A Tabela NAT, possui 3 CHAINS:
- PREROUTING: É a Chain onde vão ficar as regras de pacotes que estão entrando por uma determinada interface e vão sofrer alguma ação, antes de ser roteado para outra inferface.
- POSTROUTING: É a Chain onde vão ficar as regras de pacotes que após serem roteados entre as interfaces vão sofrer alguma ação.
- OUTPUT: Essa Chain tem a mesma função que a PREROUTING, só que ela é só para pacotes originados localmente. Ela é pouco usada.

Podemos ver quais são as CHAINS da tabela NAT:
# iptables -t nat -n -L

Então queremos fazer com que essas máquinas que estão na minha rede com IP inválido, saiam pela internet através do Bastion Host, usando o seu IP válido.
A primeira coisa a se fazer, não é criar regras na tabela nat, e sim, permitir no Kernel que as interfaces aceitem trocar pacotes entre elas. Como podemos fazer isso?
Podemos fazer isso através do sysctl. Existe um opção chamada ip_forward, que precisa ser habilitada. (ou #vim /proc/sys/net/ipv4/ip_forward)

# sysctl -a | grep ip_forward
# sysctl -w net.ipv4.ip_forward=1
Lembrando que para deixar isso fixo, será necessário colocar no arquivo /etc/sysctl.conf.
Mesmo alterando o /proc/sys/net/ipv4/ip_forward nos precisamos alterar o /etc/sysctl.conf para que o parametro fique fixo.

Para liberamos a nossa rede pelas regras do iptbles, podemos fazer de duas maneiras. No Netclass eu postei o script nat.sh e o nat2.sh. Vamos ver primeiro o nat.sh

# vim nat.sh
# vim nat2.sh

Nesse momento, a nossa CHAIN FORWARD da tabela filter, está em ACCEPT, o que aconteceria se colocassemos ela em DROP?
# iptables -P FORWARD DROP

Se fizermos isso, a tabela NAT não vai funcionar, pois precisa primeiro liberar no firewall o repasse de pacote entre as redes, para depois fazer o Mascaramento.

$NET = 0/0
$IPT -A FORWARD -s $REDE -d $NET -j ACCEPT
$IPT -A FORWARD -s $NET -d $REDE -j ACCEPT

Outra coisa que podemos fazer com a NAT, é o redirecionamento de portas.

Imaginem que vocês montaram um servidor Web dentro da sua rede, que tem a página da sua empresa. Esse servidor está com um IP interno, e você precisa liberar ele para que a Internet acesse ele, e vocês só tem 1 IP válido. Como fazer?
Podemos usar a CHAIN PREROUTING da NAT para resolver isso.

Vamos ver o script pre_nat.sh que está postado no Netclass:
# vim pre_nat.sh
DNAT = DestinationNAT

E o que Norma diz sobre isso?
A VPN é considerada um sistema de acesso de usuário remotamente seguro. Portanto, é mencionada na norma no item 11.4.2, que é preciso uso de técnicas baseadas em criptografia, ou protocolo de desafio/resposta.

E o que vem a ser Tunelamento?
Uma VPN sempre se baseia no conceito de tunelamento. Essa tecnologia consiste no processo de encapsular um protocolo dentro de outro. Porém, o tunelamento utilizado em uma VPN, usa um novo componente nessa técnica: ele criptografa o pacote que será transportado antes de encapsulá-lo, afim de que ele fique ilegível caso ocorra uma interceptação do pacote no meio do caminho. Ele só retorna ao seu formato original(descriptografado e desencapsulado) quando alcança o destino desejado.

Quais são as ferramentas utilizadas, para se fazer uma VPN?
Kame: O Kame prove uma solução livre de VPN para suporte a IPSec. Esse tipo de VPN é provido pelas ferramentas ipsec-tools e racoon.
OpenVPN: O OpenVPN é uma solução de VPN que trabalha com SSL.
PPTP: É um tipo de VPN muito simples, é muito prática porem não possui fortes criptografias.

Bom, o SSL voçês já conhecem. Mas qual é o melhor: SSL ou IPSec?
Isso depende muito, IPSec trabalha em uma camada mais baixa da OSI, e o SSL trabalha na camada de Aplicação. O IPSec tem suporte em sistemas Linux, Windows, Cisco e vários outros. O SSL é mais prático para VPN’s client-to-gateway, e o IPSec tem um desempenho melhor de gateway-to-gateway. Ou seja, se você procurar na internet SSLxIPSec, você vai ter várias discussões, mas nenhuma delas é realmente melhor que a outra.

