Linux on Apuntes de root

My double proxy solution to LaLiga blocks

jorti@pm.me (Juan Orti Alcaine) — Fri, 13 Mar 2026 00:00:00 +0000

If you are not aware, LaLiga (Spain’s football league) is blocking thousands of IPs in Spain every time there’s a football match on the TV to try to fight against the pirated football on the Internet. Of course it’s not working as the pirate sites continue being accessible without a hinch, but thousands of legitimate webs stop working. You can get more information about the affected IPs in the fantastic page ¿Hay ahora fútbol?.

I recently discovered that some strange errors I was seeing in some of my home lab services were caused by these blocked IPs. The affected IPs are hickjacked and the HTTP connections redirected to LaLiga’s web server. HTTPS connections will fail with a certificate error like this:

[Error] X509CertificateValidationService: Certificate validation for api.radarr.video failed. RemoteCertificateNameMismatch, RemoteCertificateChainErrors

To avoid these problems I have created this solution with two proxies and a VPN.

Bulwark: block attacking IPs at the router level

jorti@pm.me (Juan Orti Alcaine) — Fri, 06 Mar 2026 09:14:09 +0100

Inspired on Crowdsec firewall bouncer, and also with the intention of learning some Rust, I’ve created Bulwark, a small program to run in a OpenWrt router (or any Linux machine) to ban IPs of attacks detected by my servers.

From Fail2ban to Reaction

jorti@pm.me (Juan Orti Alcaine) — Tue, 03 Mar 2026 16:35:37 +0100

Fail2ban has been an important security tool I’ve been using in my servers for many years. However sometimes is difficult to configure, lacks certain features and can consume too many resources.

Recently I’ve switched to Reaction, a new tool with the same philosophy: monitor logs and execute some actions based on log matches. Reaction is written in Rust, so it’s fast and resource efficient.

Vykar backup tool

jorti@pm.me (Juan Orti Alcaine) — Tue, 03 Mar 2026 10:28:33 +0100

I’ve been using Borg backup for many years for my backups and I’m pretty happy with it, but today a new alternative has been published: Vykar backup.

The tool is still new and not ready for production, however the benchmarks they published look very promising. Also, it supports object storage backends, which is something that Borg has been promising for years, but it’s still in the roadmap.

I will definitely keep track of its progress as it might be a good alternative in the future.

IP sets in OpenWrt 22.03

jorti@pm.me (Juan Orti Alcaine) — Mon, 26 Sep 2022 00:00:00 +0000

OpenWrt has recently released version 22.03, and one of the biggest changes is the switch to nftables.

I’ve noticed though that nftables doesn’t use ipsets as I was used to, but it has a new concept of sets inside the nftables ruleset.

I wanted to create a firewall rule to filter a list of IPs from an URL, however the integration was not as straightforward as with iptables, so I’ve ended creating this solution.

SNI-based load balancing with HAProxy

jorti@pm.me (Juan Orti Alcaine) — Sun, 06 Sep 2020 00:00:00 +0000

In a bare-metal Openshift installation you need to use an external load balancer to access the API and other services. In my hone lab I also have a webserver accesible from the Internet. I also don’t want to terminate the TLS connections in the load balancer to keep using the existing certificates in my webserver and Openshift cluster.

With these requirements in mind, I chose HAProxy to be my frontend load balancer, so all the HTTPS connections to my public IP will be diverted to the appropriate server examining the SNI field in the TLS connection.

PXE server in Fedora with dnsmasq

jorti@pm.me (Juan Orti Alcaine) — Fri, 04 Sep 2020 00:00:00 +0000

I’m currently doing many tests with the Openshift bare-metal installation, and as I’m creating and destroying the VMs again and again, having a PXE server to provide the installation images and configuration to the VMs is very handy and saves a lot of time.

This is an example of my PXE configuration mounted on a Fedora box that acts as router.

Installing and configuring Folding@Home in Fedora

jorti@pm.me (Juan Orti Alcaine) — Tue, 17 Mar 2020 00:00:00 +0000

I’ve recently joined the computational effort of Folding@Home for disease research, I want to share some of the modifications I’ve done to run it in Fedora more comfortably.

Capture Raspberry Pi kernel crashes

jorti@pm.me (Juan Orti Alcaine) — Thu, 17 Jan 2019 00:00:00 +0000

I’m experiencing kernel panics in a headless Raspberry Pi with Fedora 29 Server and need a way to capture what is happening.

First I tried to enable kdump, but this doesn’t seem possible. If someone has done it, I’d like to hear.

What I’m using now, is enabling netconsole to log all the kernel messages over the network to a rsyslog server. This is the config in the Pi:

/etc/modules-load.d/netconsole.conf:

Run a OpenStack all-in-one in Google Cloud

jorti@pm.me (Juan Orti Alcaine) — Tue, 20 Mar 2018 00:00:00 +0000

With this recipe I have installed a VM in Google Compute Engine with an all-in-one OpenStack setup for testing purposes.

Set window title in tmux or screen to the hostname you are connecting by ssh

jorti@pm.me (Juan Orti Alcaine) — Tue, 13 Jun 2017 00:00:00 +0000

To set the window title in tmux or screen to the hostname you are connecting by ssh, add this to your ~/.bashrc:

settitle() {
    printf "\033k$1\033\\"
}

ssh() {
    local sshargs=("$@")
    local do_settitle=1
    tty -s || local do_settitle=0
    if [ "${TERM:0:6}" != "screen" ]; then
        local do_settitle=0
    fi
    if [ $do_settitle -eq 1 ]; then
        if [ "$1" == "-l" ]; then
            shift 2
        fi
       settitle "$*"
    fi
    command ssh "${sshargs[@]}"
    if [ $do_settitle -eq 1 ]; then
        settitle "bash"
    fi
}

Configure an instance of old versions of Java and Firefox

jorti@pm.me (Juan Orti Alcaine) — Fri, 24 Mar 2017 00:00:00 +0000

Everyday is harder to manage old hardware or access outdated intranet websites because the browser security is tighter with every release. Many appliances use unsigned Java applets or insecure ciphers and protocols.

My first solution to this problem was to have a Windows VM in my laptop with old versions of everything: Firefox, Java, Flash… but running the VM in my underpowered laptop was too slow and made the system sluggish.

Here I describe how to run an old Firefox instance with an old Java.

Internet connection sharing with NetworkManager

jorti@pm.me (Juan Orti Alcaine) — Tue, 22 Nov 2016 00:00:00 +0000

With this recipe we will create a wireless access point in our laptop to share our wired Internet connection. This is quite useful where you only have a wired Internet connection (e.g. my work place) for giving access to your phone.

This is done in Fedora 25 Workstation with NetworkManager.

Monitor Salicru SPS SOHO+ UPS with NUT

jorti@pm.me (Juan Orti Alcaine) — Mon, 14 Nov 2016 00:00:00 +0000

I’ve successfully monitored a Salicru SPS SOHO+ UPS with NUT following these steps.

In this example I have two Fedora servers, a master where the UPS is connected by USB and a client which is also powered by this UPS but monitors its status by network. With the default configuration the clients will be powered down in an outage when the battery reaches critical levels.

Sandbox Steam running it under a different account

jorti@pm.me (Juan Orti Alcaine) — Thu, 14 Jul 2016 00:00:00 +0000

To improve my system’s security, I’ve configured Steam to be run as a different Linux account. This guide is inspired in this thread.

Hacer funcionar el DNIe (Spanish electronic ID card) en Fedora 23

jorti@pm.me (Juan Orti Alcaine) — Wed, 16 Dec 2015 00:00:00 +0000

Hoy me ha llegado el aviso de que me iba a caducar el certificado de la FNMT, y en el proceso de renovación me obligaban a autenticarme con el DNIe, por lo que he tenido que repasar todo este tema.

La última vez que lo usé, tuve que compilar a mano los módulos de OpenDNIe y hacer unos cuantos malabares. Por fortuna, parece que la integración del proyecto con opensc ha dado sus frutos y no he tenido que usar ningún tipo de magia negra esta vez.

Enable wake-on-lan with NetworkManager

jorti@pm.me (Juan Orti Alcaine) — Wed, 02 Dec 2015 00:00:00 +0000

This little tip enables wake-on-lan on our network interfaces so the computer can be awaken with a magic packet from other host in the same network.

DLNA server don't working on Linux bridge

jorti@pm.me (Juan Orti Alcaine) — Fri, 14 Aug 2015 00:00:00 +0000

I was experiencing recurring problems of my DLNA server disappearing from the network. The cause of it was that my network card is configured in a bridge, and the multicast snooping feature wasn’t playing well with DLNA.

To disable the multicast snooping, I’ve created the file /etc/rc.d/rc.local:

#!/bin/bash
echo 0 > /sys/devices/virtual/net/br0/bridge/multicast_snooping

Don’t forget to make it executable. Systemd will run it in every boot.

Tips for running Fedora in a Raspberry Pi 2

jorti@pm.me (Juan Orti Alcaine) — Wed, 29 Jul 2015 00:00:00 +0000

This is a list of tips I’m using while running Fedora in my Raspberry Pi 2.

OpenDNSSEC

jorti@pm.me (Juan Orti Alcaine) — Tue, 28 Jul 2015 00:00:00 +0000

A quick guide about how to migrate a signed zone from dnssec-tools to OpenDNSSEC.

How to run gitweb and git-http-backend with Nginx in Fedora

jorti@pm.me (Juan Orti Alcaine) — Mon, 01 Jun 2015 00:00:00 +0000

I’ve configured my own web frontend for git using gitweb and git-http-backend.

I wanted to use Nginx as the webserver, but unfortunately there was a piece of software missing: fcgiwrap. It’s packaging is a work in progress, so I have packaged it myself and now it is available in this copr, so you can download it from there.

Set the wifi regulatory domain

jorti@pm.me (Juan Orti Alcaine) — Fri, 22 May 2015 00:00:00 +0000

You can configure your country’s regulatory domain, creating the file /etc/modprobe.d/cfg80211.conf with this content:

options cfg80211 ieee80211_regdom=ES

Don’t forget to change ES with your country code.

Mount a partition of a full disk image

jorti@pm.me (Juan Orti Alcaine) — Wed, 20 May 2015 00:00:00 +0000

The Raspberry Pi images are whole disk images, and they contain generally two partitions inside. To mount one of those partitions you can use this method.

Booting Linux from HTTP

jorti@pm.me (Juan Orti Alcaine) — Thu, 15 Jan 2015 00:00:00 +0000

I’ve learned how to boot a host and load the Fedora installer directly from HTTP. This has enabled me to install Fedora in a VPS which didn’t have the Fedora ISOs available and I cannot upload any other. All of this thanks to the virtual ethernet card and its gPXE firmware.

