Hint n. 1: avere gli orologi sincronizzati con NTP

Normalmente il pacchetto ntpd è presente e già installato nella maggior parte delle distro; se così non fosse, installatelo con uno degli strumenti a disposizione (Yast, Yum, ecc.). C'è poi da "recarsi" in /etc e modificare ntpd.conf, che dovrà risultare come segue:

restrict default nomodify notrap noquery

restrict 127.0.0.1

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

server ntp1.infn.it

server ntp2.infn.it

La prima riga serve per le impostazioni generali; la seconda permette accesso pieno a ntpd solo alla macchina locale (localhost); la terza consente la sola lettura alla rete a cui la macchina è attaccata (nell'esempio, 192.168.1.0); dalla quarta in poi (possono esservene più di una, analoghe tra loro) è semplicemente la lista di server NTP esterni che verranno interrogati, in cascata, per sincronizzare l'ora. In nota 1 alcuni server NTP che possono servire allo scopo e che sceglierete a seconda di quello che vi risponde più velocemente (un semplice ping ve lo rivelerà).

Hint n. 2: attivare WebDAV

Semplicissimo: basta una sola direttiva, da inserire nel file httpd.conf, che si trova in posti diversi e a volte anche con nomi diversi, ma la sostanza non cambia; di solito è in /etc/httpd/conf/httpd.conf. Così:

«Directory /var/www/sito»
  Dav On
«/Directory»

Hint n.3: Analizzare il traffico dal e verso il gateway di rete

E' un'operazione che ha una grossa utilità analitica, purché non lo si usi per scopi... poco trasparenti. Tuttavia, in caso di traffico anomalo, aiuterà a capire da quale computer in rete questo viene generato e cosa viene trasmesso. Per farlo occorre innanzi tutto un PC collegato alla stessa rete dove sono tutti gli altri e dov'è collegato il gateway. Poi occorrono arpspoof e fragrouter. Poniamo ad esempio di voler catturare il traffico verso il gateway nella rete privata 172.16.100.0, che il nostro computer sia 172.16.100.167 e che il gateway sia 172.16.100.1.

Innanzi tutto dobbiamo presentare in rete un nuovo, falso gateway, "spoofando" l'indirizzo presente nella tavola ARP:

arpspoof -t 172.16.100.167 172.16.100.1

subito dopo, lanciamo

fragrouter -B1

che prenderà i pacchetti originariamente indirizzati al gateway e glieli inoltrerà; così facendo, nessuno si accorgerà di nulla ma tutto il traffico destinato al gateway verrà indirizzato sulla nostra macchina, con possibilità quindi di cattura e analisi.

Hint n. 4: la scheda di rete non ha il driver per Linux

E' raro, ma può capitare, specie usando schede Wi-Fi, particolari, troppo nuove o troppo vecchie . Non c'è alcun problema, ora si può ovviare all'inconveniente con ndiswrapper. Di solito nelle distribuzioni c'è già, ma se non ci fosse a trovarlo ci vuole un attimo con Google, comunque questo è il link del progetto. Una volta installato, prendiamo l'intera cartella del driver Windows (a volte è un unico file compresso, nel qual caso occorre provare a risalire ai file originali tentando di scompattare il pacchetto) e copiamola in una directory essendo root, naturalmente. Mettiamo si tratti di una 8139 (solo per esempio, perché la RTL8139 la conoscono tutti i Linux di questo mondo) e carichiamo il driver con ndiswrapper:

ndiswrapper -i RTL8139.INF

Risposta:

Loading RTL8139...

Quindi, vediamo se il relativo modulo per il kernel appena agganciato al driver funziona con:

modprobe ndiswrapper

Se non viene fuori alcun messaggio di errore, si potrà procedere con la normale configurazione di rete.

Hint n. 5: riaccendere il computer tramite LAN

Si può: ci vuole ethtool, normalmente già presente in tutte le distribuzioni. Lanciandolo, ad esempio, su eth0, avremo l'elenco delle operazioni supportate dalla scheda:

ethtool eth0

Risposta:

Supports Wake-On: ... ecc.

Occorre fare in modo che, quando la macchina viene spenta mediante shutdown, venga attivato il Wake On Lan prima di procedere. Per farlo si deve modificare lo script halt (su Centos/Fedora/RedHat di solito è in /etc/init.d/halt) e inserirvi una riga così definita:

ethtool -s eth0 wol g

e ricordare di non usare, nello shutdown, il parametro -i che spegne le interfacce di rete: se le spegnete, il Wake On Lan non funzionerà.

