Hoy vengo a contaros como ha sido una instalación real, sin teoría, tal cual ha sido. Un cliente ha traido dos mikrotiks para dar acceso ahí a su direccionamiento público y en el audio de hoy os cuento como lo he hecho.

No ha sido complicado, porque no lo es, pero como todo en la vida tiene sus cosas, espero que os guste y hoy en vídeo y en audio.

Hoy hablamos de transitos y peering, vamos a ver las diferencias, configuración genérica.

¿Cual es la diferencia entre peering y tránsito?¿Es compatible el peering con el tránsito?,¿el peering es gratis?, ¿qué es una política de peering?

Además de contestar estas preguntas hablo de puntos neutros, de Espanix , de DeCix o Catnix contando cómo funciona el peering privado o el route server.

Un paseo por el tránsito y el peering para que al acabar el audio nos quede un poco más claro que es cada una de las dos cosas y sepamos lo que hay que saber para tener cualquiera de estas dos opciones funcionando correctamente.

En fin, el capítulo de hoy es muy completo, espero que os guste y que lo disfrutéis.

Las causas por las que se puede caer en listas de spam son:

* Envío de spam

* Ratelimit

* spamtrap

* Web infectada

* Phising

Herramientas

MXToolbox will provide a quick and dirty RBL search: http://mxtoolbox.com/blacklists.aspx

MultiRBL does a more comprehensive check that takes longer: http://multirbl.valli.org/lookup/

Listas

* Barracuda Reputation Block List (BRBL) – http://www.barracudacentral.org/rbl/

Listado – Funcinona por puntos, comprueba si es parte de botnet

Deslistado – http://www.barracudacentral.org/rbl/removal-request

* Mailspike – http://mailspike.org/iplookup.html

Listado –

Deslistado – http://mailspike.org/iplookup.html

* Sorbs – http://www.sorbs.net/

Muy interesante, diferencian entre infecciones por botnet o por phishing

Deslistado – Hay que tener cuenta y se hace desde la IP infectada, si no tienes acceso a ese servidor hay que configurar un tunel para salir por ahí o un proxy para el navegador.

* Spamhaus – https://www.spamhaus.org

Se puede caer por enviar spam o por tener la web infectada, phising o demás

DBL – Domain Block List

SBL – Spamhaus Block List

XBL Exploits Block List

Deslistado – Genera un email que tienes que enviar

* UCEPROTECT

No pongo ni el elink te piden dinero para deslistar, creo recordar que 90 euros

* Senderbase – https://beta.senderbase.org/

Comprueba variaciones en el envío de correo

No se puede deslistar

* CBL – https://www.abuseat.org/

Se puede caer por cualquier cosa

Deslistado: Se hace desde la web

Otras listas

* Tecnocrática

* Microsoft tiene el snds

* Google

* Yahoo

Ebtables es el la herramienta de administración de la tabla de bridge de Ethernet y nos permite realizar filtrados en nivel 2.

Ebtables es el complemento perfecto para iptables y nos permite por ejemplo realizar un filtrado antispoofing, es decir, hacer que una dirección IP sólo pueda tener una MAC, de esta forma evitamos que alguien pueda llegar a cambiarse la dirección IP de su servidor o máquina, muy útil.

Esto lo haríamos así:

ebtables -A FORWARD -p IPv4 –ip-src 172.16.1.4 -s ! 00:11:22:33:44:55 -j DROP

De todos modos tenéis toda la información en http://ebtables.netfilter.org/

Hoy os hablo de policy routing en Mikrotik. El policy routing de hoy vamos a verlo con el ejemplo de un colegio.

En el ejemplo del colegio la red de alumnos saldrá por una fibra y la red de profesores saldrá por otra fibra diferente. Para conseguir esto tendremsos que usar un mangle para marcar los paquetes y una ruta utilizando la etiqueta del mangle para cambiar el gateway.

