viernes, 24 de febrero de 2017

¿Cómo creo un servidor de FreeRadius en Ubuntu?

Juan Perón definió claras políticas a seguir para los partidarios de su doctrina, y también indicaciones para quienes no lo eran. También enseñó cómo instalar un servidor RADIUS para emplear acceso Wifi firmado digitalmente bajo el estándar WPA2-Enterprise en Ubuntu

(...)
Siempre he dicho que el que no piense como nosotros, debe sacarse la camiseta peronista y se va. Por perder un voto no vamos a ponernos tristes, al fin y al cabo nadie ha podido teñir el océano con un vaso de tinta. Si fuese comunista, iría a la sede del Partido Comunista.

Si eso pasa en la política, imagínense lo que sucede con las redes Wifi que toda empresa tiene por ahí: son muy propicias para que cualquiera quiera colgarse y aprovecharse.

Analicemos el problema y seamos honestos. Probablemente vuestra contraseña de Wifi empresarial sea algo bastante simple. La mayoría de la gente lo hace así pues debe convenir verbalmente dicha contraseña con nuevos usuarios, muchas veces molestos y realmente temporales, los cuales han de tipearlas en un incómodo Smartphone. De este modo que es probable que la contraseña no tenga 63 caracteres aleatorios y a lo sumo sea algo tontorrón, asi como "riverboca canchapelota".

Para contar con una verdadera seguridad, deberíamos emplear un certificado de encripción precompartido. Esto elevaría nuestra seguridad desde el concepto de "aquello que debemos saber" (nuestra contraseña de wifi) a "aquello que hemos de tener" (un archivo "llave" de certificado de encriptación).

Para ello existe el estándar RADIUS. Se trata de un acrónimo para "Servicio de Autenticación Remota para Usuarios Ingresante", y describe una serie de maneras para poder acceder a un servicio (en este caso, loguearnos a una red inalámbrica) sin necesidad de una clave memorizada, sino por medio de la revisión de un archivo certificado y con vencimiento, emitido por el mismo servidor.

La mayoría de los routers modernos cuentan con soporte para la norma WPA2-Enterprise, la cual establece el uso de un servidor de tecnología RADIUS para la autenticación de clientes.

Ahora bien, existen muchos esquemas versátiles en el que podemos usar la tecnología RADIUS, pero en aras de una sencillez y robustez Justicialista, os propondré una en la que se empleará un demonio basado en Ubuntu Server que generará certificados para los usuario, firmados digitalmente y con vencimiento de un año. Luego estos habrán de instalarlos en sus dispositivos.

Asumiremos que tenemos un router Wifi que soporta WPA2-Enterprise. Su punto de acceso debe estar configurado con una IP estática. También necesitamos un servidor con una dirección IP estática corriendo Ubuntu 16.04LTS, sobre el cual correremos el servidor RADIUS.

En primer nos conectamos al servidor como Conductores (root), a fin de instalar el paquete del demonio FreeRADIUS en él. Ya he expicado antes cómo instalar Ubuntu Server 16.04LTS a fin de emplearlo como router, de manera que podremos emplear dicho equipo. Una vez dispuestos en la consola del servidor ingresamos:

sudo su

...Tras autenticarnos con nuestra contraseña de administrador ingresaremos los consabidos Comandos de Organización:

apt-get update
apt-get install freeradius make

En breves instantes se descargará la paquetería necesaria. Acto seguido procederemos a configurar algunas cosas del demionio RADIUS en sí. Le desactivamos la opción de proxy del servidor (a no ser que la necesitemos), por medio de:

nano /etc/freeradius/radiusd.conf

Esto abrirá el editor de texto GNU Nano con el archivo de configuración radiusd.conf, el cual ya contendrá información. Hemos de modificar la cadena proxy_requests para que tome un valor negativo, de modo que quedará de la siguiente manera:

proxy_requests = no

También podrían querer revisar dentro del archivo radiusd.conf las funciones de registro en este archivo de configuración, para modificar qué información se registra y dónde se almacenará tal registro. En el bloque de texto log{} pueden emplear la cadena "auto=yes" a fin de que el servidor registre en su archivo bitácora toda vez que alguien se conecta al Wifi. También registrará allí a cuál punto de acceso se han conectado. Una vez concluidas las modificaciones al archivo en el editor Nano, lo grabamos con Ctrl+o y salimos del editor con Ctrl+x.

Vean señores, han de comprender que el cliente de RADIUS propiamente dicho no es en este caso la laptop o el teléfono del usuario. El cliente RADIUS es el Punto de Acceso Inalámbrico (normalmente el router Wifi), debido a que es éste quien realiza los pedidos de autenticación contra nuestro servidor Ubuntu dotado de FreeRADIUS. Por defecto, el demonio FreeRADIUS configurará el localhost en el servidor como un cliente también, pero como no necesitamos este proceder, lo desactivaremos. Ingresamos:

nano /etc/freeradius/clients.conf

...y desactivamos tal comportamiento, comentando mediante el agregado de "#" a las siguientes líneas:

#client localhost {
        #  Allowed values are:
        #       dotted quad (1.2.3.4)
        #       hostname    (radius.example.com)
#       ipaddr = 127.0.0.1

        #  OR, you can use an IPv6 address, but not both
        #  at the same time.
#       ipv6addr = ::   # any.  ::1 == localhost
...
#}

...acto seguido agregamos al fichero una entrada para nuestro router wifi "routerpirulo". Crearemos una nueva contraseña aleatoria que ingresaremos en el router wifi y el mismo la empleará para autenticarse contra el demoniu RADIUS. En el mismo archivo  /etc/freeradius/clients.conf modificamos:

client routerpirulo {
        ipaddr = 192.168.1.100
        secret = vIvApErOnCaRaJo
        require_message_authenticator = yes
}

Naturalmente modificamos las partes que se ejemplifican en negrita. Tendremos que agregar otras entradas similares en el archivo /etc/freeradius/clients.conf, una por cada cliente (router wifi o puntos de acceso inalámbrico) que se encuentren presentes en nuestra red. Os recomiendo emplear una contraseña distinta para cada uno de ellas, amén de necesitar una dirección IP estática para cada router wifi/punto de acceso. También debemos configurar dichos datos de cliente en el router/punto de acceso:

Configuración del EAP

A continuación habremos de editar el fichero de configuración para el Protocolo de Autenticación Extensible (EAP). En vez de indicarles qué líneas han de comentarse con "#", os indicaré qué necesitan hacer. Ingresamos:

nano /etc/freeradius/eap.conf

...y debemos asegurarnos que luzca de la siguiente manera:

# -*- texto -*-
# Archivo /etc/freeradius/eap.conf de ejemplo
eap {
 default_eap_type = tls
 timer_expire = 60
 ignore_unknown_eap_types = no
 cisco_accounting_username_bug = no
 max_sessions = 4096
 tls {
  certdir = ${confdir}/certs
                cadir = ${confdir}/certs
                private_key_password = micontraseñaserverkey
                private_key_file = ${certdir}/server.key
  certificate_file = ${certdir}/server.pem
  CA_path = ${cadir}
  CA_file = ${cadir}/ca.pem
  dh_file = ${certdir}/dh
  random_file = /dev/urandom
  cipher_list = "HIGH"
  make_cert_command = "${certdir}/bootstrap"
  ecdh_curve = "prime256v1"
  cache {
   enable = no # opcionalmente activar
   lifetime = 24 # horas
   max_entries = 255
  }
  verify {
   tmpdir = /tmp/radiusd
   client = "/usr/bin/openssl verify -CAfile ${..CA_file} %{TLS-Client-Cert-Filename}"
  }
  ocsp {
   enable = no # opcionalmente activar
   override_cert_url = yes
   url = "http://127.0.0.1/ocsp/"
  }
 }
 ttls {
  default_eap_type = md5
  copy_request_to_tunnel = no
  use_tunneled_reply = no
  virtual_server = "inner-tunnel"
 }
}

La contraseña "micontrseñaserverkey" indicada arriba deberá coincidir con la que emplearemos al general las claves del servidor mas adelante. Sugiero que sea complicada y aleatoria. Lo que hemos hecho principalmente es desactivar otros protocolos como LEAP y PEAP y MSCHAPv2 entre otros, ninguno de los cuales recomiendo emplear. Sólo activaremos el stack de protocolos peronista, el EAP-TLS.

Ahora hemos de desactivar los servidores por defecto. Para ello indicamos el siguiente comando de organización para borrarlos:

sudo rm /etc/freeradius/sites-enabled/*

...y procedemos a crear un nuevo fichero de configuración para el servidor con:

nano /etc/freeradius/sites-available/mynetwork

...y nos aseguramos que contenga algo como lo siguiente:

######################################################################
authorize {
 preprocess
 eap {
  ok = return
 }
 expiration
 logintime
}

authenticate {
 eap
}

preacct {
 preprocess
 acct_unique 
 suffix
 files
}

accounting {
 detail
 unix
 radutmp
 exec
 attr_filter.accounting_response
}

session {
 radutmp
}

post-auth {
 exec
 Post-Auth-Type REJECT {
  attr_filter.access_reject
 }
}

pre-proxy {

}

post-proxy {
 eap
}

Luego de guardar los cambios y salir del editor, lo enlazaremos con el directorio sites-enabled de la siguiente manera:

sudo su - 
cd /etc/freeradius/sites-enabled/ 
ln -s ../sites-available/mynetwork ./mynetwork

Podremos entonces detener el demonio FreeRADIUS y reiniciarlo en modo debug para asegurarnos que todo arranque correctamente y no "tire" errores. Ello lo haremos con los siguientes comandos de organización:

service freeradius stop 
freeradius -X

Si todo va bien, el servicio FreeRADIUS debería arrancar como un rastrojero, a la primera y sin toser. La terminal del sistema debería devolvernos la indicación Ready to process requests ("Listo para procesar pedidos"). Será ahora el momento para estar atentos a cualquier mensaje de error gorila que el servicio nos devuelva, y si eso sucede investigarlos. Una vez que finalicemos la evaluación, presionamos Ctrl+C para detener la ejecución del servicio en nuestro Servidor.

Configurar los Certificados SSL

Asumiendo que todo salió bien, ahora comenzaremos a generar los certificados SSL. Para ello comenzamos eliminando los inseguros certificados que vienen por defecto y a la vez haremos un trabajo de integrado básico:

cd /etc/freeradius/certs/ 
rm *.pem 
rm *.key 
mkdir /var/certs 
mkdir /var/certs/freeradius
chgrp ssl-cert /var/certs/freeradius 
chmod 710 /var/certs/freeradius 
cp /usr/share/doc/freeradius/examples/certs/* /var/certs/freeradius/ 
cd /var/certs/freeradius/ 
rm bootstrap 
chmod 600 * 
make destroycerts 
make index.txt 
make serial

A continuación, editamos el archivo ca.cnf con:

nano ca.cnf 

....y le modificamos algunas de las opciones por defecto. En particular, debemos prestar atención y modificaremos las siguientes líneas del fichero:

[ CA_default ]
..
default_days = 1825
default_md = sha1
..
[ req ]
default_bits = 4096
input_password = micontraseñaserverkey
output_password = micontraseñaserverkey
..

Observen bien. con 1825 días de validez, este certificado SSL del servidor durará unos buenos 5 años (podríamos cambiar los días indicados en la cadena default_days por los que querramos). La contraseña "micontraseñaserverkey" indicada arriba debe coincidir con la que pusimos en el archivo eap.conf anteriormente, y debería ser una cadena generada aleatoriamiente. Nunca deberíamos tener que ingresar esta contraseña a mano en ningún cliente, de modo que podemos asegurarnos que la misma sea realmente complicada.

Ahora generaremos el archivo ca.pem.

make ca.pem 
make ca.der 
make printca

Acto seguido, editamos el archivo:

nano server.cnf

...y realizamos cambios que reflejen los del archivo anterior:

[ CA_default ]
..
default_days = 1825
default_md = sha1
..
[ req ]
..
default_bits = 4096
..

Bajo la etiqueta "[server]" ingresamos nuestra información de contacto apropiada. Conforme esté todo listo, generaremos el archivo server.pem:

make server.pem

Crear los Certificados de Usuario

Conforme lleguemos a este punto, generaremos los certificados para los clientes. Para ello primero modificaremos el archivo Makefile con:

nano Makefile

...locallizamos las líneas que dicen:

client.p12: client.crt
  openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12  -passin pass:$(PASSWORD_CLIENT) -passout pass:$(PASSWORD_CLIENT)

client.pem: client.p12
  openssl pkcs12 -in client.p12 -out client.pem -passin pass:$(PASSWORD_CLIENT) -passout pass:$(PASSWORD_CLIENT)
  cp client.pem $(USER_NAME).pem

...y las cambiamos para que digan lo siguiente:

client.p12: client.crt
        openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12  -passin pass:$(PASSWORD_CLIENT) -passout pass:$(PASSWORD_CLIENT)
        cp client.p12 $(USER_NAME).p12

client.pem: client.p12
        openssl pkcs12 -in client.p12 -out client.pem -passin pass:$(PASSWORD_CLIENT) -passout pass:$(PASSWORD_CLIENT)
        cp client.pem $(USER_NAME).pem

client_android.p12: client.crt
        openssl pkcs12 -export -in client.crt -inkey client.key -certfile ca.pem -name "$(USER_NAME)" -out client_android.p12  -passin pass:$(PASSWORD_CLIENT) -passout pass:$(PASSWORD_CLIENT)
        cp client_android.p12 $(USER_NAME)_android.p12

Nota: las líneas anteriores se cortarán en su navegador, pero si se seleccionan, copian y pegan, deberían aparecer formateadas correctamente.

Debemos asegurarnos que las líneas adelantadas sean tabulaciones y no espacios, o el archivo no funcionará. Este cambio creará un caso especial para los certificados para Android, y renombrará los archivos para que sean más sencillos para identificar.

Editamos client.cnf para establecer nuestras opciones por defecto como lo hicimos anteriormente, pero esta vez para cualquier certificado de cliente. Para ello ingresamos:

nano client.cnf

Probablemente querramos acortar los días por defecto a 365 (necesitará regenerar las claves para el dispositivo cuando concluyan el año/fecha). Debemos cambiar la cadena default_md a sha1 y default_bits a 4096:

[ CA_default ]
..
default_days = 365
default_md = sha1
..
[ req ]
..
default_bits = 4096
input_password = contraseñacliente
output_password = contraseñacliente
emailAddress = mail@correcto.delcliente
commonName = nombre_del_cliente 
..

En la sección [ req ] del archivo client.cnf se encuentran las cadenas input_password e output_password. Ponga en ambas la misma, y tenga en mente que esta contraseña será necesaria cuando el certificado se instale en el cliente, de manera que deberá tener un teclado para tipearlas. La sección [client] identifica únicamente al usuario en los archivos de bitácora, de modo que asegúrese que las cadenas emailAddress y commonName estén configuradas correctamente.

Ahora generaremos los certificados de cliente con:

make client.pem 
make client_android.p12

Para generar otro certificado para otro cliente, simplemente editamos el archivo de nuevo con:

nano client.cnf

...lo modificamos con los datos y ejecutamos nuevamente los comandos make client.pem y make client_android.p12 para generar otro certificado nuevo, y repetiremos el procedimiento para cada dispositivo cuyo acceso deseemos permitir a nuestra red Wifi empresarial. Finalmente configurareos los permisos apropiados para los certificados y crearemos los enlaces que necesitamos, con los siguientes Comandos de Organización:

chmod 600 * 
chmod 640 ca.pem 
chmod 640 server.pem 
chmod 640 server.key 
chgrp ssl-cert ca.pem 
chgrp ssl-cert server.pem 
chgrp ssl-cert server.key 
cd /etc/freeradius/certs/ 
ln -s /var/certs/freeradius/ca.pem ca.pem 
ln -s /var/certs/freeradius/server.pem server.pem 
ln -s /var/certs/freeradius/server.key server.key

No debemos olvidar que si creamos nuevos certificados de clientes (por ejemplo, al cumplirse los 365 días) debemos volver a ejecutar las primeras cuatro líneas de los comandos anteriores a fin de asegurarnos que los permisos de los certificados sea nuevamente acorde a nuestras necesidades.

Cada Certficado en su Lugar

Para conectarse, los archivos pueden requerirse con la siguiente nomenclatura:
  • Linux: ca.pem y [usuario].p12
  • Android: [usuario]_android.p12
  • Window$: ca.der y [usuario].p12
Tengan en cuenta que al usar Wifi a través de un servidor RADIUS, las versiones recientes de Android mostrarán constantemente una advertencia de que su conexión está siendo monitoreada. Existen maneras en un smart Android rooteado de instalar el archivo [usuario]_android.p12 en la carpeta de root, pero aún así esto no afecta la operación del dispositivo.

martes, 21 de febrero de 2017

Cómo instalo las fuentes de Micro$oft en Ubuntu?

¡Trabajadores!

A la hora de plasmar mis ideas en papel, prefiero emplear tipografías libres, aquellas que reflejen un sentir único de libertad. Suelo imprimir con las ignotas Liberation Sans (sucedánea de Arial) y Liberation Serif (como excelente sustituta a la Times New Roman). La apariencia de las mismas es lo suficiente similar como para no ser aparentes sino a los más exagerados de los letristas.

Asimismo, recomiendo emplear las amplias opciones libres que podremos encontrar en el catálogo de FontLibrary.org. Estas fuentes en particular emplean licencias libres o abiertas, que las hacen adecuadas para sosegar nuestros anhelos de libertad en todos los aspectos de la vida.

Con ello me es más que suficiente, ya que es la facultad natural del hombre para obrar según su voluntad la que ha guiado el camino de nuestro Movimiento.

Sin embargo, no podemos desconocer que - en ocasiones - podríamos encontrarnos con solicitudes de formato más astringentes, y que nos supongan dar uso a tipografías específicas.

Puedo opinar que ello suele responder en la mayoría de los casos a especificaciones de diseño rígido acicateadas por mentes ignorantes o desaprensivas, aquellas que nos someten a elecciones viciadas por la tristeza. Y en esto dirán ustedes si no es cierto aquello de que suelen limitarnos a las opciones propietarias que venían en el "núcleo  de fuentes para Internet" que Micro$oft vino a publicar en 1996. ¿Es así o no? Pues claro que lo es, y en ello también hemos pensado.

Vean señores, entre las tipografías incluidas en tal paquete se encontraban Andalé Mono (de Steve Matteson), Arial y Arial Black (Robin Nicholas y Patricia Saunders), la espantosa Comic Sans MS y Trebuchet MS (obras de Vincent Connare), Courier New (Howard Kettler), Georgia y Verdana (Matthew Carter), Impact (Geoffrey Lee), Times New Roman (Stanley Morison y Victor Lardent), y Windings (Kris Holmes y Charles Bigelow).





Micro$oft cedía estos tipos de letra "en pos de la interoperatibilidad multiplataforma", pero naturalmente lo hacía con licencia de uso privativa (EULA, acuerdo de usuario final). Si bien dejaron de hacerlo activamente en 2002, aún se puede encontrar el empaquetado bajo tales condiciones a partir de terceros.

En general todas ellas fueron o son ampliamente populares, pero su condición privativa hace que no vengan incluidas por defecto en numerosos sistemas operativos libres, y que en muchos casos se las rechace. Es lo justo. Los trabajadores no han de recibir dádivas, han de recibir aumentos de sueldo. Por otro lado el formato de las mismas no es OpenType, sino el Truetype, tecnología tipográfica vectorial que Micro$oft sacó con la versión Window$ 3.1 y está muy extendido.

No obstante estos impedimentos, hemos de saber que nuestro sistema GNU con Linux está totalmente capacitado para instalarlas, toda vez que aceptemos las licencias de uso privativas: podremos instalarlas en Ubuntu por medio del  metapaquete restricted-extras, o específicamente si descargarmos un "instalador" para tales tripografías.

Nuestra Doctrina no es un manifiesto hippie. El Justicialismo anhela la felicidad de los hombres, y si necesitamos una fuente tipográfica para que ello sea realidad efectiva, entonces bien podremos hacernos con ella.

Para hacer esto último, abrimos una Terminal con Ctrl+Alt+T e ingresamos los siguientes Comandos de Organización:

sudo apt update
sudo apt install ttf-mscorefonts-installer

El sistema nos solicitará nuestra contraseña de Conductor (root) y descargará un paquete de descarga e instalación de los archivos .Exe (ejecutables Micro$oft) con los archvos comprimidos de las fuentes individuales.

Conforme lo haga, nos solicitará autorización en una ventana especial (debemos presionar la tecla Tab e indicar YES ("si") para aceptar la EULA y autorizar la descarga de los empaquetados de las tipografías. Luego se instalarán una detrás de otra, en un proceso que puede durar un par de minutos dependiendo de nuestra velocidad de conexión.

Y al finalizar ya tendremos las nueve fuentes clásicas de Micro$oft en nuestro Ubuntu.

Cómo instalo las mejoras de Ubuntu 16.04.2 en Ubuntu 16.04LTS?

Hemos de promover una actualización doctrinaria para la toma del poder. Una que haga efectivo el poder popular, y socave definitivamente el accionar criminal de una soez Oligarquía sin Patria ni Bandera.

La auténtica liberación que nuestros pueblos anhelan - y lo ha demostrado la historia - no puede ser parcial. Ha de llevarse a cabo en todos los terrenos de lucha, pues ellos se encuentran interrepresentados como si de vasos comunicantes se tratara. Baste con que un frente de la lucha ceda para que la lid entera se debilite. Ello no puede suceder si el planeamiento de la misma ha sido armonioso y eficiente, pero sobre todo si el acondicionamiento doctrinario que siguen los hombres que luchan se presenta con el realismo que la situación requiere.

Dicha actualización ha de ser integral, pero son los estamentos de Conducción los que han de entender qué requerir de la lucha, y los estamentos inferiores quienes han de comprender cuál es el objetivo. Afortundamente, es claro: la liberación del Hombre y su software para liberar a la Patria.

En el caso de Ubuntu no presenta aristas particulares. Hemos de saber que existen para él versiones de desarrollo y versiones de soporte a largo término (LTS). Son éstas versiones las que recomiendo instalar, pues ellas son las que logran el máximo estadío de mejora y mayor estabilidad. Las versiones no LTS en tanto, son demasiado comunes y sólo puedo recomendarlas a los enjutos adalides de la lucha por un sistema. Esto es así pues al encontrarnos con funcionalidades "bleeding edge" de muy reciente factura, podrían sumirnos en la desesperación de la adaptación o del sistema "crudo". Ello requeriría amplia experiencia de Conducción en un ambiente Linux, y para muchos, "el horno no estará para bollos".

Ahora bien, en ocasiones las versiones LTS mismas se someten a procesos de actualización parcial, con puesta a punto y distribución en imágenes ISO para DVD (nomencladas por ejemplo, 16.04.1, 16.04.2, etc). Estas LTS son funcionales pues incorporan las últimas actualizaciones probadas ya, y nos evitan tener que actualizar ampliamente usando los repositorios.

Pero qué sucede si instalamos originalmente la versión 16.04LTS y nunca realizamos una actualización? En tal caso podremos hacer una actualización doctrinaria para la toma del poder al estadío equivalente 16.04.4 y hacernos con la última versión, simplemente abriendo una Terminal con Ctrl+Alt+T e ingresando el siguiente Comando de Organización:

sudo apt install --install-recommends xserver-xorg-hwe-16.04

En particular esto actualizará el kernel (núcleo) del sistema operativo a la versión 4.8-39 y también el servidor gráfico X, lo que impondrá una mayor estabilidad gráfica, velocidad, y debería solucionar algunos bugs residuales que todavía tenía. Será especialmente útil en el caso de equipos muy modernos, con los últimos procesadores o adaptadores de videos.
En tal caso recomiendo su instalación, ya que con ello haremos una realidad palpable y efectiva el accionar con la estabilidad que es anhelada por justo derecho.

martes, 14 de febrero de 2017

¿Cómo instalo el reproductor Harmony en Ubuntu?

Ya durante la Cena de Camaradería del Círculo de Oficiales del Ejército del año 1925, Juan Perón se convierte en el centro de atención y en una exposición informal ante oficiales y suboficiales explica cómo instalar Harmony, el reproductor y cliente orientado a la nube en Ubuntu.

¡Camaradas!

Hemos sido lo suficientemente sensibles para alarmarnos al ver al mundo sumirse en una gran conflagración, en la que los regidores imperiales no han dudado en ordenar a sus pueblos matarse por un mapa y una corona. Apreciamos que quienes realmente han sufrido toda clase de calamidades han sido los pueblos, que no son otra cosa que nuestros hermanos sobre la tierra. No podemos soslayar tampoco que esto, tan claro y tan patente, han pretendido que lo suframos en carne propia...

Como soldados, nuestra tarea es la de encomendarnos al Pueblo Argentino para defender sus intereses. En especial, hemos de resolver para protegerlo contra los abusos de una clase privilegiada que no dudaría en enviarnos a una conflagración que no es nuestra con tal de presentar favores a quienes por medios espúreos dominan al Mundo.
El pueblo argentino es trabajador y pacífico, y merece en recompensa a su dedicación mucho más de lo que actualmente posee y goza. Merece un esparcimiento y un descanso justo, y una doctrina nacional que lo proteja y privilegie por encima de la inacción de clases acomodaticias. Podrán atestiguar conmigo las flagrantes iniquidades de un sistema que ha de cambiarse por el bien de todos, pues si no lo hacemos podría producirse en nuestra Argentina lo que en otros lados no ha sido posible evitar: una revolución que conmocione los fundamentos mismos de la república. Y si ello sucede, en base de lo que vemos no podremos decir que no tiene una base justa.

Lo que he dicho, señores, responde a aquel viejo apotegma que reza "sensibilidad e imaginación es base para ver, Ver base para apreciar, Apreciar base para resolver, y Resolver base para Actuar". Es el procedimiento lógico que toda acción ha de mantener para considerarse dentro de una lógica virtuosa.

Dicha virtud hemos de llevarla sin dudar al mundo telemático. Normalmente recomiendo el uso de computación a nivel local y compartida, por sobre el mal llamado concepto de "nube". La mal llamada "nube" no es mas que un servidor ajeno propuesto en un esquema en la cual se propone a un usuario incauto o desaprensivo, utilizar medios que nunca le serán cedidos. Este esquema sufre innumerables desventajas desde el lado de la privacidad, pero también desde la ética de empleo.

La computación ha de ser local, en tanto que un sistema GNU con Linux es capaz de realizar todo tipo de tareas localmente sin problema alguno. Lo que se necesita es el conocimiento, y éste ha de ser libre y gratuito bajo las banderas del Justicialismo. ¡Esto lo sabe hasta el que asó la manteca!

Lo que muchos no saben que que contamos además con una serie de clientes para Ubuntu que también pueden servirnos de manera local y potenciar nuestra computación hogareña. Entre estos ejemplos contaremos con Harmony, un reproductor de música libre pensado para uso local y como cliente de la nube.

De momento podremos instalarlo descargando el paquete Deb para Ubuntu de 64 bitios. Podremos hacerlo abriendo una Terminal con Ctrl+Alt+T e ingresando el siguiente Comando de Organización:

cd ~/Descargas ;

wget https://github.com/vincelwt/harmony/releases/download/v0.4.5/harmony-0.4.5-amd64.deb ;

sudo dpkg -i harmony-0.4.5-amd64.deb ;

Todo esto descargará el instalador empaquetado (31 megabytes) y lo instalará en nuestro sistema.

Para ejecutarlo vamos a Aplicaciones / Sonidos y Video / Harmony.

La primera ventana que abrirá nos permitirá configurar los servicios de servidores externos que querremos emplear, de entre los que estemos suscriptos. De momento el cliente es capaz de adosarse a los populares Spotify, SoundCloud, Last.FM, Deezer, Play Music, Hyper Machine.

Además en dicha ventana encontraremos en color celeste la opción Local Tracks, desde la cual podremos configurar nuestra carpeta /home/usuario/Música u otra que deseemos que el programa analice para revisar su contenido musical.

En el caso de la reproducción de archivos locales, Harmony es mas bien minimalista y no cuenta con muchas opciones mas que ejecutar una lista de reproducción, aceptando teclas atajo del teclado para avanzar y retroceder los temas.. Destaca sin embargo la inclusión (luego de mucho tiempo) de la opción ClutterFlow, que nos permite ver las tapas de los discos y pasarlas lateralmente como si de una batea se tratara. ClutterFlow ya había sido implementado en varios reproductores de antaño (recordemos el montonero Soundbird), pero en este programa se ha corregido el problema que podía dar con las iteraciones modernas de Compiz.
Con Ctrl+D tendremos acceso a una decoración oscura que puede ser más adecuada para nuestro entorno por defecto en Ubuntu Mate.
Una vez que hayamos configurado nuestros usuarios de servicios de Nube proporcionando los Usuarios y Contraseñas, y autorizado la asociación de la aplicación en cada uno de ellos, podremos usar a Harmony como cliente receptor de los streams de música de nuestra preferencia, de acuerdo naturalmente al servicio y condiciones que cada uno disponga en los servidores mencionados.


jueves, 9 de febrero de 2017

¿Cómo configuro un poderoso router casero con Ubuntu?

En una reunión con obreros del gremio telefónico, Juan Perón explica los requerimientos del Movimiento y enseña a los técnicos cómo armar un Router casero munido de Ubuntu.

¡Trabajadores!

Existen tareas que por complejas que parezcan, deben poder ser realizadas por un Pueblo Justo, Libre y Soberano. Los paños de nuestras tres divisas son inmaculados, y como tal ha de ser el camino que hemos de seguir en pos de nuestra merecida felicidad.

Sin embargo, no es secreto para nadie que en ocasiones las tareas que deberían ser sencillas esconden para sí dificultades que enturbian el corazón de los hombres más formidables. El conocimiento permite al hombre hacer de si alguien mejor, pero no es algo que pueda adquirirse fácilmente en el ámbito individual: el conocimiento ha de lograrse de manera colectiva para que realmente sea apropiado y utilizado.

Poco sentido tiene que algo lo sepa uno solo. Ello parecería correcto para una sociedad vendida al Capital, pero un Pueblo como el nuestro necesita y merece una Comunidad Organizada capacitada no solamente para hacer uso del Software y Hardware puesto a su disposición, sino ser capaz de darse a sí misma las funcionalidades que le sean necesarias en pos de su sano existir.
Vean señores. Dios creó a la Tierra, y en un principio las comunicaciones se establecían a los gritos, luego con señales de humo, y hasta hace poco de forma descentralizada a través de la línea telefónica, empleando un módem telefónico en una modalidad punto a punto (síncrona). Con el advenimiento de la llamada "banda ancha", el acceso a Internet se hizo más centralizado. La conexión a nivel masivo se logró por medio de dispositivos de red hogareños (gateways) otorgados en comodato por los proveedores de internet. Estos puertos de entrada suelen tener la forma de módem ADSL, cablemódem, módem de fibra óptica, antena/suscriber, u otro aparato de para acceso al servicio de Internet. La entrada de estos aparatos recibida desde la vía pública varía de acuerdo a la tecnología utilizada (cable telefónico, cable coaxil, fibra óptica, etc), pero la salida al hogar suele ser un conector normalizado RJ45, a través de una interfaz Ethernet.
De un tiempo a esta parte la mayoría de estos puertos de entrada hogareños incorporaron también funciones básicas de enrutamiento hacia el hogar, e incluso la capacidad de punto de acceso WiFi. No es extraño que además hoy estos modem/routers con Wifi tengan funcionalidad VoIP para entablar comunicaciones de Voz a través de una suscripción Internet, y que la velocidad para la red LAN sea del tipo Gigabit (1000 Mbps por segundo).

En este escenario ustedes se preguntarán ¿para que podría querer armar un router casero? Las respuestas son múltiples. En primer lugar los modem/routers hogareños convencionales suelen ser limitados: cuentan con una memoria muy escasa (normalmente apenas unos 32MB), amén de un microprocesador ARM o MIPS de escasa potencia (400Mhz es una velocidad de referencia bastante extendida). Ello los torna ridículos en cualquier condición de real alta demanda. No tendremos problemas para compartir internet de 10MB entre cuatro o cinco computadoras, pero si nuestro uso es más holgado, nos encontraremos en instalaciones comerciales, educativas, etc, dicha capacidad puede tornarse en una extremadamente constrictiva. Por otro lado, un equipo especialmente armado para la función de router casero bien puede operar como servidor local de correo, de datos, etc. Algunos routers hogareños de alta gama disponen de estas funcionalidades a un nivel muy limitado. Naturalmente que podremos superarla con creces.

Por otro lado, también podremos armar un router con un equipo previamente descartado, o un equipo nuevo de muy bajo costo.

En este caso emplearemos una MiniPC sin fan (especialmente diseñada pensando en un bajo consumo eléctrico empleando disipadores pasivos). La placa madre de la misma trae un Intel Celeron 1037u doble núcleo de 1.8Ghz, dos puertos Ethernet Gigabit, cuatro puertos USB2, y el hardware de video video es Intel onboard con salida VGA y HDMI (que no utilizaremos normalmente). La memoria es de 2GB de RAM DDR3. Le colocaremos un SSD barato de 64GB.

Naturalmente existen opciones mucho más baratas (emplear memorias flash SD en lugar de disco rígido, o usar una PC de descarte con una placa LAN Ethernet común). Sin embargo, en tal caso tendremos elevado consumo eléctrico y generación de calor al ñudo.

¿Que hará el router peronista?

