Arquivo

Textos com Etiquetas ‘Firewall’

Endian 3.0.5beta1: Fix autenticação OpenVPN

11, setembro, 2015 2 comentários

Opa,

Recentemente fui instalar um servidor Endian em um cliente e me deparei com a seguinte mensagem de erro quando tentava conectar via OpenVPN:

openvpn[13568]: Options error: --auth-user-pass-verify script fails with "/usr/bin/openvpn-auth-user-pass": No such file or directory

Para solucionar esse problema basta editar um arquivo template na pasta do serviço OpenVPN e alterar o nome do arquivo de autenticação, para isso abra o arquivo:

# vi /etc/openvpn/openvpn.conf.tmpl

Localize a linha abaixo:

119 #if $AUTH_TYPE == 'psk_cert'
120 auth-user-pass-verify "/usr/bin/openvpn-auth-user-pass" via-env

E substitua por:

119 #if $AUTH_TYPE == 'psk_cert'
120 auth-user-pass-verify "/usr/bin/openvpn-auth-env" via-env

Após isso reiniciei o serviço OpenVPN e teste!

Abraço!

Categories: Linux Tags: , , ,

Liberando Servidor NFS no Firewall do XenServer

18, novembro, 2010 Sem comentários

Opa,

Recentemente precisei adicionar mais dispositivos de armazenamento do que o limite permitido pelo XenServer em uma VM (7 para PV e 3 para HVM), portanto resolvi instalar o dispositivo no XenServer e compartilhá-lo via NFS com as VM’s, segue abaixo como foi realizada essa tarefa.

Primeiro foi necessário definir as portas por onde o tráfego NFS iria passar, pois será preciso liberá-las no Firewall, para isso edite o arquivo abaixo:

# vi /etc/sysconfig/nfs

LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
RQUOTAD_PORT=875
STATD_PORT=662
STATD_OUTGOING_PORT=2020

No XenServer o serviço portmap vem configurado para “escutar” somente localmente por padrão, será necessário alterar a variável PMAP_ARGS para que fique da mesma forma abaixo:

# vi /etc/sysconfig/portmap

PMAP_ARGS=""

Adicione os compartilhamentos desejados no arquivo exports (Lembre-se de adaptar para a sua faixa de rede):

# vi /etc/exports

/mnt/backup    192.168.100.0/24(rw,sync,no_subtree_check)

Reinicie os serviços:

# /etc/init.d/portmap restart
# /etc/init.d/nfs restart
# /etc/init.d/rpcsvcgssd restart

Atualize o arquivo com as regras do Iptables para o tráfego NFS (Lembre-se de adaptar para a sua faixa de rede):

# vi /etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -s 192.168.100.0/24 -m state --state NEW -p udp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24 -m state --state NEW -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24 -m state --state NEW -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p tcp --dport 32803 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p udp --dport 32769 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p tcp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p udp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p tcp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p udp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24  -m state --state NEW -p tcp --dport 662 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.100.0/24 -m state --state NEW -p udp --dport 662 -j ACCEPT

Reinicie o serviço do Iptables e pronto!

# /etc/init.d/iptables restart

Agora já pode acessar os compartilhamentos via NFS!

Abraço!

Fontes:
1 – http://www.cyberciti.biz/faq/centos-fedora-rhel-iptables-open-nfs-server-ports/
2 – http://forums.citrix.com/thread.jspa?messageID=1511031

Categories: Linux Tags: , , , , ,

Endian Firewall: Compilando driver e1000e

21, outubro, 2009 8 comentários

Opa,

Hoje tive a missão de procurar um driver para a placa de rede Intel Corporation 82567V-2 Gigabit Network Connection no Endian Firewall, após algumas pesquisadas no famoso amigo Google e não encontrar nada que pudesse me ajudar resolvi partir por outro caminho, fui até um dos Fórum do Endian e pesquisei por lá em como compilar pacotes no danado, após algumas pesquisas descobri esse post (http://efwsupport.com/index.php?topic=610.0) que foi usado para compilar o driver de uma Realtek 8111C e resolvi testar com o Endian, o resultado desse teste segue abaixo! =)