Modoboa for Fedora

jorti@pm.me (Juan Orti Alcaine) — Wed, 03 Dec 2014 00:00:00 +0000

I’ve recently discovered modoboa, a mail hosting and management platform which looks very promising. It uses Django and can be a frontend of postfix, amavisd-new, radicale, etc.

I’ve submitted some RPM packages based on the previous work of Didier, and will begin to do some tests in a couple of days to see how everything plays together.

Any help/suggestion is welcomed.

Decode base64 attachment

jorti@pm.me (Juan Orti Alcaine) — Tue, 25 Nov 2014 00:00:00 +0000

To extract an attachment from a raw email message, clean the file to leave only the base64 attachment and do: base64 -di encoded_file > decoded_file

IPsec and PMTU problems

jorti@pm.me (Juan Orti Alcaine) — Wed, 19 Nov 2014 00:00:00 +0000

This post has a very good explanation of the problems I’ve been suffering with my IPsec tunnels recently:

MTU woes in IPsec tunnels and how you can fix it

Two things have fixed my stalled transmissions over IPsec tunnels:

Clamping the MSS of the IPsec connections to 1280
Setting the sysctl net.ipv4.tcp_mtu_probing=1

As seen in this post, the values of net.ipv4.tcp_mtu_probing are:

Configure a single ssh-agent and gpg-agent and use them everywhere

jorti@pm.me (Juan Orti Alcaine) — Tue, 28 Oct 2014 00:00:00 +0000

Using this recipe you’ll get a single ssh-agent and a single gpg-agent running for your user and the correct environmental variables will be set everywhere. Just add this code to your ~/.bashrc: [code lang=“bash”]# GPG Agent if [ -x $(which gpg-agent) ] && [ -d “${HOME}/.gnupg” ]; then oldumask=$(umask) umask 0077 pgrep -U $LOGNAME gpg-agent >/dev/null 2>&1 || gpg-agent –daemon –write-env-file “${HOME}/.gnupg/gpg-agent-info” >/dev/null 2>&1 umask $oldumask GPG_TTY=$(tty) export GPG_TTY if [ -r “${HOME}/.gnupg/gpg-agent-info” ]; then . “${HOME}/.gnupg/gpg-agent-info” export GPG_AGENT_INFO fi fi

Btrfs filesystem corruption in kernel 3.17.0

jorti@pm.me (Juan Orti Alcaine) — Wed, 15 Oct 2014 00:00:00 +0000

Please, be careful with this new kernel, I have suffered from multiple fs corruptions. Give a look to:

http://www.mail-archive.com/linux-btrfs@vger.kernel.org/msg38092.html http://www.mail-archive.com/linux-btrfs@vger.kernel.org/msg38039.html

It seems that the bug is already identified, so a fix will land soon. Great news!

Restore EFI boot entry

jorti@pm.me (Juan Orti Alcaine) — Wed, 10 Sep 2014 00:00:00 +0000

After clearing the CMOS in a computer, the EFI boot entry of my Fedora installation disappeared. To restore it, I booted a Live CD and registered it again:

# efibootmgr -c -w -d /dev/sda -l 'EFIfedorashim.efi' -L "Fedora"

Static DHCPv6 leases in OpenWrt

jorti@pm.me (Juan Orti Alcaine) — Sun, 07 Sep 2014 00:00:00 +0000

I’ve updated my router’s fimware to latest version of OpenWrt, and there are great improvements everywhere. The one I like more is the overhaul of the IPv6 configuration, with the new daemon odhcpd and the automatic prefix delegation. You can consult the details in the wiki.

However, I’ve found one caveat trying to configure a client to have a static DHCPv6 lease. After asking in the forums, I found the solution: First, the client has to obtain an IP by DHCPv6, that way the DUID of the client is registered in /var/hosts/odhcpd. Then, the DUID has to be added to /etc/config/dhcp.

Clustered HAproxy for load balancing web sites

jorti@pm.me (Juan Orti Alcaine) — Tue, 26 Aug 2014 00:00:00 +0000

In this setup I configure 2 clustered HAproxies in CentOS 7 to be the frontend of a web application.

Export Exchange recipients to Postfix server

jorti@pm.me (Juan Orti Alcaine) — Sun, 30 Mar 2014 00:00:00 +0000

When you have an Exchange server in your organization and you also use a Postfix server as gateway, you need the list of all valid recipients of your organization at your gateway. In this way, you can reject invalid emails at the gateway, and what’s more important, when the sender address is forged, you don’t spam innocent people with undeliverable emails.

I use this script in Exchange 2003 to generate all addresses.

fail2ban 0.9

jorti@pm.me (Juan Orti Alcaine) — Tue, 25 Mar 2014 00:00:00 +0000

With the recent release of fail2ban 0.9 there are very important improvements to the journal and firewalld integration. With these simple configurations, I get fail2ban working in Fedora 20 without a syslog daemon and avoiding being DOSed by a local user.

/etc/fail2ban/fail2ban.local

[Definition]
loglevel = INFO
logtarget = SYSLOG

In /etc/fail2ban/jail.local we set the backend to systemd, so we monitor directly the journal, we also choose as default action firewallcmd-ipset, so the rules are inserted with firewall-cmd and use the ipset facility. Finally, all the jails needed are enabled.

[DEFAULT]
backend = systemd
banaction = firewallcmd-ipset
bantime = 3600

[sshd]
enabled = true

[postfix]
enabled = true

[dovecot]
enabled = true

IPsec server in OpenWrt (II)

jorti@pm.me (Juan Orti Alcaine) — Fri, 07 Mar 2014 00:00:00 +0000

This is an update of my previous post about configuring IPsec in OpenWrt.

The network scenario I’m describing is a central OpenWrt router with 2 internal LANs, plus 2 external hosts connected with VPN and some roadwarriors with all their traffic redirected through the IPsec tunnel.

Configure fail2ban in Fedora 20 to use firewall-cmd and ipset

jorti@pm.me (Juan Orti Alcaine) — Thu, 27 Feb 2014 00:00:00 +0000

Note (October 20 2014): This post is outdated, please, refer to the post fail2ban 0.9 for more up to date information.

fail2ban is a handy daemon that monitors the log files to identify connection attempts and other kind of attacks and ban those IPs for a certain period of time.

Currently, fail2ban upstream is adding support to firewalld and the use of ipset, so some modifications are needed at the stock config.

First of all, install the needed packages, I add rsyslog because it’s not included in the default Fedora 20 installation and it’s needed to generate /var/log/secure. I hope fail2ban will support some day querying the journal directly.

How to test a OCSP server

jorti@pm.me (Juan Orti Alcaine) — Sat, 18 Jan 2014 00:00:00 +0000

The other day, I installed a OCSP server in Windows 2012 R2 and got the need of testing it. I have found two different ways. In Windows, using the tool certutil:

# certutil.exe -url cert.pem

It will open a window where we can test all the revocation methods listed in the certificate. To test OCSP, we select it under “recovery” and click the button.

In Linux we can test OCSP with OpenSSL, this line does the trick:

dnssec-tools and bind authoritative name server in Fedora

jorti@pm.me (Juan Orti Alcaine) — Mon, 30 Sep 2013 00:00:00 +0000

Some time ago, I wrote a post about using dnssec-tools for managing an authoritative name server in CentOS, now I’m going to extend it to cover their usage in a Fedora system.

First of all, I’m going to use the latest versions which currently is not in the repositories. Download the source rpm, recompile and install the rpms: $ mock -r fedora-19-x86_64 dnssec-tools-2.0-1.fc18.src.rpm # yum install /var/lib/mock/fedora-19-x86_64/result/*rpm

The configuration of bind as authoritative name server /etc/named.conf:

Enabling ECC in Fedora and CentOS

jorti@pm.me (Juan Orti Alcaine) — Tue, 27 Aug 2013 00:00:00 +0000

Because the recent revelations about PRISM, it feels that everybody is revisiting their security infrastructure.

After testing during many hours the available ciphers in the Apache web server, I realized that it’s impossible to get Perfect Forward Secrecy with Red Hat and its derivatives. See bug #319901

I have decided to recompile openssl and apache for the servers I manage, I have uploaded the scripts I use to this repository: https://github.com/jorti/fedora-compile-with-ecc

Bind authoritative name server with DNSSEC in CentOS 6

jorti@pm.me (Juan Orti Alcaine) — Thu, 09 May 2013 00:00:00 +0000

I’m going to explain how to implement DNSSEC in CentOS, using Bind as authoritative name server and the dnssec-tools utilities. To deploy DNSSEC, your parent zone must be signed, you can check it here.

The main reference for this post is in the dnssec-tools Wiki: https://www.dnssec-tools.org/wiki/index.php/Authoritative_Server

IPsec server in OpenWrt

jorti@pm.me (Juan Orti Alcaine) — Wed, 01 May 2013 00:00:00 +0000

NOTE: Please, check this updated post about this topic.

I have configured a IPsec server in my OpenWrt router to use it from my Android device when I am connected to an untrusted network. Previously I’ve used OpenVPN, but it drains too much battery, so I want to test if this solution, which is integrated in Android, works better.

I have taken the configuration from the OpenWrt Wiki.

df and du disk usage report mismatch

jorti@pm.me (Juan Orti Alcaine) — Wed, 27 Feb 2013 00:00:00 +0000

I had a server with a very big difference in the disk usage report of df and what du said I was actually using. The cause was that Apache had many open file descriptors to deleted log files. You can see all the deleted file descriptors with:

# ls -ld /proc/*/fd/* 2>&1 | fgrep '(deleted)'

Or using lsof: # lsof +L1 # lsof -a +L1 /home

Seen in: http://www.noodles.net.nz/2011/07/27/df-not-reporting-correct-disk-usage/ and: https://mradomski.wordpress.com/2007/01/08/finding-an-unlinked-open-file-and-other-lsof-uses/

Simultaneous audio in HDMI and analog with Pulseaudio

jorti@pm.me (Juan Orti Alcaine) — Thu, 21 Feb 2013 00:00:00 +0000

I have connected my computer to the TV via HDMI and wanted to play audio simultaneously in the PC speakers and in the home cinema. You can see this solution in the Arch wiki, I just have added the device description for easier identification.

At the beginning of /etc/pulse/default.pa, add:

load-module module-alsa-sink device="hw:0,0" sink_name=analog_output_stereo channels=2
update-sink-proplist analog_output_stereo device.description="PC Speakers - Stereo"

load-module module-alsa-sink device="hw:0,7" sink_name=hdmi_output_surround channels=6 channel_map=front-left,front-right,rear-left,rear-right,front-center,lfe
update-sink-proplist hdmi_output_surround device.description="Home theater - 5.1"

load-module module-combine-sink sink_name=analog_hdmi_surround slaves=analog_output_stereo,hdmi_output_surround channels=6 channel_map=front-left,front-right,rear-left,rear-right,front-center,lfe
update-sink-proplist analog_hdmi_surround device.description="Home theater and PC Speakers - 5.1"

You can get the device id with aplay. “hw:0,7” means the card 0, device 7.

PostgreSQL replication with Slony-I

jorti@pm.me (Juan Orti Alcaine) — Sat, 09 Feb 2013 00:00:00 +0000

In recent versions of PostgreSQL there are replication capabilities built-in, but for older versions I’ve been using Slony-I. I’m going to describe how I’ve replicated a database running on PostgreSQL 8.4 with Slony 1.2. For more info, you can read the official documentation.

Create a superuser role in both servers for replication:

CREATE ROLE slony WITH SUPERUSER LOGIN PASSWORD 'mipassword';

Example values:

CLUSTERNAME=db_cluster MASTERDBNAME=mydb SLAVEDBNAME=mydb MASTERHOST=psql01.example.com SLAVEHOST=psql02.example.com REPLICATIONUSER=slony DBUSER=user export CLUSTERNAME MASTERDBNAME SLAVEDBNAME MASTERHOST SLAVEHOST REPLICATIONUSER DBUSER

DNS timeout while logging in via SSH

jorti@pm.me (Juan Orti Alcaine) — Fri, 08 Feb 2013 00:00:00 +0000

In a computer which is in a isolated network, I have experienced a long delay while logging in via SSH. This is because a DNS timeout. It’s possible to disable the DNS lookups of sshd, modifying this setting in /etc/ssh/sshd_config:

UseDNS no

Fix failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN

jorti@pm.me (Juan Orti Alcaine) — Mon, 14 Jan 2013 00:00:00 +0000

After installing Unbound in a OpenWrt router, I noticed that afer a reboot, the DNS was not working. I saw many of these errors in the log:

failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN

I have discovered that the system date was wrong. As this device lacks a hardware clock, when the machine boots, it cannot synchronize the time by NTP because there is no resolver (Unbound doesn’t start because the date validation of the ICANN certificate fails). It’s a chicken or the egg problem.

Configure Unbound DNSSEC resolver in OpenWrt

jorti@pm.me (Juan Orti Alcaine) — Thu, 20 Dec 2012 00:00:00 +0000

After realizing that my ISP (ONO) was hijacking the NXDOMAIN DNS responses, I decided to improve the security of the DNS queries for my entire LAN using DNSSEC.

I choosed to replace dnsmasq for unbound in my OpenWrt router. These are the steps I followed.

First I installed the required packages:

# opkg update # opkg install unbound unbound-anchor unbound-control unbound-control-setup unbound-host

As dnsmasq is also the DHCP server, I’m not going to disable it, only change the DNS port to 5353. In /etc/config/dhcp

proxy.pac CGI script

jorti@pm.me (Juan Orti Alcaine) — Mon, 23 Jul 2012 00:00:00 +0000

In my OpenWrt box I have two internal networks,one for my LAN and other for the wifi guests. I have configured a proxy server, and to distribute the configuration to the clients, I did a little script to generate a proxy.pac file dependent on the client IP.

I have this in /www/cgi-bin/proxy.pac:

#!/bin/sh
mynetmask="255.255.255.0"
eval $(/bin/ipcalc.sh $REMOTE_ADDR $mynetmask)
if [ "$NETWORK" = "192.168.10.0" ]; then
  proxy=""PROXY 192.168.10.1:3128; DIRECT""
else
  proxy=""PROXY 192.168.11.1:3128; DIRECT""
fi

echo Content-Type: application/x-ns-proxy-autoconfig
echo ""

echo "function FindProxyForURL(url, host)
{
  return $proxy;
}"

Make it executable, you can test it in command line passing the client IP:

Deshabilitar el modo visual de Vim automático con el ratón

jorti@pm.me (Juan Orti Alcaine) — Mon, 16 Jul 2012 00:00:00 +0000

En algunas máquinas, cuando seleccionas texto con el ratón en Vim, se activa el modo visual, lo que me resulta muy incómodo, para deshabilitarlo, podemos ejecutar el comando:

:set mouse-=a

O configurarnos en el archivo ~/.vimrc

set mouse-=a

Fuente: www.varesano.net

Monitorizar un proceso Java

jorti@pm.me (Juan Orti Alcaine) — Sat, 16 Jun 2012 00:00:00 +0000

Últimamente he estado investigando un proceso Java que fallaba por falta de memoria y he visto unas cuantas técnicas de monitorización bastante útiles.

Los parámetros para el control de memoria de la máquina virtual Java se pueden ajustar por línea de comandos. Hay muchos parámetros disponibles, pero cabe destacar -Xms y -Xmx. Podéis consultar las opciones más importantes en la documentación oficial.

Para tener un volcado de la heap en caso de error, son muy útiles las opciones -XX:+HeapDumpOnOutOfMemoryError y -XX:HeapDumpPath=/dir.

Cifrado de discos con Luks

jorti@pm.me (Juan Orti Alcaine) — Mon, 28 May 2012 00:00:00 +0000

Luks nos permite cifrar el contenido del disco y trabajar con él de forma transparente. Esto nos protege de ataques offline como por ejemplo en caso de pérdida de un portatil, o si sustituimos un disco ya no nos tenemos que preocupar de borrar la información que contiene.

Podemos crear un dispositivo Luks directamente sobre una partición, un logical volume de LVM, un dispositivo RAID, etc.