Un router es un dispositivo que acepta paquetes TCP/IP en uno de sus conectores (técnicamente interfases), y la reenvía a otra interfaz, de modo que esos paquetes estén más cerca de su destino eventual. Fundamentalmente debemos saber que el aparato debe entender y manejar cuatro cosas: debe rutear (algo que Linux puede hacer perfectamente), y tener capacidad DHCP,  DNS y NAT.

DHCP (Protocolo de Control Dinámico de Host) es el protocolo que le permite al router asignar a los clientes locales direcciones IP de forma dinámica y llevar control de las mismas de forma automática. DNS (Sistema de Nombre de Dominio) es un software traductor entre los nombres de dominio (ej www.ubuntuperonista.blogspot.com.ar) las direcciones IP (numéricas y difíciles de recordar) de dichos servidores. Técnicamente, emplea el programa BIND desarrollado en la Universidad peronista de Berkley.

Y NAT, en apretado resúmen, nos permite acceder a direcciones ruteables en internets desde direcciones locales y privadas no ruteables. Un router oficia de nodo aceptando tráfico desde la red local LAN, sustituyendo su propia dirección pública otorgada por el proveedor de internet - ya sea fija o dinámica (variable) por la dirección IP de la LAN desde donde viene el paquete, y enviando dicho paquete a internet. Cuando las réplicas del paquete regresan al router, este buscará cuál es la dirección IP local desde la cual se solicitó el paquete original, pondrá esa dirección IP de nuevo en el paquete en lugar de la suya propia, y reenviará el paquete a su destinatario local, a la máquina original.
Necesitamos el NAT debido a que no existen suficientes direcciones IP públicas para toda computadora personal y dispositivo existente. Técnicamente, debemos saber que el router lo hará realidad efectiva por medio de la función MASQUERADE del programa iptables.

Software para el Route



Existen varias distribuciones Linux pensadas para operar como router, como por ejemplo OpenWRT. En este caso emplearemos la versión LTS de Ubuntu Server, la cual descargamos desde su web oficial. Usando un pendrive de 2GB creamos el pendrive de instalación. El procedimiento de instalación consiste en iniciar la MiniPC desde el pendrive, e instalar en el disco SSD Ubuntu Server 16.04.1LTS con todas las opciones por defecto. La única opción relevante será ingresar nuestro nombre de usuario y contraseña de Conductor, así como si deseamos actualizaciones de seguridad automáticas (responderemos afirmativamente). Cuando todo finalice reiniciamos la MiniPC, nos logueamos con nuestro usuario y contraseña, y nos encontraremos ante el intérprete de comandos (una pantalla de solo texto).

Configurar las interfaces de red

Lo primero es asegurarnos cual nomenclatura de interfaz de la miniPC corresponde a qué puerto. Lo manera más sencilla es escribirle WAN o LAN a los puertos (si es que no están ya marcadas de alguna manera). Para averiguar bien conviene conectar el cable Ethernet de nuestro módem al conector que querremos usar como puerto WAN, y luego tipear el siguiente comando de organización:

ifconfig

...y al presionar Enter nos aseguramos cual de las interfaces que nos indique el sistema tiene una dirección IP: ¡y esta será nuestro puerto WAN!. En mi caso la MiniPC cuenta con dos puertos Ethernet, y la que recibe dirección IP figura como interfaz enp4s0. Naturalmente que la otra interfaz (en mi caso enp5s0) será el puerto LAN. Deberán tomar nota de cual es cual en vuestro caso particular pues es muy normal que su propia nomenclatura sea distinta a la de este ejemplo.

Nuestra acción siguiente será configurar las interfaces de red modificando el archivo /etc/network/interfaces, con el comando:

sudo nano /etc/network/interfaces

...se abrirá el editor GNU Nano con un archivo que ya contendrá configuraciones en forma de texto. La sección loopback debería ya estar allí, y es probable que a continuación también aparezca algo correspondiente para nuestras interfaces de red (enp4s0 y enp5s0 en este caso). Hemos de modificar/agregar las secciones para enp4s0 (nuestro puerto de salida a internet WAN) y enp5s0 (nuestro puerto local LAN) como se indica:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# La interfaz loopback de la red
auto lo
iface lo inet loopback

# La interfaz WAN a internet, aparece nomenclada LAN1 en la placa madre.
auto enp4s0
iface enp4s0 inet dhcp

# La interfaz LAN (red local), aparece nomenclada LAN2 en la placa madre.
auto enp5s0
iface enp5s0 inet static
 address 192.168.99.1
 netmask 255.255.255.0

Quienes conocer Linux dominan ya que las líneas que se inician con el carácter numeral ("#") no son procesadas por el sistema y se emplean como comentarios; son líneas que se agregaron como referencia al equipo en particular, y son importantes como anotaciones para futuras referencias. Siempre conviene comentar lo que intentamos hacer en nuestros archivos de configuración. Guardaremos los cambios con Ctrl+o y saldremos del editor Nano con Ctrl+x.

Habilitar el enrutamiento en /etc/sysctl.conf

Para que Linux sea capaz de enrutar paquetes debemos permitir el reenvío de los mismos entre las distintas interfaces del router. Esto será realmente simple. Ingresamos el comando:

sudo nano /etc/sysctl.conf

...y descomentamos (borramos el símbolo numeral "#") la línea que dice  #net.ipv4.ip_forward=1, de modo que quede como se indica a continuación (sin el "#"):
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1

Luego presionamos Ctrl+o, y Ctrl+x a fin de guardar los cambios al fichero de configuración y salir del editor.


Los cambios que hagamos se harán efectivos cuando reiniciemos el router con:

sudo reboot

Crear e iniciar un conjunto de reglas esqueleto

Conforme el sistema sepa que debe ser un router, el siguiente paso será asegurarnos de escoger qué tipo de información reenviará y cuando lo hará. Para ello debemos crear un conjunto de reglas de contrafuego (firewall), y asegurarnos que entren en vigencia antes de que las interfaces de red del router se activen. Primero ingresamos el comando

sudo nano /etc/network/if-pre-up.d/iptables 

...para crear un guión de inicio y le agregamos el siguiente contenido:

#!/bin/sh
/sbin/iptables-restore < /etc/network/iptables

Luego de guardar los cambios y salir del editor con Ctrl+o y Ctrl+x, ingresamos:

sudo chown root /etc/network/if-pre-up.d/iptables ; chmod 755 /etc/network/if-pre-up.d/iptables

Esto le dice al sistema que el guión es propiedad del root (conductor y administrador del sistema) y luego se le informa al sistema que sólo el root puede escribirlo y leerlo, pero que puede ser ejecutado cualquier usuario. Ya que nuestro guión fue creado en el directorio if-pre-up.d, será ejecutado antes que las interfases de red se inicien, asegurándonos que nunca quedaremos online sin reglas de cortafuego que nos protejan.

Archivo /etc/network/iptables

Para iniciar, vamos a crear un esqueleto mínimo de reglas necesarias para que  iptables-restore no sea gorila. Creamos un nuevo conjunto de reglas con el comando

sudo nano /etc/network/iptables
...y lo completamos de la siguiente manera:
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# Reglas de servicio
-A INPUT -j DROP

# Reglas de reenvío
-A FORWARD -j DROP

COMMIT
Tomémonos un momento para comprender el esqueleto de nuestro conjunto de reglas antes de agregarle músculos y órganos. Hemos creado dos secciones, *nat y *filter. Cada sección comienza con una *declaración apropiada y termina con COMMIT ("Consignar, proceder"). Si no hacemos esto bien (o sea, si omitimos algunas de las secciones, escribimos mal su nombre, o no agregamos la orden COMMIT al final) el conjunto de reglas directamente fracasarán. Y ello será gorila.

Por ahora, este esqueleto básico realmente no cumple demasiado, pero constituirá el marco sobre el cual construiremos los mejores años para hacer de nuestro equipo un excelente Router Peronista. Entender esto ahora, antes de echar las carnes, nos facilitará mucho el trabajo que nos demandará en breve.

Activar el NAT

En este punto tenemos una MiniPC que sabe cómo aceptar un paquete en una interfaz, y si está dirigido a una dirección en otra interfaz, reenviarlo allí. Debido a que por el momento no hemos consignado nuestro conjunto de reglas aún, el router peronista no va a discriminar sobre de quién viene, qué es, o a quién va. Solamente rutea. Tampoco realiza una Traducción de Dirección de Red (NAT, Network Address Translation),

Ahora que sabemos cual puerto es cual, hemos de activarlos y comentarlos en nuestro conjunto de reglas iptables. También procederemos a insertar una regla que active la NAT. Para ello ingresamos:

 sudo nano /etc/network/iptables

...y editamos el archivo de modo que quede: 
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# enp4s0 es la interfaz internet WAN, #enp5s0 es la interfaz local LAN
-A POSTROUTING -o enp4s0 -j MASQUERADE

COMMIT
Aquí lo tenemos. Una interfaz es la LAN, la otra es la WAN, y tenemos la Traducción de Dirección de Redes operando entre ambas. Aún no estamos demasiado listos para conectarnos a la Internet, pero falta menos. Probablemente querremos que nuestro Router Peronista otorgue direcciones IP a través de la interfaz LAN, como podría otorgar privilegios a nuestros niños. Para ello aplicamos el conjunto de reglas con NAT activado adecuado, por medio del comando de organización:

sudo /etc/network/pre-up.d/iptables

...esto refrescará el conjunto de reglas iptables con cualquier cosa nueva que hayamos incorporado al archivo /etc/network/iptables.
Este mismo comando  

sudo /etc/network/pre-up.d/iptables 
...es el que habremos de ejecutar toda vez que querremos modificar y aplicar el conjunto de reglas activo.

Configurar DHCP y DNS

Configurar nuestro router para que cumpla con la tarea de DHCP es sencillo. Ingresamos el comando:

sudo apt-get install isc-dhcp-server

...y lo configuramos con el comando:

sudo nano /etc/dhcp/dhcpd.conf

...modificándolo para que quede similar a:
subnet 192.168.99.0 netmask 255.255.255.0 {
 range 192.168.99.100 192.168.99.199;
 option routers 192.168.99.1;
 option domain-name-servers 192.168.99.1;
 option broadcast-address 192.168.99.255;
}
Probablemente ya puedan figurarse el significado. La red local será 192.168.99.x, el router mismo tendrá la IP 192.168.99.1, el router servirá DNS por sí mismo, y la dirección de emisión irá donde siempre debe ir. Para aplicar las configuraciones ingresamos el comando:

sudo /etc/init.d/isc-dhcp-server restart.

Ya estaremos entregando direcciones IP de forma dinámica.
Aun así nos falta proveernos de DNS locales, lo cual nuestro servidor DHCP promete otorgarnos gratuitamente. Hacer esto realidad efectiva es incluso más sencillo:  Ingresamos:

sudo apt-get install bind9.

...y no se requieren configuraciones adicionales

Habilitar a clientes acceso DNS y DHCP

En este punto básicamente tenemos todo configurado, pero nuestro router está completamente paranoiqueado. Esencialmente sabe cómo resolver interrogantes DNS, entregar direcciones IP a eventuales clientes y reenviarles tráfico, pero se niega categóricamente a hacerlo. Para que nuestro sistema proceda a hacerlo habremos de crear algunas reglas claras sobre lo que se permitirá reenviar y lo que se debe permitir aceptar. Para ello ingresamos:

sudo nano  /etc/network/iptables

...y le sumamos un conjunto de reglas de servicio como se indica:
# Reglas de servicio

# reglas de aceptación básicas - ICMP, loopback, traceroute, establecidas como "acepto todo"
-A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT

# permitir que salgan rechazos de traceroute
-A INPUT -p udp -m udp --dport 33434:33523 -j REJECT --reject-with icmp-port-unreachable

# DNS - aceptarlo desde la LAN
-A INPUT -i enp5s0 -p tcp --dport 53 -j ACCEPT
-A INPUT -i enp5s0 -p udp --dport 53 -j ACCEPT

# SSH - aceparlo desde la LAN
-A INPUT -i enp5s0 -p tcp --dport 22 -j ACCEPT

# pedidos de IP desde clientes de DHCP - aceptarlos desde la LAN
-A INPUT -i enp5s0 -p udp --dport 67:68 -j ACCEPT

# descartar (DROP) todo otro tráfico recibido
-A INPUT -j DROP
Con esta configuración aún el router permanece muy paranoico como para dejar que el tráfico salga al exterior (la Internet), pero al menos ahora dejará que los equipos de nuestra LAN obtengan direcciones IP por sí mismos y resuelvan los nombres de host DNS. También permitirá funciones como los pings y traceroutes (en este caso, únicamente desde cualquier interfaz local). Finalmente, una regla especial permite el acceso Secure Shell (SSH) desde la LAN hacia el router, lo cual es útil pues ya no tendremos que conectar físicamente monitor y teclado al router peronista cada vez que querramos hacer un cambio, sino que podremos operarlo a través de SSH en la red local, con el comando:

ssh root@192.168.99.1

Si estáis copiando y pegando a lo puntero político, recuerden simplemente una cosa:  enp5s0 es mi interfaz local LAN, pero podría ser distinta en vuestro caso. Revisen sus notas para saber cuál interfaz es la que les corresponde en particular.

Permitir que el tráfico salga a Internet

Vamos a hacer esto supersencillo. Todas las máquinas tendrán permitido salir a internet y hacer lo que les venga en gana:
# Reglas de reenvío

# reenviar paquetes a lo largo de las conexiones establecidas/relacionadas
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# reenviar desde la el area local LAN (enp5s0) to internet WAN (enp4s0)
-A FORWARD -i enp5s0 -o enp4s0 -j ACCEPT

# descartar (DROP) todo otro tráfico recibido
-A FORWARD -j DROP
En este punto ya tenemos un Router Peronista y creíble. La MiniPC entrega direcciones IP dinámicamente, resuelve pedidos DNS, enruta tráfico desde los puertos LAN e internet y viceversa. Además, nada de lo que venga de internet tiene permitido el acceso a la LAN. Aún así, debemos agregar una característica más antes de considerar al proyecto finalizado.

Reenvío de Puertos desde Internet a la LAN

Honestamente, este es la única parte dificultosa de hacer nuestro router peronista: crear reenvío en base a puertos, o sea, crear "filtros" desde Internet a los clientes conectados en la LAN. Normalmente los routers comunes cuentan con una interfaz web que lo hacen sencillo: escogemos una IP local, escogemos un protocolo y puerto, y lo configuramos "permitir tráfico para el puerto TCP n a la IP local xxx.xxx.xxx.xxx". Al emplear iptables será algo más difícil pues requerimos dos entradas separadas para cada servicio de reenvio. En este ejemplo, vamos a enviar el puerto de TCP número 80 (el servicio HTTP) a través del router) para una IP local. Esto es necesario si queremos evaluar la salida de WAN a la LAN de un router.

En primer lugar, creamos una entrada en la sección *nat:
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# enp4s0 es la interfaz de internet WAN, #enp5s0 es la interfaz local LAN
-A POSTROUTING -o enp4s0 -j MASQUERADE

# filtro NAT: HTTP desde WAN a LAN
-A PREROUTING -p tcp -m tcp -i enp4s0 --dport 80 -j DNAT --to-destination 192.168.99.100:80

COMMIT
Esta línea de pre-enruteamiento le dice al router que un tráfico arbitrario desde la internet (tráfico que aún no está asociado con una conexión de salida desde la LAN) dirigido al puerto 80, debe ser reenviado a la máquina local en la dirección IP 192.168.99.100. Sin embargo, ya que tenemos una regla de descarte por defecto (DROP) en nuestro conjunto de reglas de reenvío, también necesitamos una regla allí que nos permita que este tráfico sea reenviado ahora que sabemos cómo reenviarlo:
# Reglas de reenvío

# reenviar paquetes a lo largo de las conexiones establecidas/relacionadas
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# reenviar desde LAN local enp5s0 a internet WAN (enp4s0)
-A FORWARD -i enp5s0 -o enp4s0 -j ACCEPT

# permite el tráfico desde nuestro filtro NAT
-A FORWARD -p tcp -d 192.168.99.100 --dport 80 -j ACCEPT

# descartar (DROP) todo otro tráfico reenviado
-A FORWARD -j DROP
Si le erramos a esto (si olvidamos la regla PREROUTING o la regla FORWARD, o si ponemos la regla PREROUTING en la seccion *filter de la regla FORWARD, o la regla FORWARD en la sección *nat), nuestro router se pondrá gorila y se negará a cargar el conjunto de reglas o fracasará directamente al reenviar el tráfico hacia donde debe dirigirse a través del filtro. No es excesivamente difícil, pero si es algo estructurado que debemos conocer, por ello es que he recurrido a colores para indicar las interfaces, y a comentarios que explican todo.

El conjunto de reglas finalizado y completo

Ha sido necesario avanzar lentamente sobre cada sección de nuestro conjunto de reglas para asegurarnos de explicar y entender qué estamos haciendo. Aqui pasaré en limpio el conjunto de reglas completo, en una sola pieza y con comentarios para el beneficio de la Masa Popular, que es la más maravillosa música.

Por favor recuerden que sus nombres de interfaz probablemente sean diferentes al mío. ¡No copien a lo Tamborini-Mosca enp4s0 y enp5s0 y se pregunten porque no funcionan!.


*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# enp4s0 es la interfaz internet WAN, #enp5s0 es la interfaz local LAN
-A POSTROUTING -o enp4s0 -j MASQUERADE

# Filtro NAT: HTTP desde internet WAN enp4s0 a la local LAN
-A PREROUTING -p tcp -m tcp -i enp4s0 --dport 80 -j DNAT --to-destination 192.168.99.100:80

COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# Reglas de Servicio

# reglas de aceptación básicas - ICMP, loopback, traceroute, establecidas como "acepto todo"
-A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT

# permitir que salgan rechazos de traceroute
-A INPUT -p udp -m udp --dport 33434:33523 -j REJECT --reject-with icmp-port-unreachable

# DNS - aceptarlos desde la LAN
-A INPUT -i enp5s0 -p tcp --dport 53 -j ACCEPT
-A INPUT -i enp5s0 -p udp --dport 53 -j ACCEPT

# SSH - aceptarlos desde la LAN
-A INPUT -i enp5s0 -p tcp --dport 22 -j ACCEPT

# pedidos de IP desde clientes de DHCP - aceptarlos desde la LAN
-A INPUT -i enp5s0 -p udp --dport 67:68 -j ACCEPT

# descartar (DROP) todo otro tráfico recibido
-A INPUT -j DROP

# Reglas de Reenvío

# reenviar paquetes a lo largo de las conexiones establecidas/relacionadas
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# reenviar desde LAN local enp5s0 a internet WAN (enp4s0)
-A FORWARD -i enp5s0 -o enp4s0 -j ACCEPT

# permite el tráfico desde nuestro filtro NAT
-A FORWARD -p tcp -d 192.168.99.100 --dport 80 -j ACCEPT

# descartar (DROP) todo otro tráfico reenviado
-A FORWARD -j DROP

COMMIT
Una vez que estamos seguros de tener todo el conjunto de reglas y que está adaptado adecuadamente a nuestras interfaces de red y equipamiento, es tiempo de aplicar todo con el comando: 

sudo /etc/network/if-pre-up.d/iptables

Con esto, finalmente tendremos nuestra MiniPC operando como excelente router y además, tendremos dicha máquina para operar como servidor. Con un poco de ingenio podremos montar un servidor Apache para dar servicio a páginas Web, MySQL para dar servicio de bases de datos relacionales, incluso hasta servidores de BBS. ¡Y todo gracias al Justicialismo!

domingo, 5 de febrero de 2017

¿Cómo puedo recortar videos con precisión en Ubuntu?

El imprescindible documento Doctrina Peronista sienta las bases y detalla las concepciones del Movimiento Justicialista, además de conceptualizar cómo instalar Vidcutter en Ubuntu.

¡Descamisados!


Los gobiernos que pretenden solucionar sólo las cuestiones del presente, lo hacen con cortas vistas. Se gobierna para el porvenir, porque la solución de los problemas ha de ser objeto de una racionalidad absoluta, sin la cual no son medidas de verdadero gobierno, sino enmiendas a una solución que ya ha pasado. No somos de los que opinamos que el arte de gobernar los pueblos sea arte de intrigas y habilidades en que toda formación doctrinal es innecesaria y que en la improvisación pueda suplir la falta de preparación y de estudio. Reflexivamente hemos llegado a establecer las normas generales del ordenamiento económico-social y estamos dispuestos a cumplirlas y hacerlas cumplir; no para regatear las mejoras sociales, sino para que estas sean sólidas,
robustas y perdurables.

Es necesario, asimismo, comprender que el Estado es una máquina que funciona dentro de la Nación, pero lo definitivo y lo que obedece a la tradición histórica es la Nación y no el Estado.

Nuestra Revolución tiene un fundamento significativamente social, vale decir: ha dado el centro de gravedad de su actividad al fenómeno social, y no al económico y al político, que los ha considerado, como elemento coadyuvantes al social. Porque en la conciencia de la Revolución íbamos práctica y positivamente observando que el mundo, fue en su fenomenología actual, se desplaza de lo económico y político hacia lo social.

El gobierno de un pueblo es un problema social. Aquel se tecnifica y la política se racionaliza a medida que la vida colectiva adquiere mayor complejidad. Esto mismo, sin diferencias, se traslada al mundo del software.

El software libre no responde exclusivamente a un factor económico, ni a un factor político, pero responde fundamentalmente al factor social. De la misma manera, consideraciones político-económicas oxigenan su ser, pero sin duda el verdadero alimento lo adquiere a través de su raíz social.

El software libre está diseñado en principio para compartirse, entendiendo este acto como de fundamental vertiente social. Compartir el software sin ataduras significa que el mismo puede utilizarse - además de sus funciones normales - como un sagrado Maná del Cielo, para instruir y para comulgar una sociedad entera en el ámbito del software.

Por ello la creación del software libre debe estar en manos de todos, y en especial de aquellos quienes hayan probado innegable vocación y capacidad para el estudio y solución de las cuestiones sociales, y de quienes representan intereses legítimos y aspiraciones justas. Quienes sientan la programación como una urgencia vocacional y no como una actividad lucrativa, deben desempeñarse en la creación de software libre porque así cumplirán su actividad como función pública y social.


Sólo de esa manera conseguiremos aplicaciones potentes y robustas, que sirvan a todos por igual y se fundamenten apreciables para el bienestar de nuestros Hermanos de Nación.

Veamos un ejemplo. Indudablemente la función de dirección o compaginación audiovisual era una tarea que en sus orígenes históricos estaba reservada al Oligarca. Era difícil por condicionantes de los costos de la técnica, que la Masa pudiese generar dicho tipo de material con facilidad.

Hoy, la técnica y el software libre creado bajo la estrella social nos permiten editar contenidos audiovisuales con gran efectismo y capacidad. Editores como OpenShot, Lightworks, Cinelerra, Flowblade,son prueba palpable de que el Justicialismo da a los Trabajadores las mejores herramientas y sin que cuesten una chirola.

Sin embargo, existen situaciones donde sólo queremos recortar de un video ya terminado, alguna sección en particular. O que contemos con un archivo "en crudo" y deseemos trozarlo en partes individuales (por ejemplo, una grabación de video hecha con un celular).

Para estos casos, podremos utilizar un software pequeño y especializado, el Vidcutter.

En el caso de nuestro sistema operativo Ubuntu, la instalación es bien sencilla operando desde la Terminal. Abirmos una con Ctrl+Alt+T e ingresamos los siguientes Comandos de Organización:

sudo add-apt-repository ppa:ozmartian/apps 
sudo apt-get update
sudo apt-get install vidcutter

Si contamos con Debian 8 o similares de 64 bits podremos decargar dependencias y el paquete binario ejecutable:

sudo apt-get install gstreamer0.10-plugins-good gstreamer0.10-plugins-ugly ;

wget https://github.com/ozmartian/vidcutter/releases/download/2.6.5/VidCutter-2.6.5-linux-x64.AppImage ;
chmod +x VidCutter-2.6.5-linux-x64.AppImage


También podremos instalarlo descargando un paquete.

Una vez instalado el programa, podremos ejecutarlo desde Aplicaciones / Videos y Sonido / Vidcutter.

Presionando el botón Open Media podremos cargar un clip de de video de cualquier formato al programa.

Una vez cargado, podremos reproducir el video haciendo clic en Play/Pause Video, y controlar el volumen del sonido con el deslizador correspondiente. Podremos desplazarnos fácilmente a lo largo de la duración del video completo través del slider inferior. Usando las teclas AvPg o RePg podremos hacerlo con una resolución de 10 fotogramas (cuadros). Usando las flechas del teclado o la rueda de scroll del ratón, podremos avanzar o retroceder en la barra de video con una resolución de un cuadro. Esto nos permite la mayor precisión, pues dependiendo del formato de video, significa una precisión al corte de 1/24, 1/25, 1,2997, 1/30, 1/60 de segundo o incluso menos.

Una vez que estamos en el punto deseado para iniciar el corte, podremos presionar la Barra Espaciadora y el botón Clip Start. Luego nos deplazamos al final del área de corte que deseamos y presionamos Barra Espaciadora nuevamente o podremos hacer clic en el botón Clip End. Una vez hecho esto, el clip se sumará a la lista de clips realizados.

Una vez que tenemos todos los videos, podríamos querer realizar un clip aparte para compilar los mismos. Para ello hacemos clic en el botón Save Video, y nos quedaremos con un archivo MP4 o similar con el o los cortes individualizados.


sábado, 4 de febrero de 2017

¿Cómo puedo usar el navegador Tor para navegar anónimamente?

¡Trabajadores!

En ocasiones como las que hemos de enfrentar, no hemos dar nada por seguro, ni asegurado. Sólo la constante lucha de nuestro Movimiento puede hacer de la Justicia Social que anhelamos, una contrastable Realidad Efectiva.

El bienestar de los trabajadores es el objetivo del Justicialismo, pero jamás lo será de la casta repudiada que cohabita en nuestra Nación, pretendiéndose adueñar del fruto del trabajo de los hombres en beneficio de unos pocos. Es por ello que la lucha es necesaria - y diremos - ineludible para la grandeza de la Patria y riqueza de la Nación.

Nuestra convicción es la de otorgarle al hombre lo Justo, porque es justo que todos los trabajadores logren en su vida lo equivalente por lo que han trabajado. Hemos hecho realidad desde el Estado los Derechos del Niño, nuestros únicos privilegiados, los Derechos de la Ancianidad, pero sobre todo, los Derechos del Trabajador. Y lo hemos hecho realidad a través de la lucha que ¡ay! en ocasiones ha sido cruenta.

Se avecinan tiempos difíciles. Hemos de conservar dichos derechos y sostener una enconada lucha en la cual nuestros principios han de mantenerse incólumnes y para ello hemos de atresar profundamente nuestras organizaciones. Un enemigo acorralado e incapaz de contar para sí la masa, comenzará a repelerla. Y operará de manera inconfesable para engañar y someter a los trabajadores bajo un horizonte de ignominia. Ello lo llevará sin duda alguna a recurrir a métodos que por nuevos no dejan de tener una base grave y deleznable para los justos hijos de la Patria. A dichos golpes hemos de responderles con otros de caracter justiciero, y de un espectro mucho mayor.

Para ello nos hemos organizado. Para ello nos hemos formado y para ello nos hemos consolidado en la lucha. El objetivo es castigar al enemigo allí donde no lo espera, de una manera contundente pero por sobre todas las cosas, sin presentar objetivo, operando en el sano anonimato que nos permiten las sombras de las redes telemáticas bien empleadas.

Indudablemente que un problema básico para dicho anonimato y privacidad radica en lo obvio: que el enemigo intercepte el tráfico telemático. Una manera muy simple de análisis de tráfico puede realizarse en cualquier lugar intermedio, e incluso en estos casos simples, poner en peligro a nuestra Masa de Acción y sus organizaciones.

Mis descamisados me han preguntado ¿cómo funciona el análisis de tráfico? Pues bien, os lo explicaré. Los paquetes de datos fundamentales de internet  constan por designio del protocolo TCP/IP de dos partes: una carga útil y un encabezado empleado para su enrutamiento. La carga útil puede convertirse en cualquier dato digital traficado, ya sea un mensaje de correo electrónico, contenido de una página web, un archivo de audio, parte de un stream audiovisual, etc. Incluso si encriptamos la carga útil en sus comunicaciones, un análisis superficial de datos puede aún revelar gran parte de nuestras supuestas actividades y accionares. Esto es así porque tal procedimiento hace foco sobre  el encabezado del paquete telemático (que contiene el remitente, el destino, el tamaño, datos de horarios, etc). Intermediarios autorizados, como los proveedores de internet, y a veces intermediarios no autorizados (como dichos mismos proveedores cuando están en manos oligárquicas coaligadas) pueden reconocer rápidamente patrones de tráfico, desde donde y hacia donde se originan, y trazar conclusiones relativamente directas sobre su contenido, las tácticas empleadas, etc.

Pero también existen análisis de tráfico profundos, mucho más negativos y peligrosos: un actor dedicado puede espiar múltiples partes de la red y emplear cruzados estadísticos sofisticados para rastrear patrones de comunicación de individuos u organizaciones específicas, para lograr peinar los datos con mucha más fiabilidad.

Para evitar dichos avances, los hombres que luchan han de conocerlos y poderles hacer frente. Nuestro Movimiento, anclado en una vertiente de Justicia Social en el software, ha desarrollado una red oscura, tan oscura como la piel del más negro de nuestros grasitas. Se trata del proyecto Tor.
Tor

Tor, a través de sus servidores, ayuda a reducir los riesgos telemáticos inherentes a través de la distribución de las transacciones telemáticas a lo largo de múltiples lugares en la Internet, de manera que en ningún punto pueda se pueda dirigir hacia su destino u origen específico, de la misma manera que una liebre alguien podría seguir una ruta rebuscada para perder al mastín, y luego periódicamente borrase sus huellas. En lugar de que la paquetería TCP/IP siga una ruta relativamente directa en pos de la velocidad, en la red Tor dicha paquetería pasará a través de varios caminos secundarios que cubren sus pasos, de manera tal que ningún observador pueda hacer rastreos de origen o destino. Esto se realiza en beneficio de un uso anónimo y neutral de la red.

Navegador Tor
 
Podremos navegar anónimamente a través de un navegador portátil, que incluso podremos tenerlo descomprimido en un Pendrive. Dicho navegador es similar a Firefox, pero no deja rastros permanentes de ninguna índole en ningún lado y emplea la red Tor para tercerizar las conexiones de manera anónima y segura.

Para usarlo simplemente descargamos la versión que esté acuerdo a nuestra arquitectura, la descomprimimos y la ejecutamos:

  • Si usamos 64 bitios empleamos los siguientes comandos de organización:
wget https://www.torproject.org/dist/torbrowser/6.0.8/tor-browser-linux64-6.0.8_es-ES.tar.xz

tar -xvJf tor-browser-linux64-6.0.8_es-ES.tar.xz

mv tor-browser_es-ES/ .tor-browser/

  • Si usamos 32 bitios, empleamos:
wget https://dist.torproject.org/torbrowser/6.0.8/tor-browser-linux32-6.0.8_es-ES.tar.xz

tar -xvJf tor-browser-linux32-6.0.8_es-ES.tar.xz

mv tor-browser_es-ES/ .tor-browser/ 

Si quisiéramos ejecutarlo podríamos hacerlo desde la terminal con:

cd .tor-browser/ ;
./start-tor-browser.desktop ;

También podríamos querer crear un Lanzador permanente. Si usamos Mate debemos para ello hacer clic con el botón derecho del ratón en el menú Aplicaciones del Panel superior, y escoger la función Editar Menú. A continuación se abrirá la ventana Menú Principal. En ella en el costado izquierdo tendremos los menús, de los cuales elegimos "Internet". Luego presionamos el botón "+Elemento Nuevo". Se abrirá el cuadro de diálogo Propiedades del Lanzador, y en su campo Comando debemos ingresarle la línea con la dirección del ejecutable de Tor, que será /home/usuario/.tor-browser/Browser/start-tor-browser (naturalmente, reemplazamos usuario por nuestro nombre de usuario). Podremos agregarle una descripción en el campo Comentario y como Nombre podremos agregarle "Navegador Seguro Tor".

Al iniciar por primera vez el navegador seguro, habremos de configurar la conexión.

Normalmente en la mayoría de los países esto es muy sencillo: usaremos la opción de conexión directa presionando el botón Conectar. En caso de que estuviésemos en un país que no brinda acceso completo a internet, o estemos en un lugar donde nuestra propia conexión se encuentre obfuscada, o estuviesemos navegando a través de un intermediario proxy, deberemos indicarlo en este momento y configurarlo. Una vez hecho ello, se establecerán las conexiones a la red Tor, lo cual dura unos pocos segundos (o minutos si nuestra conexión es extremadamente lenta).
Conforme estemos inicializados, podremos ahora navegar con anonimato y redistribución telemática, sin demasiados incordios mas que los naturales.

El navegador es similar a cualquier otro navegador como Firefox o Chromiun, pero está blindado para proteger al usuario empleando proxies Tor. Asimismo, omite reportar ciertos metadatos normales que podrían asistir a determinar identidades específicas a través de la web.


Naturalmente que esta herramienta es adecuada para poder navegar incluso desde equipos públicos, lo cual lo convierte en una buena solución.


Sin embargo, para instalaciones hogareñas especialmente blindadas contra la intrusión y el espionaje, recomiendo armar una útil y barata Caja Tor, que no es otra cosa que un minirouter especialmente preparado para hacer que todo nuestro tráfico telemático se redirija a la red Tor, a fin de blindar no sólo nuestra navegación, sino otro tipo de comunicación informatizada.