Usando poi il comando wakeonlan (http://gsd.di.uminho.pt/jpo/software/wakeonlan/) sarà possibile "risvegliare" il PC interessato via rete.

Hint n. 6: assegnare più di un IP a una scheda di rete

Nessun problema, anche "al volo" a mano, per fare le prove. Alla già esistente eth0, qualsiasi IP abbia, aggiungiamo 10.1.1.1:

ifconfig eth0 add 10.1.1.1 netmask 255.0.0.0

Se vogliamo eliminare l'indirizzo appena aggiunto:

ifconfig eth0 add 10.1.1.1 netmask 255.0.0.0

Se tali assegnazioni sono fisse e non sperimentali, conviene agire tramite le interfacce di configurazione.

Hint n. 7: calcolo della maschera di rete

E' cosa ostica per molti, specie quando una rete viene indicata con il CIDR (es. 213.155.200.130/29) ma è semplice. Esistono programmi da installare sul PC che lo calcolano o, meglio, vi sono siti che fanno la stessa cosa. Per esempio, il programma IP Subnet Calculator o il sito con IP Calc.E' essenziale, infatti, che le netmask siano allineate alla realtà della rete: un solo bit errato porta problemi a volte difficili da scovare.

Hint n. 8: autenticare gli utenti tramite Windows NT

Comodissimo in quegli ambienti dove il "capo" è ancora malfidato e pretende che gli utenti siano autenticati dal "buon vecchio server NT". Basta installare pam_smb.

Una volta installato, procuratevi i nomi del PDC e del BDC Windows e inseriteli in /etc/pam_smb.conf, dopodiché editate /etc/pam_smbdl/login inserendovi:

auth required /lib/security/pam_smb_auth.so use_first_pass

Più in basso troverete:

auth required /lib/security/pam_unix.so

sostituite required con sufficient per farlo funzionare.

Hint n. 9: sfruttare la rete per far transitare flussi arbitrari di dati

Oh, sì, è possibile, e anche molto utile. Per esempio per un rozzo backup a distanza dalla sede periferica, mentre vi parlate al telefono con il collega della sede centrale. Vi serve netcat, un po' di pazienza e un numero di socket arbitrario, che sceglierete e che non sarà in uso da parte di altre applicazioni. Posto che il collega vi dica di scaricare sul server chiamato serverone.azienda.com (o dicendovi l'indirizzo IP, fa lo stesso), il collega predisporrà la macchina alla ricezione digitando:

nc -l 2222 > wsremota.tar.gz

dicendovi di usare la porta 2222. Voi, quindi, invierete il backup digitando:

tar -zcf - /home/utente | nc -w 10 serverone.azienda.com 2222

(dove nc è netcat abbreviato) e presso la sede centrale su quel server si creerà il file wsremota.tar.gz con il vostro backup. Ci vorrà del tempo, in relazione alla velocità della rete, ma il backup è garantito, anche non avendo alcun supporto a disposizione (oppure non potendolo o non dovendolo usare). Comodo, no?

Hint n. 10: sapere cosa succede sulla rete

Occorre ricordarsi dell'esistenza del buon vecchio netstat: ci dice un sacco di cose e ci fa capire il perché di molti mancati funzionamenti. Esiste in tutte le distribuzioni; ricordiamo i suoi parametri più utili, da usarsi nella forma netstat :

• -s dice quel che vede su tutte le interfacce di rete

• -t ci dice quel che vede sulle porte TCP

• -u ci dice quel che vede sulle porte UDP

• -a ci dice tutto, proprio tutto quel che vede

Per esempio, per vedere il traffico broadcast, per es. di un DNS, ogni 5 secondi, si può digitare:

netstat -u 5

E con questo chiudiamo la prima parte della tavola "Gestione amministrativa della rete", dedita a fornire strumenti sia per gestire la rete stessa che per usarla come strumento di supporto. Nella seconda, vedremo altri suggerimenti, sempre intesi allo stesso tipo di impiego.

Nota 1:

Server NTP utili:

• Italiani:
  • 1.it.pool.ntp.org
  • ntp1.inrim.it
  • ntp2.inrim.it
• Esteri
  • Consultare questa lista

Condividere questa pagina su: