Archive for the ‘Techniek’ Category

Minimale configuratie voor IPv6 in ferm(1)

Monday, July 5th, 2010

Ter referentie:

domain ip6 table filter {
	chain INPUT {
		# Drop all packets per default.
		policy DROP;

		# Respond to ICMP packets (NDP).
		proto icmpv6 icmp-type (neighbour-solicitation neighbour-advertisement) ACCEPT;

		# Allow tracked connections.
		mod state state INVALID DROP;
		mod state state (ESTABLISHED RELATED) ACCEPT;

		# Allow local connections.
		interface lo ACCEPT;

		# Respond to ICMP packets (diagnostic).
		proto icmpv6 icmp-type echo-request ACCEPT;

		# SSH connections.
		proto tcp dport ssh ACCEPT;

		# Reject everything else.
		proto tcp REJECT reject-with tcp-reset;
		REJECT;
	}

	chain OUTPUT {
		# Allow all packets per default.
		policy ACCEPT;
	}

	chain FORWARD {
		# Drop all packets per default.
		policy DROP;

		# Reject everything else.
		proto tcp REJECT reject-with tcp-reset;
		REJECT;
	}
}

Postfix: SSL

Friday, June 18th, 2010

Onlangs viel op dat Postfix problemen rapporteerde zoals:

certificate verification failed for mail.bommelnetworks.nl[178.63.246.249]:25: untrusted issuer /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org

Wat blijkt, standaard (tenminste, onder Debian) zijn er geen Certificate Authorities geconfigureerd. Ter referentie, de configuratie zoals ik deze nu zelf gebruik:

smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/ssl/private/mail.bommelnetworks.nl.pem
smtpd_tls_cert_file = /etc/ssl/certs/mail.bommelnetworks.nl.pem
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_mandatory_ciphers = HIGH
smtpd_tls_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtpd_tls_mandatory_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtpd_tls_mandatory_protocols = TLSv1, SSLv3

smtp_tls_security_level = may
smtp_tls_key_file = /etc/ssl/private/mail.bommelnetworks.nl.pem
smtp_tls_cert_file = /etc/ssl/certs/mail.bommelnetworks.nl.pem
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_mandatory_ciphers = HIGH
smtp_tls_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtp_tls_mandatory_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtp_tls_mandatory_protocols = TLSv1, SSLv3

Hou er verder rekening mee dat Postfix deels in een chroot() draait, en dat daarmee /etc/ssl/certs eigenlijk op een andere plek staat! Zie eventueel /etc/init.d/postfix voor details.

Verlangen… Naar de tijd van voor de digitale revolutie?

Thursday, June 3rd, 2010

Al sinds Kumina bestaat maken we gebruik van Google Calendar om onze agenda’s te beheren en synchroniseren. Handig, werkt eigenlijk altijd wel en alles klapper op de vuurpijl is het nog gratis ook!

Helaas is synchroniseren erg lastig. Zo heb ik een abonnement bij Toffa om synchronisatie met mijn Nokia E51 telefoon (snapt alleen SyncML) mogelijk te maken. In de praktijk werkt het synchroniseren vrij aardig dacht ik, totdat bleek dat met name wederkerende afspraken vaak foutief worden gekopieerd, ineens dubbel voor blijken te komen of spontaan gewoonweg verdwenen zijn… Toch vervelend als je nog maar net op tijd (of wellicht te laat…) ontdekt dat je een afspraak hebt!

Kortom, ik overwoog al concreet om een ouderwetse agenda aan te schaffen. In dit geval betekent synchroniseren wel (over)schrijven, maar in ieder geval hou je zelf de controle over het proces. Enfin, ik stond vanmorgen op het punt om naar een kantoorboekhandel te gaan maar werd al snel tegengehouden; er moest maar eens een apparaat met Android komen was het argument. Met alleen programmatuur van Google zou het toch wel goed moeten gaan?

Androids!