Es recomendable limpiar la partición previamente y rellenarla con datos aleatorios. Por ejemplo, para cifrar la partición /dev/sda3 (Se perderán todos los datos que contenga):

Ejecutar aplicaciones gráficas con otro usuario en una sesión X remota

jorti@pm.me (Juan Orti Alcaine) — Tue, 24 Apr 2012 00:00:00 +0000

Ocurre bastante a menudo que cuando te conectas a una máquina remota mediante SSH y necesitas lanzar un comando con otro usuario, te da un error semejante a este:

$ sudo virt-manager [sudo] password for juan: PuTTY X11 proxy: wrong authorisation protocol attemptedPuTTY X11 proxy: wrong authorisation protocol attemptedPuTTY X11 proxy: wrong authorisation protocol attemptedPuTTY X11 proxy: wrong authorisation protocol attemptedTraceback (most recent call last): File "/usr/share/virt-manager/virt-manager.py", line 383, in <module> main() File "/usr/share/virt-manager/virt-manager.py", line 286, in main raise gtk_error RuntimeError: could not open display

Obtener un prefijo IPv6 con gogoc en Fedora

jorti@pm.me (Juan Orti Alcaine) — Tue, 24 Apr 2012 00:00:00 +0000

En mi post anterior, expliqué cómo conectar de forma anónima una sola máquina con el broker IPv6 Freenet6.net. Ahora os voy a contar cómo obterner un prefijo /64 y repartir direcciones a nuestra red local.

Voy a asumir que tenemos el paquete gogoc instalado y hemos configurado la opción “-y” en /etc/sysconfig/gogoc. Además necesitamos crear una cuenta en Freenet6.

Con estos prerequisitos cumplidos, editamos el fichero /etc/gogoc/gogoc.conf y modificamos las siguientes líneas:

Obtener una dirección IPv6 con Freenet6 en Fedora

jorti@pm.me (Juan Orti Alcaine) — Tue, 24 Apr 2012 00:00:00 +0000

Después de un tiempo aprendiendo a hacer paquetes RPM, me he decidido a unirme al grupo de empaquetadores de Fedora y hace poco he subido mi primer programa: el cliente gogoc para el broker de IPv6 freenet6.net.

Este programa negocia un túnel por UDP contra los servidores de freenet6, y te asigna una IPv6 dinámica. También es posible solicitar un prefijo estático, con lo que podrás dar direcciones IPv6 a toda tu red, pero para esto hace falta registrarse en http://gogonet.gogo6.com/page/freenet6-registration

Monitorizar equipos CentOS desde Microsoft Operations Manager

jorti@pm.me (Juan Orti Alcaine) — Tue, 13 Mar 2012 00:00:00 +0000

Estoy actualmente peleándome con Microsoft Operations Manager, y por lo que veo incluye unos management packs para Red Hat que no valen para CentOS. Gracias a los enlaces que os pongo a continuación he conseguido crear unos MP específicos para CentOS:

http://blogs.msdn.com/b/scxplat/archive/2010/01/05/building-a-centos-management-pack-part-1.aspx http://blogs.msdn.com/b/scxplat/archive/2010/01/05/building-a-centos-management-pack-part-2.aspx http://blogs.msdn.com/b/scxplat/archive/2010/01/18/building-a-centos-management-pack-part-3.aspx

Este usuario también ha escrito una guía muy útil para diagnosticar posibles problemas de descubrimiento o de instalación del agente en CentOS:

Cambiar la dirección de un servidor SVN

jorti@pm.me (Juan Orti Alcaine) — Thu, 01 Mar 2012 00:00:00 +0000

Cuando se cambia la IP o nombre de un servidor SVN, hay que actualizar los proyectos con el siguiente comando:

$ svn sw --relocate http://old_server/proyecto http://new_server/proyecto

Transferencia de zona DNS de Windows a bind

jorti@pm.me (Juan Orti Alcaine) — Thu, 01 Mar 2012 00:00:00 +0000

Podemos configurar un servidor DNS bind para recibir zonas de un controlador de dominio, para ello simplemente habría que habilitar la transferencia de zona en el servidor Windows y configurarlas en bind de la siguiente manera:

zone "dominio.local" in {
   type slave;
   file "slaves/dominio.local.db";
   masters { 192.168.1.100; };
   allow-transfer { any; };
   allow-query { any;};
   check-names ignore;
   notify yes;
};

zone "_msdcs.dominio.local" in {
   type slave;
   file "slaves/_msdcs.dominio.local.db";
   masters { 192.168.1.100; };
   allow-transfer { any; };
   allow-query { any;};
   check-names ignore;
   notify yes;
};

zone "1.168.192.in-addr.arpa" in {
   type slave;
   file "slaves/1.168.192.in-addr.arpa.db";
   masters { 192.168.1.100; };
   allow-transfer { any; };
   allow-query { any;};
   check-names ignore;
   notify yes;
};

Intercambio y firma de claves GnuPG con ayuda del DNIe

jorti@pm.me (Juan Orti Alcaine) — Wed, 25 Jan 2012 00:00:00 +0000

Recientemente he hecho un intercambio y firmado de claves GnuPG sin necesidad de encontrarse físicamente con la otra persona, gracias a la firma con DNI electrónico. El método tradicional es la fiesta de firmado de claves, pero yo nunca he podido asistir a ninguna. Os explico este método que viene muy bien porque se puede hacer completamente a distancia.

Lo primero es generar un documento PDF en el que nos identificamos y que contenga la información sobre nuestra clave pública:

Centralita Asterisk conectada a VoIP de Ya.com Total

jorti@pm.me (Juan Orti Alcaine) — Tue, 24 Jan 2012 00:00:00 +0000

En las últimas semanas he estado trasteando con el servidor Asterisk, y como tengo la línea de teléfono con ya.com mediante VoIP, he conectado ambos para poder hacer llamadas desde otros clientes SIP.