Nessa aula, vamos falar do Kame IPSec. E vamos implementar uma VPN gateway-to-gateway

Mas o que é exatamente o IPSec?
O IPSec é um protocolo padrão de camada 3, projetado IETF que trabalha como uma solução para interligar redes. Suporta vários protocolos de criptografia. Por padrão, ele provê funções de segurança como autenticação, criptografia e integridade (além de gerenciamento de chaves) em um pacote IP, depois encapsula este pacote protegido em outro pacote IP, transmitindo-o em seguida.

Os pré-requisitos de segurança no IPSec podem ser divididos em dois grupos, a serem utilizados de forma conjunta ou separda, de acordo com a necessidade de cada implementação:
- Autenticação e integridade.
- Confidencialidade.

Para implementar esses pré-requisitos, o IPSec é composto de três mecanismos:
- AH: Autentication Header - Esse é o protocolo é responsável pela autenticação.
- ESP: Encapsulation Security Payload - Esse protocolo é responsável pelo estabelecimento do túnel.
- ISAKMP - Internet Security Association and Key Management Protocol - Esse protocolo é responsável por gerenciar a troca de chaves criptografadas utilizadas para decifrar os dados no túnel.

Esses protocolos vem ativados no Kernel em todas as distribuições. Caso um dia vocês precisem recompilar o Kernel e vão montar um VPN nesse servidor, será necessário ativá-los.

Nós conseguiriamos montar uma VPN entre um Linux e um WIndows usando IPSec? Qual seria a principal barreira para não deixar isso acontecer?
As criptografias. Elas precisam ser as mesmas nas duas pontas. Pois os dois sistemas tem suporte ao IPSec, mas os dois lados tem que passar as mesmas criptograficas nas trocas de informações.

Vamos por a mão na massa. O cenário proposta é o seguinte. Temos a matriz da nossa empresa em São Paulo, que é onde fica o nosso ERP, e temos a filial no Rio de Janeiro. Queremos fazer com que essas duas redes se tornem uma só, ou seja, o pessoal do Rio tem que acessar o sistema ERP como se estivesse na mesma rede de São Paulo.

- Todos esses procedimentos, precisam ser feitos nos gateways ou em uma máquina que fará VPN e tem rotas definidas.
* Primeiro precisamos instalar os pacotes necessários nos gateways:
# aptitude install ipsec-tools racoon iproute
Quando estiverem instalado o racoon, apareça uma janela pergutando se desejam configurar via racoon-tool ou direto. Escolham a forma direta.

Agora precisamos criar um scripts, para ativar e desativar os protocolos AH e ESP que vão estabelecer o túnel da VPN.

Primeiro, vamos criar um script chamado vpn-off.sh que está postado no Netclass:
# vim vpn-off.sh
-f = file

Agora, o script vpn-on.sh que também está postado no Netclass:
# vim vpn-on.sh

Esse dois scripts, precisam ter permissão de execução:
# chmod 700 vpn-on.sh
# chmod 700 vpn-off.sh

Quando instalamos o racoon, ele criou um diretório chamado racoon dentro do /etc. Nesse diretório vamos configurar o racoon.conf, que o arquivo que define como vai ser feita a troca de criptografias entre as pontas da VPN.

Agora, precisamos acertar o arquivos psk.txt. É o arquivo onde vão ficar as chaves compartilhadas da VPN. O arquivo está postado no Netclass:
# vim psk.txt

Framingham - Supostamente desfeito há 3 meses, grupo responsável por kit de ataques volta à ativa.

O notório kit para crackers Neosploit, supostamente retirado do mercado há três meses, não apenas voltou como também é o responsável pelo aumento nos ataques, afirma Ian Amit, diretor da consultoria de segurança Aladdin Knowledge Systems.

As notícias sobre sua “aposentadoria” foram exageradas, alegou. Em julho, pesquisadores do FraudAction Research Lab, da RSA, afirmaram que os criadores do Neosploit estavam abandonando o setor. Para provar, o laboratório mostrou uma mensagem supostamente originária dos autores do kit.

O Neosploit, que apareceu em 2007, foi um desdobramento do MPack e uma versão atualizada de outro famoso kit, o WebAttacker.