Als het goed is brengt de postbode binnenkort (morgen?) een HTC Desire. Eens zien of het goed blijft gaan en of mijn vertrouwen in de digitale revolutie weer zal herstellen…

Zo niet, tsjah eh… het apparaat kan ook muziek afspelen? 🙂

Pul^H^H^HStotterAudio

Friday, May 21st, 2010

Als ik aan het werk ben, luister ik graag naar een goed stukje muziek. Leuk, toch? Enfin, sinds ik Ubuntu 10.04 LTS “Lucid Lynx” draai, stottert m’n geluidskaart erg veel en is het minder prettig om naar muziek te luisteren. Op de ArchWiki vond ik de oplossing: een andere (tsched=0) scheduler gebruiken.

Hopelijk heeft iemand hier iets aan!

tsched=0

Ubuntu Linux 10.04 op een Asus EeePC 1101HA

Friday, May 14th, 2010

Het blijkt redelijk problematisch om de videokaart van een 1101HA aan te sturen vanuit Ubuntu Linux 10.04 “Lucid Lynx”. Daarnaast duurt het installeren een eeuwigheid, wat overigens eveneens aan de videokaart blijkt te liggen.

Een mogelijke oplossing is installatie vanaf een (snelle) USB-stick. Gebruik in dit geval de Startup Disk Creator (standaard in Ubuntu) met gebruik van ubuntu-10.04-alternate-i386.iso voor de installatie, en geef debian-installer/framebuffer=false als optie op.

Zie vervolgens deze oplossing voor Debian, welke ook onder Ubuntu als een zonnetje werkt!

Zoek, zoek, waar is Java?

Monday, May 10th, 2010

Help! Blijkbaar is sun-java6-plugin kwijt in Ubuntu Lucid Lynx? Zie deze blogpost voor de oplossing!

BommelVerhuizing

Saturday, April 10th, 2010

Zo dan, vandaag heb ik BommelNetworks maar eens naar ons nieuwe Twenty-Five VPS platform verhuisd. 🙂

BommelNetworks logo

Eigenlijk weinig bijzonderheden tegengekomen, behalve dat apache2-suexec in Lenny toch even anders werkt dan in Etch. Wellicht meer hierover binnenkort (of iets minder binnenkort…).

Lancering Twenty-Five VPS

Friday, April 2nd, 2010

Al een tijdje waren we op de zaak op zoek naar een aanbieder van Virtual Private Servers (VPS) met maximale vrijheid.

Veel aanbieders werken met producten zoals OpenVZ, Virtuozzo, Linux-VServer of Xen. Op zichzelf prima, maar meestal zijn veel zaken zoals schijfpartitionering vastgelegd en is (bijvoorbeeld in het geval van Xen) het niet mogelijk om te kiezen welke versie van de Linux kernel je wil draaien.

Simpelweg: veel van onze best practices waren lastig toepasbaar op een virtualisatieplatform van derden. Daarnaast bleken veel aanbieders te duur, zeker voor tijdelijke huisvesting van pilots of om tests te kunnen doen.

Twenty-Five VPS logo

Het leek ons een goed idee om zelf een virtualisatieplatform aan te gaan bieden op basis van KVM (Kernel-based Virtual Machine). Geen poespas, eventueel geschikt voor tijdelijke huisvesting, een mooie prijs en maximale vrijheid.

Wil je Linux? Prima! Wil je FreeBSD? Prima! Wil je Windows (ehm, wie wil dat…)? Ook al prima!

Lijkt je het wat? Kijk dan maar eens op de website van Twenty-Five VPS!

Publiek IP-adres met ADSL?

Tuesday, March 2nd, 2010

Al vaker heb ik wat geschreven over het configureren van SpeedTouch ADSL-modems. Het is, ondanks de voornamelijk particuliere doelgroep, vrij aardig wat de apparatuur aan mogelijkheden biedt denk ik. Echter, in sommige gevallen wil je bewust géén gebruik maken van die mogelijkheden, bijvoorbeeld als je een serversysteem of router van het enige beschikbare publieke IP-adres van je ADSL-verbinding wil voorzien.

Er zijn verschillende oplossingen mogelijk, al dan niet met wat kunst- en vliegwerk. Helaas werken nagenoeg alle internetaanbieders in Nederland met PPP over ATM, waarmee het merendeel van de mogelijkheden wegvalt. Gelukkig blijft er een relatief eenvoudig te implementeren oplossing over! De moeite waard om over te schrijven, dacht ik zo. 😉

In mijn geval wilde ik graag het publieke IP-adres van onze ADSL-verbinding op kantoor direct kunnen toewijzen aan een serversysteem met Debian Linux.

Allereerst heb ik de instellingen van het ADSL-modem volledig gewist en vervolgens een minimaal subnet (/30) toegewezen. Binnen dit subnet bestaan maar twee IP-adressen: 172.29.98.1 voor het ADSL-modem en 172.29.98.2 voor het serversysteem.

Ter referentie, de CLI commando’s:

:system reset factory=yes proceed=yes

Het ADSL-modem zal opnieuw opstarten en is nu beschikbaar middels 10.0.0.138. Vervolgens:

:ppp relay flush
:eth flush
:atm flush
:ppp flush
:atm phonebook flush
:ip ipadd intf=LocalNetwork addr=172.29.98.1 netmask 255.255.255.252
:ip ipconfig addr=172.29.98.1 preferred=enabled primary=enabled

Maak nu opnieuw verbinding met telnet, maar nu met 172.29.98.2. Vervolgens om de oude IP-adressen te verwijderen en om DHCP uit te schakelen:

:ip ipdelete addr=192.168.1.254
:ip ipdelete addr=10.0.0.138
:service system modify name=DHCP-S state=disabled

Stel een wachtwoord in:

:user config name Administrator password VERYVERYSECRET

Maak een ADSL-verbinding aan met de juiste VPI/VCI en zet PPTP aan:

:atm phonebook add name=ADSL addr=0.35
:service system modify name=PPTP state=enabled

Sla tot slot de instellingen op:

:saveall

Het ADSL-modem is nu klaar voor gebruik! Installeer vervolgens op het serversysteem:

$ sudo apt-get install pptp-linux

De netwerkconfiguratie kan volstaan met:

$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 172.29.98.2
netmask 255.255.255.252

# The xDSL interface
auto dsl
iface dsl inet ppp
provider adsl

De PPP configuratie is verder erg eenvoudig:

$ sudo cat /etc/ppp/peers/adsl
noipdefault
defaultroute
replacedefaultroute
lock
user someuser
persist
holdoff 10
maxfail 0
noauth
noproxyarp
updetach
pty "pptp 172.29.98.1 --nolaunchpppd"

En tot slot de gebruikersnaam en wachtwoord:

$ sudo cat /etc/ppp/pap-secrets
someuser asdl VERYVERYSECRET

Na opnieuw laden van de netwerkinstellingen, verschijnt als resultaat ppp0 met daaraan het publieke IP-adres:

$ /sbin/ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:1.2.3.4 P-t-P:5.6.7.8 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5067418 errors:0 dropped:0 overruns:0 frame:0
TX packets:4369810 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:4028098294 (3.7 GiB) TX bytes:1026059848 (978.5 MiB)

Bij eventueel verbreken van de verbinding zal deze automatisch opnieuw worden opgebouwd.

FOSDEM 2010

Monday, February 8th, 2010

Ook dit jaar was de Free and Open Source Developers’ European Meeting in Brussel erg leerzaam, verhelderend en gezellig!

Naast Marco in de collegebanken

Er was erg veel te zien, maar het meest leuke praatje vond ik toch wel het praatje RepRap – Manufacturing for the Masses van Adrian Bowyer. Wellicht niet helemaal binnen m’n vakgebied, maar gewoon erg leuk!

Adrian Bowyer vertelt over RepRap

Technisch het meest interessant vond ik het praatje Scaling Facebook with Open Source tools.

Het is altijd erg leerzaam om een andere kijk en werkwijze mee te krijgen, alhoewel een heleboel technieken die de revue passeerden bij Kumina niet onbekend zijn… En laat ik eerlijk zijn: wat bevestiging is ook niet verkeerd! 🙂