La configuración la he hecho en el router Buffalo WZR-HP-AG300H, al cual le he instalado la distribución OpenWrt. Este router es una auténtica maravilla, se lo recomiendo a todo el mundo y combinado con OpenWrt es una solución potentísima.

El router de ya.com tiene deshabilitado todo el tema de VoIP, firewall, NAT, etc. y está en modo bridge, por lo que la IP pública está asignada al router Buffalo. Este es un punto importante para la VoIP, que utiliza puertos dinámicos y debe conocer su IP pública. Como los amigos de ya.com tienen bloqueado el router, para poder ponerlo en modo bridge he tenido que hacer un downgrade del firmware a la versión 1.00.001

La configuración que he usado en Asterisk para conectar con ya.com se divide en dos partes. En sip.conf se configuran las conexiones SIP tanto a los proveedores como a los clientes (teléfonos). En extensions.conf se configura el plan de numeración (las extensiones y cómo manejar los números marcados). He dado de alta también al proveedor easyvoip para las llamadas a móviles e internacionales, que sale mucho más barato que ya.com. También he incluido un cliente SIP que uso desde mi teléfono Android para poder llamar como si estuviese en casa. Para el teléfono fijo he tenido que instalar un adaptado telefónico y lo he conectado con Asterisk con el usuario telefono1 y la contraseña definida en el fichero sip.conf, he elegido el modelo Cisco PAP2T.

Configurar túnel IPv6 en Fedora

jorti@pm.me (Juan Orti Alcaine) — Mon, 02 Jan 2012 00:00:00 +0000

Aún falta un poco hasta que los proveedores de acceso a Internet nos asignen un rango IPv6 en cada router, sobre todo en España, donde nos venden a precio de oro una conexión del siglo pasado.

Estos últimos días he estado configurándome un túnel IPv6-en-IPv4 de Hurricane Electrics, y la verdad es que funciona muy bien. Os cuento como he hecho la configuración en Fedora 16:

Lo primero de todo es darse de alta y solicitar un túnel, se nos asignará un IP y un rango /64 para nuestra red local. En la página de información detallada de nuestro túnel vienen todos los datos que vamos a necesitar.

Monitorización de un RAID por software en Linux

jorti@pm.me (Juan Orti Alcaine) — Tue, 27 Dec 2011 00:00:00 +0000

Para evitar pérdidas de datos si falla algún disco duro, tengo la partición /home montada sobre un RAID por software. Voy a explicar cómo activar el servicio de monitorización en Fedora 16 para que nos mande un correo en caso de que haya algún problema con nuestro array.

Existe un servicio llamado mdmonitor.service que se encarga de monitorizar el estado de los arrays, pero no arranca si no existe el fichero /etc/mdadm.conf. Por lo tanto, lo primero es crear el fichero y añadir nuestro array:

Uso de find y xargs para nombres de archivos con espacios

jorti@pm.me (Juan Orti Alcaine) — Thu, 22 Dec 2011 00:00:00 +0000

Un pequeño truco para que no nos falle el uso de find y xargs cuando tratamos con nombres de archivos que contienen espacios, es usarlos con estas opciones:

find /dir -print0 | xargs -0 _<comando>_

De esta forma los comandos separan los nombres de archivos con el caracter NUL en vez del espacio.

Visto en: https://notfaq.wordpress.com/2006/07/30/unix-filenames-with-spaces-in-find-xargs/

Instalación de servidor OpenVPN

jorti@pm.me (Juan Orti Alcaine) — Fri, 02 Dec 2011 00:00:00 +0000

Después de leer las últimas noticias sobre CarrierIQ me he decidido a rootear mi teléfono Android e instalar CyanogenMod 7.1 para quitarme la ROM del operador y poder tunelizar las conexiones por VPN. No me voy a explayar en el proceso de rooteado del teléfono (un HTC Desire) ya que hay muchas guías que lo explican y con unrevoked es muy sencillo.

Voy a explicar cómo configurar un servidor VPN para poder usarlo desde el teléfono.

Control de ancho de banda en Linux

jorti@pm.me (Juan Orti Alcaine) — Wed, 16 Nov 2011 00:00:00 +0000

En casa tengo la típica línea ADSL, y ya llevaba tiempo dándole vueltas a varios problemas de latencia y velocidad que estaba sufriendo cuando conectaba aMule, Transmission o similares. Cuando estaba usando estos programas P2P, la navegación se ralentizaba hasta extremos desesperantes, muchas veces lo que más le costaba era la resolución DNS de las páginas, algo que tendría que ser lo más rápido posible.

Para mejorar la situación he creado un script basándome en el fantástico Wonder Shaper, un script que usa el algoritmo HTB para asegurar un ancho de banda a las clases que definamos. La principal diferencia es que wonder shaper está pensando para un equipo que tenga conexión directa a Internet con una IP pública asignada, y mi script está diseñado para un equipo con una IP privada dentro de la LAN, que es la configuración habitual de los routers ADSL. Por supuesto, esta aproximación solo funciona bien si nuestro equipo es el único en la red local, ya que si otros hosts están generando tráfico, llenaremos el buffer del router y no conseguiremos nada.

