera que circundaba al hotel a modo de circuito de pruebas.

Aquí “cazamos” un Gallardo Superleggera, con algo de camuflaje. Pues así durante toda la semana, ¿es o no el paraíso?

Escuchando… Massive Attack

Estas dos canciones me encantan. Creo que no podría dejar de escucharlas nunca. Son un poco tristes, pero me encanta escucharlas cuando estoy solo, con todo en silencio y el volumen bien alto. Siempre las escucho juntas.

La primera, “Angel“.

Y la segunda, “Teardrop“. Esa voz de Elizabeth Fraser… Ésta guarda un pequeño secreto para mí y nunca olvidaré el día que la disfruté en directo, estuve días con esa voz dentro de mi cabeza.

Wii and Mii

¡Qué dinero más bien gastado oye! Estoy encantado con mi Wii. Después de dos meses sigo disfrutando tanto o más qu el primer día jugando al tenis o al golf, y me parecía que sería un juego sólo para unos días. Hace poco también terminé el “Zelda: Twilight Princess” y ha sido de lo mejor que he jugado nunca (y llevo muchos años videoviciándome), tanto que, en cuanto acabe el que tengo entre manos, lo empezaré de nuevo y eso que he invertido más de 60 horas de juego para terminarlo. Ahora mismo estoy cargándome yakuzas a tiro y katanazo limpio (ja, ja, ja, (risa maléfica)) con el “Red Steel” que, sin llegar al nivel del Zelda, está siendo la mar de entretenido (algunos dirían que estoy mal del tarro y soy un psicópata en potencia, pero bueno).

Después no se cuál vendrá, pero no pierdo ojo de lo que serán los próximos lanzamientos para la consola; ¿que tal el nuevo Sonic? ¿o el Mario Galaxy y el Party? Si, pues cuando le toque el turno a Metroid… uffff pa que, pa que…

Como veis en la foto a continuación, no soy el único que le ha cogido el gustillo a la Wii

Hemos cumplido un añito

Una vez leí que el 66% de los blogs existentes no se han actualizado como mínimo en los últimos 2 meses y que el 40% se abandonan antes de cumplir 4 meses, así que el hecho de que este amago de blog haya cumplido un año, me hace sentir bien. En este tiempo he escrito 60 posts y he recibido más de 4700 visitas, lo que realmente es inisignificante, pero que a mí ya me parecen más que bastante, teniendo en cuenta que nunca he comentado su existencia a nadie conocido. Con esos números he salido a 5 posts y 400 visitas al mes. A pesar de que las cifras son muy bajas con respecto a otros sites (y para nada pretendo que dejen de serlo), este blog también tuvo su minutito de gloria cuando fue mencionado en una noticia del periódico “20 minutos“, haciendo que ese día recibiera 224 visitas (y las que vendrían) y que varias webs más me enlazaran (como mi web amiga “Una Mamá Novata“, un beso pa ella). Fue curioso. El caso es que ésto empezó como un mero entretenimiento sin ninguna intención de sumar visitas (de hecho, los primeros meses ni siquiera dejé que me indexaran Google y Technorati), y ni yo mismo esperaba que un año después siguiera perdiendo tiempo aquí.

Después de trabajar hoy durante 12 horas con sólo media hora de parada, no me apetecía demasiado volverme a poner delante del ordenador, pero ya hacía días que quería comentar que el 4 de Febrero hizo un año desde que empecé con ésto. Hay que ver cómo pasa el tiempo… parecía ayer cuando navegaba por Internet usando terminales con monitor monocromo verde fosforescente…

Ya tengo mi Wii

Pues sí. Ayer según me levanté de la cama, me cogí el coche y fui al hiper más cercano a por la Wii. No había ni colas, ni aglomeraciones y ningún riesgo a quedarme sin ella, de hecho la mía fue la primera que vendieron, mientras en otros sitios, la gente andaba reservándola meses antes y sin tenerla todavía. Algo bueno ha de tener vivir en un pueblo pequeño, ¿no? Así que llegué a casa tan contento, aunque no tanto como mi gata al ver que traía un nuevo gadget con su correspondiente caja. Como veis, ella también es un tanto geek.

