miércoles, 30 de mayo de 2012

Instalar servicio PPTPD

En esta oportunidad vamos a instalar un servidor pptpd para esas ocasiones que es encesario llegar a una red determinada pero queremos agregarle apenas un poco más de seguridad para acceder a ella.

En el ejemplo estamos usando como distribución Centos 32 bits:

root@server# cat /etc/issue
CentOS release 6.2 (Final)

Para arrancar  actualizadmos el SO:

root@server#  yum update

Instalamos ppp:

root@server#  yum -y install ppp.i686

Descargamos el rpm de pptpd y lo instalamos:

root@server# wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.el6.i686.rpm
root@server#  rpm -ivh pptpd-1.3.4-2.el6.i686.rpm


Editamos el archivo options.pptpd y nos aseguramos de tener la siguiente configuración:

vim /etc/ppp/options.pptpd

name PPTP
lock
noauth
nobsdcomp
nodeflate
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
nodefaultroute
mtu 1000
mru 1000
lcp-echo-failure 10
lcp-echo-interval 10

Luego agregamos el rango de la nueva red VPN y el dg en /etc/pptpd.conf:

 debug
localip 192.168.1.1
remoteip 192.168.1.100-199
pidfile /var/run/pptpd.pid
Agregamos los usuarios que se van a conectar a este servidor pptp en el archivo /etc/ppp/chap-secrets:
#<user> <VPNname> <pass> <ip>
lessa         PPTP "lessa"       192.168.1.100


Luego cambiamos la flag del kernel para permitir el reenvío de paquetes :

root@server#  vim /etc/sysctl.conf
root@server# net.ipv4.ip_forward = 1
root@server# sysctl -p (para aplicar los cambios)

Y por último:

root@server#service pptpd start


P.D: No se olviden de habilitar tráfico correspondiente al servidor VPN y rutas necesarias en caso que tengan un router firewall, etc.

Utiliza 1723 tcp y protocolo 47 (GRE)


Saludos!







Publicado por en No hay comentarios:

viernes, 18 de mayo de 2012

Como forwaredear Syslog-NG a Rsyslog,

Supongo que no soy el primero que le pasa que tiene un dispositivo que tira los log al viejo y querido syslog-ng, y luego instalamos un servidor de syslog de back-up y nos encontramos no solo con la sorpresa que el dispositivo sólamente nos deja confirugar un único servidor de syslog, sino que el nuevo servidor backup ya no viene con syslog-ng sino que ahora tenemos que lidiar con "el nuevo" rsyslog.


Bueno para empezar tenemos que ir al Syslog-ng y decirle que los logs del dispositivo en cuestión ahora además de masticarlo él, también se los va a tener que tirar al Rsyslog. 


/etc/syslog-ng/syslog-ng.conf (éste archivo depende de la distro)

destination remote-rsyslog { udp("192.168.1.5"); };
destination device{ file(/var/log/security/device.log); };
filter      f_device        { message ("device")} ;
log { source(s_net);      filter(f_device);      destination(device); destination(remote-rsyslog); };

Ahora configuramos Rsyslog para que le pueda llegar los logs del syslog-ng:

Para empezar tenemos que descomentar estas líneas que por defecto vienen comentadas en el archivo de configuracion /etc/rsyslog.conf

$ModLoad imudp.so (para recivir mensajes por el protocolo UDP)
$UDPServerRun 514 (para escuchar en el 514)
$ModLoad immark.so      (para leer los identificadores)

Ahora nos resta decirle que el los logs que viene con el identificador detallado en syslog-ng los tire al archivo que nos pinte, por ejemplo.

&       ~
if $msg contains 'device' then /var/log/security/device.log
&       ~

Listo el pollo!

P.D: No se olviden de reiniciar los servicios y configurar bien logrotate!
Saludos!












Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)