/ip firewall mangle

add action=mark-routing chain=prerouting comment=”Marcado para la red de profesores” \

in-interface=ether1 new-routing-mark=\

Red_de_profesores src-address=192.168.14.0/24

/ip route

add comment=”Ruta de salida para la red de profesores” \

distance=1 gateway=200.200.200.1 routing-mark=Red_de_profesores

Fotografía de Adrian Almenar

OpenDNS es una empresa que adquirió Cisco Systems y que nos da un servicio de DNS gratuito para particulares. A mi Cisco me da confianza con lo cual en este caso concreto se puede usar el servicio, además cobran por esto no por vender dominios como el otro día.

OpenDNS te permite filtrar la resolución de nombres de dominio en base a perfiles y categorías, haciendo de firewall pues no permite la resolución de DNS a según qué webs.

El servicio se configura desde la web https://opendns.com donde nos ofrecen un panel de control para filtrar. Ahora, para que funcione necesitaremos tener la IP actualizada en la plataforma, si tenemos IP fija no hay problema, pero si cambia tendremos que tener un actualizador que nos lo proporciona también opendns. Incluso si quisieramos un actualizador de IPs por ejemplo para Mikrorik, basta con buscar un poco en vuestro navegador favorito para encontrar el script.

En el capítulo de hoy os cuento como analizar tráfico a tiempo real en Mikrotik, utilizando la función Torch.

Esta función nos permite analizar el tráfico a tiempo real y nos mostrará entre otras cosas la cantidad de tráfico que hay, quien es el que genera el tráfico, a donde va, tipo de tráfico, etc…

Torch es una utilidad altamente interesante que os recomiendo conocer en mikrotik.

Aprovechando que hoy es festivo en España os subo un pequeño audio que grabé con Iván Patxi de Va por nosotras Podcast, un podcast con temática femenina que está muy bien hecho y aunque no parezca tener una gran relación con este podcast Iván y yo nos llevamos muy bien y me apetecía grabar este audio con él.

En el capítulo de hoy comentamos los siguientes servicios:

* Ivoox

* Spreaker

* Podomatic

* Podbeam

* Podcasts.com

* Libsyn

* Whooshkaa

* Blubrry

* Y por supuesto mi opción favorita que es autoalojado con WordPress y Podpress, en mi caso, autoalojado en Neodigit.

 

Ayer en el capítulo 74 estuvimos hablando de la posibilidad de tener varios interfaces y obviamente cada interfaz tendrá su gateway, su puerto en el router y quedó pendiente el explicar cómo hacer eso, pues bien, hoy vamos a ello.

De este tema no obstante ya hablamos en un post de este mismo blog, en PBR (Policy Based Routing) en Linux.

Esto lo conseguiremos con las routing tables y marcando el tráfico, es decir con policy routing.

En el capítulo de hoy montamos este entorno para que veáis como va, y aquí os dejo las notas:

Fichero /etc/iproute2/rt_tables

#

# reserved values

#

255 local

254 main

253 default

0 unspec

#

# local

#

#1 inr.ruhep

1 ETH0

2 ETH1

Y el fichero /etc/network/interfaces

iface eth0 inet static

address 192.168.1.4

netmask 255.255.255.0

gateway 192.168.1.1

post-up ip route add default via 1192.168.1.1 dev eth0 table ETH0

post-up ip rule add from 192.168.1.0/24 table ETH0

iface eth1 inet static

address 172.16.1.0

netmask 255.255.255.0

post-up ip route add default via 172.16.1.1 dev eth1 table ETH1

post-up ip rule add from 172.16.1.0/24 table ETH1

Aquí es importante darse cuenta que el gateway por defecto para todo el tráfico no etiquetado, es decir, el generador por el propio servidor va por el eth0

Routing Tables: http://linux-ip.net/html/routing-tables.html

 

Poner en el mismo interfaz dos direccionamientos de redes distintas no es buena idea y nos va a dar problemas en algún momento, tanto si sólo llevamos el servidor como si llevamos la red completa.

Es muy importante tener correctamente segmentada la red y que cada dominio de colisión corresponda con un dominio de difusión, es decir, cada red de broadcast con su vlan correspondiente y no juntar nunca varias redes en la misma vlan.

El separar gateways, vlans o dividir en un interfaz el direccionamiento será un problema a posteirori.

También tenemos que tener en cuenta que el tráfico que llegue por un interfaz tenemos que devolverlo por el mismo interfaz por el que ha sido recibido.