Después de unos ratos con el cacharrito en cuestión, sólo puedo decir que estoy encantado. Lo del wiimote, mejor probarlo uno mismo. Creo que esta vez Nintendo ha acertado.

La gata digital

M2 Indoor Festival

Menuda noche. Llegué a Zaragoza a eso de las 8 de la tarde y para ir abriendo boca, empezamos con un ratillo de Ice Cube (primera visita a España). Después, un bocado rápido antes de que se amontonara la gente ante el puesto de comida y a hacer la digestión sentado tranquilamente en el auditorio mientras Donnacha Costello pinchaba una sesión ambient. Enseguida dieron las 11 y enfilamos para la carpa a ver a Kraftwerk (objetivo de la noche; lo demás daba igual). De la carpa al auditorio se atravesaba lo que podría llamarse “la sala neng“, por donde cada vez que pasabas (y lo hice como seis o siete veces) hacía como cinco grados más de temperatura y en donde se agolpaban todos los nengs tras aparcar su cacahuete-tunning y darle a la priva botellonil, ignorantes ellos, pobrecitos, de lo que podía ocurrir en la carpa situada a unos cuántos metros de allí.

Pues eso. El caso que dió la hora y, haciéndose un poco de rogar, salió Kraftwerk. Fue perfecto. Me sorprendió la calidad del sonido y de las proyecciones. Empezaron con “Mensh maschine” y dieron un repaso a sus mejores temas. Me pondría a contar lo que disfruté y tal, pero como puedo aburrir, lo resumiré en que sólo esas dos horas escasas en que estuvieron sobre el escenario merecieron los 300 kms. y la entrada al festival… y como si hubieran sido más. Enlazo un video de youtube y varias fotos que he encontrado en flickr de algún otro afortunado para ilustrar un poquillo.

Cuando acabó Kraftwerk, vuelta al auditorio donde entonces pinchaba Ken Ishii que, por cierto, me gustó, pasando otra vez por “la sala neng“, en donde ya costaba respirar. Después de un rato acabé cabeceando en la butaca, señal de que la noche acababa para mí y de que era el momento justo para coger el coche de vuelta a casa antes de que el sueño me impidiera conducir. Me hubiera gustado alargar más la noche, pero la semana no había acompañado.

Recompensa

Por fin. Después de un año de curro, por fin hoy se ha acabado. Se trataba de un proyecto para la implantación de un nuevo sistema en el hospital donde trabajo y ha terminado con éxito. Era muy importante para el hospital, así que me siento bien. Esta noche dormiré tranquilo, con el deber cumplido.

Y para celebrarlo, nada mejor que pasarme este fin de semana por el M2 INDOOR FESTIVAL.

Quién fuera Marty McFly

Ayer por la tarde me dejé caer por la gasolinera para darle una lavadita al coche, que falta le hacía. Cuando llegué casi tuve que frotarme los ojos para asegurarme que era cierto lo que había ahí. Al verlo, me quedé tan embobado, que casi me como el sutidor de 98 octanos. Era un Delorean DMC-12, o debería decir “el Delorean“, porque ya me había cruzado un par de veces con él por las carreteras de la zona. Pero esta vez lo tenía ahí mismo, parado. Estaba esperándome a que yo llegara para que tuviera la oportunidad de fijarme en todos los detalles que la emoción que tenía encima me permitiera. Tenía sus puertas “alas de gaviota” abiertas, con lo que pude ver bien el interior. Tenía uno de esos interiores austeros y absolutamente ochenteros que tanto me gustan. Verlo de frente impresiona, con ese morro tan afilado y alargado, como el resto del coche, que es realmente muy bajito. También me detuve a observar bien la trasera y sus grupos ópticos tan característicos. Allí me quedé, como un pasmarote, esperando a que se marchara para escuchar con todo detalle como suena un Delorean, hasta que arrancó y se fue. Cuando ya se fue alejando y dejé de oir el V6, volví al mundo real. Una pena que no hubiera tenido una cámara de fotos a mano. Sin pruebas, ¿quién se puede creer algo así?