Estes kits, incluindo o Neosploit, foram usadas por cibercriminosos para lançar códigos de ataque contra brechas no Windows, Internet Explorer e QuickTime. Mas o Neosploit também tem novas funções, como análise de estatísticas e ferramentas de gerenciamento.

No entanto, mesmo a RSA não esperava que grupo terminasse. “Não é necessariamente o fim do grupo”, afirou Sean Brady, diretor de marketing da RSA em julho. Brady estava certo.

desenvolvedores do Neosploit estavam de volta. Há dois dias, descobriram um servidor na Argentina, administrado por um desenvolvedor do kit, que continham o Neosploit 3.1, datado de 9 de agosto.

Segundo Amit, outros dados no servidor mostraram que o acesso era feito por 20 usuários, sete dos quais tinham um “volume alto de dados” que registravam milhares de novos ataques feitos com sucesso todo dia.

Os 20 usuários comprometeram cerca de 300 sites, diz Amit, que se tornaram repositórios de ameaças do Neosploit para qualquer visitante que chegasse ao site sem que estivesse com todas as correções em dia.

O pesquisador afirma ter evidências para indicar que mais de 250 mil ataques contra Pcs foram realizados por meio destes sites.”

Retirado de : http://idgnow.uol.com.br/seguranca/2008/09/26/crackers-ressucitam-kit-neosploit/

O NIC.br (Núcleo de Informação e Coordenação do Ponto BR) anunciou nesta quarta-feira (24) a ativação do domínio “b.br”, de uso exclusivo para instituições bancárias –com isso, essas empresas poderão ter endereços como “banco.b.br”. A medida, que não é obrigatória, visa dar mais segurança para transações bancárias na internet.

O objetivo é preservar internautas de práticas maliciosas na rede como o ‘phishing’ (furto de dados pessoais pela web). O domínio tem um novo sistema de identificação de sites chamado DNSSEC, que valida e reconhece a autenticidade da página antes que o internauta tenha acesso a ela.

Com a mudança, deve ficar mais difícil a realização de um golpe em que piratas virtuais desenvolvem sites semelhantes aos originais e levam os internautas a deixarem ali informações como senhas. Ao digitar o endereço do site, o usuário pode ter seu caminho desviado por criminosos e levado para esse tipo de página maliciosa.

Dados da Febraban (Federação Brasileira dos Bancos), referentes a 2007, indicam que 29,8 milhões de pessoas utilizam “internet banking” no Brasil, número 9,2% maior que em 2006. No ano passado, foram realizadas 6,9 bilhões de transações na rede –volume que representa 16,9% do total de operações bancárias realizadas no país.

Pelas regras estabelecidas para o “b.br”, a empresa que utiliza o domínio será, obrigatoriamente, uma instituição bancária. A triagem dessas instituições será realizada pelo NIC.br.

O NIC.br é o braço executivo do CGI.br (Comitê Gestor da Internet no Brasil), responsável por implementar suas decisões, e coordena o registro de nomes de domínio no país.

Exclusivo

“Algumas da fraudes costumeiras e que preocupam os usuários ficarão impossibilitadas no ‘b.br’. Por exemplo, um site que tenha nome terminado em ‘b.br’ será, certamente, um banco”, afirma Demi Getschko, diretor-presidente do NIC.br, em nota.

O sistema já é utilizado no domínio ‘jus.br’, usado por instituições vinculadas ao poder Judiciário. No caso desses sites, é o CNJ (Conselho Nacional de Justiça) quem determina as instituições que têm direito de utilizá-lo. “

Retirado de http://www1.folha.uol.com.br/folha/informatica/ult124u448395.shtml

Bom eu acho que os bancos deveriam ser obrigados a adotar esse novo dominio, poís representa uma maior segurança para eles e para os clientes. Isso evita a preocupação do pessoal de TI com fraudes e etc, mas estamos no Brasil ne xP

Este post está protegido por senha. Para vê-lo, digite sua senha abaixo:

Senha:

====Créditos : Bruna Griebeler====

http://192.168.0.1/ ou IP equivalente.

Clique na Aba “Advanced” ou “Advanced Server”.

Bom agora vamos as configurações :

Primeiramente vamos entende-las :

Name : Nome do serviço.

Coloque qualquer Nome.

Private IP : É o IP de rede interna.