Optimizar el rendimiento de un disco SSD

jorti@pm.me (Juan Orti Alcaine) — Tue, 01 Nov 2011 00:00:00 +0000

Acabo de adquirir un disco SSD para usar como disco principal del sistema, concretamente el modelo OCZ Vertex 3, y os puedo asegurar que da al sistema una fluidez impresionante.

Con unos pequeños ajustes se puede optimizar al máximo el rendimiento. Os cuento cómo lo he hecho yo.

Lo primero que he hecho ha sido actualizar el firmware a la última versión, ya que añadían mejoras importantes de estabilidad y de soporte de TRIM.

Cluster de Liferay y Terracotta

jorti@pm.me (Juan Orti Alcaine) — Fri, 14 Oct 2011 00:00:00 +0000

Voy a montar un entorno de pruebas en una sola máquina con un cluster de Liferay + un cluster de Terracotta con Web sessions. He usado CentOS 6 x86_64 y las versiones open source de estos dos productos.

Instalación de OpenDNIe en Fedora 15

jorti@pm.me (Juan Orti Alcaine) — Sun, 09 Oct 2011 00:00:00 +0000

Recientemente ha aparecido el proyecto OpenDNIe para poder usar el DNI electrónico con herramientas libres y mejorar la lamentable situación de los drivers oficiales. Yo he usado esta versión para varios trámites y no he tenido ningún problema, os cuento como instalarlo en Fedora 15 x86_64:

Descargo los paquetes fuente para RedHat en la página de descarga y compruebo la suma md5.

$ md5sum -c opensc-opendnie-0.12.2-1.fc14.src.rpm.md5 < opensc-opendnie-0.12.2-1.fc14.src.rpm -: La suma coincide

Cómo usar GPG agent

jorti@pm.me (Juan Orti Alcaine) — Wed, 05 Oct 2011 00:00:00 +0000

El agente de GPG es una herramienta muy útil para evitar estar metiendo continuamente las contraseñas para desbloquear las claves GPG o en las conexiones SSH. Por desgracia no suele estar habilitado por defecto en la consola, pero vamos a ver como solucionarlo. Esta solución está basada en este comentario.

El kit de la cuestión es que solo puede haber una instancia de gpg-agent por usuario y en cada sesión se tienen que configurar las variables de entorno necesarias. Estas variables las vamos a guardar en el archivo ~/.gpg-agent-info

Autenticación sin contraseñas en SSH

jorti@pm.me (Juan Orti Alcaine) — Tue, 04 Oct 2011 00:00:00 +0000

Todo un clásico, pero extremadamente útil cuando tienes varias máquinas para administrar.

$ ssh-keygen -t rsa -b 4096 -C "_your_email@youremail.com_" #Genera la clave $ ssh-copy-id _username_@_remote-host_ #Copia la clave al servidor remoto

Para los paranoicos es una buena idea tener anotados de antemano los fingerprints de los servidores. De esta forma si intentamos conectar alguna vez desde algún entorno no seguro donde no tengamos cacheada la clave en ~/.ssh/known_hosts podremos estar seguros de que no nos están haciendo un man in the middle.

Crear repositorio de paquetes RPM

jorti@pm.me (Juan Orti Alcaine) — Tue, 04 Oct 2011 00:00:00 +0000

Últimamente he estado aprendiendo a crear paquetes RPM y cuando ya tienes hechos unos cuantos es muy útil crearse un repositorio para instalarlos desde ahí. Para una empresa que tiene que gestionar muchas máquinas es una herramienta fundamental para distribuir versiones personalizadas o aplicaciones propias. Hay bastante documentación al respecto, yo he estado leyendo entradas como ésta.

Os cuento como he creado mi repositorio.

Cuento con dos máquinas, el servidor (un VPS en buyvm.net, os lo recomiendo) y mi máquina de trabajo. Los RPM ya los tengo generados, en otra entrada ya explicaré en más detalle como hacerlos.

Habilitar la autenticación contra Active Directory en CentOS 5

jorti@pm.me (Juan Orti Alcaine) — Tue, 04 Oct 2011 00:00:00 +0000

Las siguientes instrucciones son para habilitar el login de usuarios de Active Directory en CentOS 5 x86_64.

Lo primero que necesitamos es instalar en el controlador de dominio (en mi caso Windows 2008 R2) el servicio de “Microsoft Identity Management for UNIX” y crear un dominio NIS.

He creado en AD un grupo global ad_unix_users para que sea el grupo principal de los usuarios en Linux, para esto en las propiedades del grupo, vamos a la pestaña UNIX attributes y lo asignamos al dominio NIS. Le tendría que dar automáticamente un GID.

Instalar Google Earth 5.0 en Linux

jorti@pm.me (Juan Orti Alcaine) — Thu, 12 Mar 2009 00:00:00 +0000

Recienteme he instalado la versión 5 de Google Earth en Ubuntu intrepid 8.10 AMD64. Como me ha dado algunos problemas os detallo lo que hice:

Una vez descargado, le damos permisos de ejecución:

$ chmod +x GoogleEarthLinux.bin $ ./GoogleEarthLinux.bin

Hacemos la instalación en modo gráfico, todo bien hasta que lo ejecutamos: $ ./googleearth-bin: relocation error: /usr/lib/i686/cmov/libssl.so.0.9.8: symbol BIO_test_flags, version OPENSSL_0.9.8 not defined in file libcrypto.so.0.9.8 with link time reference

He visto varias soluciones, por ejemplo haciendo un enlace simbólico a la librería del sistema. Lo que yo he hecho ha sido renombrar la librería que trae Google Earth para que vaya a buscarla al sistema: