Archive for the ‘Internet’ Category

Minimale configuratie voor IPv6 in ferm(1)

Monday, July 5th, 2010

Ter referentie:

domain ip6 table filter {
	chain INPUT {
		# Drop all packets per default.
		policy DROP;

		# Respond to ICMP packets (NDP).
		proto icmpv6 icmp-type (neighbour-solicitation neighbour-advertisement) ACCEPT;

		# Allow tracked connections.
		mod state state INVALID DROP;
		mod state state (ESTABLISHED RELATED) ACCEPT;

		# Allow local connections.
		interface lo ACCEPT;

		# Respond to ICMP packets (diagnostic).
		proto icmpv6 icmp-type echo-request ACCEPT;

		# SSH connections.
		proto tcp dport ssh ACCEPT;

		# Reject everything else.
		proto tcp REJECT reject-with tcp-reset;
		REJECT;
	}

	chain OUTPUT {
		# Allow all packets per default.
		policy ACCEPT;
	}

	chain FORWARD {
		# Drop all packets per default.
		policy DROP;

		# Reject everything else.
		proto tcp REJECT reject-with tcp-reset;
		REJECT;
	}
}

Postfix: SSL

Friday, June 18th, 2010

Onlangs viel op dat Postfix problemen rapporteerde zoals:

certificate verification failed for mail.bommelnetworks.nl[178.63.246.249]:25: untrusted issuer /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org

Wat blijkt, standaard (tenminste, onder Debian) zijn er geen Certificate Authorities geconfigureerd. Ter referentie, de configuratie zoals ik deze nu zelf gebruik:

smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/ssl/private/mail.bommelnetworks.nl.pem
smtpd_tls_cert_file = /etc/ssl/certs/mail.bommelnetworks.nl.pem
smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_mandatory_ciphers = HIGH
smtpd_tls_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtpd_tls_mandatory_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtpd_tls_mandatory_protocols = TLSv1, SSLv3

smtp_tls_security_level = may
smtp_tls_key_file = /etc/ssl/private/mail.bommelnetworks.nl.pem
smtp_tls_cert_file = /etc/ssl/certs/mail.bommelnetworks.nl.pem
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_mandatory_ciphers = HIGH
smtp_tls_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtp_tls_mandatory_exclude_ciphers = ADH, aNULL, eNULL, NULL
smtp_tls_mandatory_protocols = TLSv1, SSLv3

Hou er verder rekening mee dat Postfix deels in een chroot() draait, en dat daarmee /etc/ssl/certs eigenlijk op een andere plek staat! Zie eventueel /etc/init.d/postfix voor details.

Verlangen… Naar de tijd van voor de digitale revolutie?

Thursday, June 3rd, 2010

Al sinds Kumina bestaat maken we gebruik van Google Calendar om onze agenda’s te beheren en synchroniseren. Handig, werkt eigenlijk altijd wel en alles klapper op de vuurpijl is het nog gratis ook!

Helaas is synchroniseren erg lastig. Zo heb ik een abonnement bij Toffa om synchronisatie met mijn Nokia E51 telefoon (snapt alleen SyncML) mogelijk te maken. In de praktijk werkt het synchroniseren vrij aardig dacht ik, totdat bleek dat met name wederkerende afspraken vaak foutief worden gekopieerd, ineens dubbel voor blijken te komen of spontaan gewoonweg verdwenen zijn… Toch vervelend als je nog maar net op tijd (of wellicht te laat…) ontdekt dat je een afspraak hebt!

Kortom, ik overwoog al concreet om een ouderwetse agenda aan te schaffen. In dit geval betekent synchroniseren wel (over)schrijven, maar in ieder geval hou je zelf de controle over het proces. Enfin, ik stond vanmorgen op het punt om naar een kantoorboekhandel te gaan maar werd al snel tegengehouden; er moest maar eens een apparaat met Android komen was het argument. Met alleen programmatuur van Google zou het toch wel goed moeten gaan?

Androids!

Als het goed is brengt de postbode binnenkort (morgen?) een HTC Desire. Eens zien of het goed blijft gaan en of mijn vertrouwen in de digitale revolutie weer zal herstellen…

Zo niet, tsjah eh… het apparaat kan ook muziek afspelen? 🙂

Zoek, zoek, waar is Java?

Monday, May 10th, 2010

Help! Blijkbaar is sun-java6-plugin kwijt in Ubuntu Lucid Lynx? Zie deze blogpost voor de oplossing!

BREIN zet aan tot nadenken

Monday, May 3rd, 2010

Vanochtend stond Tim Kuik, directeur van stichting BREIN, met een grote glimlach in de krant. BREIN gaat proberen om via het gerechtshof internetprovider Ziggo te dwingen om de website The Pirate Bay ontoegankelijk te maken.

Waarom? Aldus het artikel in Metro is er in Nederland nog geen jurisprudentie aangaande dit onderwerp en gewoonweg omdat Ziggo de grootste internetprovider is. Behalve een wanhopige mediastunt van stichting BREIN, riekt dit naar censuur van het kaliber The Great Firewall Of China.

Waar gaan we heen op deze manier? Overigens was BREIN er toch om de “belangen” van creatievelingen te behartigen en niet voor censuur? Ik ben benieuwd… Overigens zijn doorgewinterde internetters ook érg creatief! 😉

BommelVerhuizing

Saturday, April 10th, 2010

Zo dan, vandaag heb ik BommelNetworks maar eens naar ons nieuwe Twenty-Five VPS platform verhuisd. 🙂

BommelNetworks logo

Eigenlijk weinig bijzonderheden tegengekomen, behalve dat apache2-suexec in Lenny toch even anders werkt dan in Etch. Wellicht meer hierover binnenkort (of iets minder binnenkort…).

Blablablog?

Friday, March 12th, 2010

XKCD: Starwatching (1 van 2)

Gewoon leuk, toch?

XKCD: Starwatching (2 van 2)

Publiek IP-adres met ADSL?

Tuesday, March 2nd, 2010

Al vaker heb ik wat geschreven over het configureren van SpeedTouch ADSL-modems. Het is, ondanks de voornamelijk particuliere doelgroep, vrij aardig wat de apparatuur aan mogelijkheden biedt denk ik. Echter, in sommige gevallen wil je bewust géén gebruik maken van die mogelijkheden, bijvoorbeeld als je een serversysteem of router van het enige beschikbare publieke IP-adres van je ADSL-verbinding wil voorzien.

Er zijn verschillende oplossingen mogelijk, al dan niet met wat kunst- en vliegwerk. Helaas werken nagenoeg alle internetaanbieders in Nederland met PPP over ATM, waarmee het merendeel van de mogelijkheden wegvalt. Gelukkig blijft er een relatief eenvoudig te implementeren oplossing over! De moeite waard om over te schrijven, dacht ik zo. 😉

In mijn geval wilde ik graag het publieke IP-adres van onze ADSL-verbinding op kantoor direct kunnen toewijzen aan een serversysteem met Debian Linux.

Allereerst heb ik de instellingen van het ADSL-modem volledig gewist en vervolgens een minimaal subnet (/30) toegewezen. Binnen dit subnet bestaan maar twee IP-adressen: 172.29.98.1 voor het ADSL-modem en 172.29.98.2 voor het serversysteem.

Ter referentie, de CLI commando’s:

:system reset factory=yes proceed=yes

Het ADSL-modem zal opnieuw opstarten en is nu beschikbaar middels 10.0.0.138. Vervolgens:

:ppp relay flush
:eth flush
:atm flush
:ppp flush
:atm phonebook flush
:ip ipadd intf=LocalNetwork addr=172.29.98.1 netmask 255.255.255.252
:ip ipconfig addr=172.29.98.1 preferred=enabled primary=enabled

Maak nu opnieuw verbinding met telnet, maar nu met 172.29.98.2. Vervolgens om de oude IP-adressen te verwijderen en om DHCP uit te schakelen:

:ip ipdelete addr=192.168.1.254
:ip ipdelete addr=10.0.0.138
:service system modify name=DHCP-S state=disabled

Stel een wachtwoord in:

:user config name Administrator password VERYVERYSECRET

Maak een ADSL-verbinding aan met de juiste VPI/VCI en zet PPTP aan:

:atm phonebook add name=ADSL addr=0.35
:service system modify name=PPTP state=enabled

Sla tot slot de instellingen op:

:saveall

Het ADSL-modem is nu klaar voor gebruik! Installeer vervolgens op het serversysteem:

$ sudo apt-get install pptp-linux

De netwerkconfiguratie kan volstaan met:

$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 172.29.98.2
netmask 255.255.255.252

# The xDSL interface
auto dsl
iface dsl inet ppp
provider adsl

De PPP configuratie is verder erg eenvoudig:

$ sudo cat /etc/ppp/peers/adsl
noipdefault
defaultroute
replacedefaultroute
lock
user someuser
persist
holdoff 10
maxfail 0
noauth
noproxyarp
updetach
pty "pptp 172.29.98.1 --nolaunchpppd"

En tot slot de gebruikersnaam en wachtwoord:

$ sudo cat /etc/ppp/pap-secrets
someuser asdl VERYVERYSECRET

Na opnieuw laden van de netwerkinstellingen, verschijnt als resultaat ppp0 met daaraan het publieke IP-adres:

$ /sbin/ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:1.2.3.4 P-t-P:5.6.7.8 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:5067418 errors:0 dropped:0 overruns:0 frame:0
TX packets:4369810 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:4028098294 (3.7 GiB) TX bytes:1026059848 (978.5 MiB)

Bij eventueel verbreken van de verbinding zal deze automatisch opnieuw worden opgebouwd.

FOSDEM 2010

Monday, February 8th, 2010

Ook dit jaar was de Free and Open Source Developers’ European Meeting in Brussel erg leerzaam, verhelderend en gezellig!

Naast Marco in de collegebanken

Er was erg veel te zien, maar het meest leuke praatje vond ik toch wel het praatje RepRap – Manufacturing for the Masses van Adrian Bowyer. Wellicht niet helemaal binnen m’n vakgebied, maar gewoon erg leuk!

Adrian Bowyer vertelt over RepRap

Technisch het meest interessant vond ik het praatje Scaling Facebook with Open Source tools.

Het is altijd erg leerzaam om een andere kijk en werkwijze mee te krijgen, alhoewel een heleboel technieken die de revue passeerden bij Kumina niet onbekend zijn… En laat ik eerlijk zijn: wat bevestiging is ook niet verkeerd! 🙂

Re: WordPress

Wednesday, January 6th, 2010

Normaliter vanzelfsprekend natuurlijk, maar in mijn geval een verademing: een goed werkende beheeromgeving van WordPress!

Het leek me een goede zaak (nu nog een relatief klein aantal) om maar eens Post Tags toe te voegen aan alle reeds geplaatste berichten. Behalve een stukje optimalisatie (met name handig voor zoekmachines zoals Google) ontstaat de optie voor een Tag Cloud, een leuke visuele aanvulling.

Ben ik nu ook hip? 😉

P.S. Nee, ik Twitter niet! 😛