Que você irá liberar o acesso, para essa verificação utilize ipconfig no (Ru)Windows e ifconfig no Linux.

Protocol : É o protocolo usado pelo serviço.

Que é geralmente TCP.

Private Port : É a porta privada onde roda o serviço.

Public Port : É a porta pública onde será liberado o acesso.

Schedule : Always.

Porque você quer que o acesso seja liberado sempre. ;P

OBS : Não se esqueça de no topo marcar a opção “Enabled”, senão você irá somente configurar o acesso e não permiti-lo ;P

Exemplo :

Enabled

Name : Apache

Protocol : TCP

Private Port : 80

Public Port : 80

Schedule : Always

Feita as configurações, aplique/salve as configurações.

E se necessário reboote o seu roteador ;D

Agora voce precisa do seu IP válido, para isso entre em http://www.meuip.com.br/.

Exemplo : 200.11.222.33

Mas se você usar alguma porta em especifico você tera que indica-la

Exemplo : 200.11.222.33:8000

 
Agora é só mandar o link pros seus amigos ;D

“A resposta ? Claro que roda, afinal, é um circulo controlado por um motor, mas á grande risco de você ser ultrapassado por uma bicicleta.

Mas, o que isso tem haver com este blog ? Computação ? Linux ?.
Vou tentar explicar melhor isso…

Já vi tantas pessoas reclamarem que o Debian/Ubuntu não prestam, porque compraram um notebook novinho com Windows Vista que funciona tudo, mas no Linux, nada funciona !
Mas o por que disso ?
O Kernel !

O que é um Kernel ?
http://pt.wikipedia.org/wiki/Kernel

Ou seja, tudo que faz o seu hardware novo funcionar, está contigo dentro do kernel. Se você tem um kernel desatualizado e um hardware novo, é como “colocar rodas de pedra em uma ferrari”, vai funcionar o básico, mas você nunca poderá utilizar toda a potência do seu motor, no caso, no seu hardware.

“Meu kernel não reconheceu minha placa de rede, como posso atualizá-lo ?”
É simples, se você tiver algum amigo que tenha um S.O. Debian like, procure um diretório:

$ cd /var/cache/apt/archives

Dentro deste diretório ficam todos os pacotes instalados na sua máquina, via APT ou por alguma simples atualização, ou seja, é bem provavel que aqui contenha o kernel atualizado. Como todos os arquivos estão no formato .deb, com um simples #dpkg -i, você conseguirá instalar na sua máquina.”

Este artigo foi feito pelas reclamações/queixas/insatisfações com o Debian e seus derivados, mas na verdade o Debian não tem culpa nessa história

Somente lembrando que se você estiver logado como root, você não terá que digitar o sudo…

Agora um método mais genérico

Entre no diretório do seu usuário:
cd /home/nomedoseuusuario

E verifique se há uma pasta oculta chamada fonts, caso contrário crie-a:
mkdir ./fonts

Esse ./ indicará que ela será pasta oculta

Agora copie todas as suas fontes .tty para o diretório ./fonts

E execute o comando:
fc-cache

Pronto você instalou fontes TrueType no seu Linux

Entretanto dessa forma somente o seu usuário terá acesso

Para todos os usuários terem acesso crie o seguinte diretório com o comando:
mkdir /usr/share/fonts/truetype

Copie as fontes para esse diretório

E execute o : fc-cache

Na verdade a criação dos diretórios foi mais para organização, porque o fc-cache que verifica e instala as fontes no sistema

Se você quiser ver as fontes instaladas no sistema de um:
fc-list

=========UPDATE 1.0=========
Conversando com o Ricardo K. Sasaki ele pegou e deu mais uma dica, essa foi especifica aos usuários de Ubuntu, as proprias palavras dele :
“para usuários de Ubuntu, para instalar as fontes básicas utilize:
aptitude install msttcorefonts ubuntu-restricted-extras”

Um dia quando eu estava usando meu Kurumão (sim já usei… ;P) notei que estava sem som e não sabia como habilita-lo até o Raphael me ensinar…. É bem fácil…

Vá em : Menu K => Sistema => Gnome System Tools => Gerenciar Usuarios e Grupos

Digite a sua senha de root

Selecione o seu usuario;

Aba Propriedades;

Privilégios do Usuario;

e marque a opção “Usar dispositivos de audio” e pronto você terá som no seu Kurumin 7 ;P