Para começar o dispositivo estava sendo identificado como “Unknown Device” ao executar o comando lspci, para descobrir qual o modelo da placa foi necessário atualizar a lista de PCI ID com o comando abaixo:

# update-pciids

Feito isso ao executamos o comando lspci novamente e o modelo da placa é exibido corretamente:

# lscpi |grep -i Ethernet

Intel Corporation 82567V-2 Gigabit Network Connection

Vamos instalar alguns pacotes para nos ajudar nessa tarefa (info e wget):

# rpm -Uvh http://archives.fedoraproject.org/pub/archive/fedora/linux/core/3/i386/os/Fedora/RPMS/info-4.7-5.i386.rpm
# rpm -Uvh http://archives.fedoraproject.org/pub/archive/fedora/linux/core/3/i386/os/Fedora/RPMS/wget-1.9.1-17.i386.rpm

Agora vamos baixar e descompactar os pacotes para permitir a compilação do driver (gcc, cpp, glibc, kernel-devel, etc…):

# wget http://dfn.dl.sourceforge.net/sourceforge/efw/EFW-COMMUNITY-2.2-rc3-devel-rpms.tar.gz
# tar -xvzf EFW-COMMUNITY-2.2-rc3-devel-rpms.tar.gz

Instalamos os pacotes necessários para a compilação:

# cd RPMS/devel/
# rpm -Uvh binutils-2.15.92.0.2-24.endian1.i586.rpm
kernel-devel-2.6.22.19-72.endian15.i586.rpm glibc-kernheaders-2.4-9.1.100.EL.endian1.i386.rpm patch-2.5.4-20.endian0.i386.rpm glibc-headers-2.3.4-2.39.endian6.i386.rpm glibc-devel-2.3.4-2.39.endian6.i386.rpm libgomp-4.1.2-14.endian1.i586.rpm gcc4-4.1.2-14.endian1.i586.rpm make-3.81-3.endian0.i586.rpm cpp-3.4.6-9.endian7.i586.rpm autoconf-2.59-7.endian0.noarch.rpm automake-1.9.5-0.endian0.noarch.rpm m4-1.4.3-0.endian0.i386.rpm rpm-build-4.4.1-21.endian7.i586.rpm libstdc++-devel-3.4.6-9.endian7.i586.rpm

Criamos um link do gcc apontando para o gcc4:

# ln -s /usr/bin/gcc4 /usr/bin/gcc

Baixe os fontes do driver e1000e no Sourceforge (http://sourceforge.net/projects/e1000/files/e1000e%20stable/):

# wget -c http://downloads.sourceforge.net/project/e1000/e1000e%20stable/1.0.2.5/e1000e-1.0.2.5.tar.gz?use_mirror=ufpr

Agora é só gerar o pacote RPM com o comando abaixo:

# rpmbuild -tb e1000e-1.0.2.5.tar.gz

Após a conclusão da compilação será gerado um pacote RPM com o driver e1000e, para carregá-lo basta executar a instalação do pacote e subir o módulo com o comando modprobe:

# rpm -Uvh /usr/src/endian/RPMS/i386/e1000e-1.0.2.5-1.i386.rpm
# modprobe e1000e

Execute o dmesg para verificar se o módulo foi carregado e a interface criada:

# dmesg
e1000e: Intel(R) PRO/1000 Network Driver - 1.0.2.5-NAPI
e1000e: Copyright(c) 1999 - 2009 Intel Corporation.
ACPI: PCI Interrupt 0000:00:19.0[A] -> GSI 20 (level, low) -> IRQ 21
PCI: Setting latency timer of device 0000:00:19.0 to 64
0000:00:19.0: : Failed to initialize MSI interrupts. Falling back to
legacy interrupts.
0000:00:19.0: eth3: (PCI Express:2.5GB/s:Width x1) 00:1c:c0:a4:04:fb
0000:00:19.0: eth3: Intel(R) PRO/1000 Network Connection
0000:00:19.0: eth3: MAC: 8, PHY: 8, PBA No: ffffff-0ff

Para subir a interface manualmente (No meu caso eth3):

# ifconfig eth3 up

E pronto! O Endian já deverá exibir o dispositivo na interface web!
Categories: Linux Tags: , , ,