Modificar plantilla DHCP en Zentyal para añadir tftp-server-name

Escribo esta entrada para que no me falle la memoria y acordarme para siempre de como modificar la plantilla de DHCP en Zentyal para añadir opciones que no podemos modificar por la web de administración.

En mi caso lo que quiero añadir es el tftp-server-name para que mis teléfonos IP se actualicen de forma automática, como explico en el documento de improvisa: http://www.improvisa.com/06-06-2007/auto-aprovisionamiento-voip/

Debemos editar el archivo:

vi /usr/share/zentyal/stubs/dhcp/subnet.mas

y debajo de la opción de netbios-node-type que está establecida 8 por defecto añadir nuestra regla:

option tftp-server-name “192.168.1.3”;

Sustituyendo la ip por nuestro servidor TFTP

Saludos.

Error Zentyal IPTables contra Windows 7

Dejo esta entrada ya que cada vez que se actualiza el módulo firewall de Zentyal tengo que repetir el cambio.

El síntoma es que Windows 7 no tiene acceso al puerto 443 o https si está detrás de un servidor Zentyal, ya que marca como state INVALID los paquetes que provienen de Windows 7 con salida al puerto 443.

El problema es que win7 usa funciones sin cargar todo el sistema pero adicionalmente algunos de los recursos de red no son gestionados de manera transparente para el SO, por lo que el paquete puede hacerse por el primer puerto que permita salir a buscar como debe hacer lo demás…

Dicen que depende mucho de internet para poder saber como gestiona las conexiones…

También dicen que depende del SO, que algunas de las cualidades de cache y similares se aceleran, pues es capaz de utilizar otros puertos para mientras revisas una pagina por el explorador por debajo y utilizando cualquier puerto o hueco va descargando UPDATES, COKIES, LOGS y hasta historiales…

Mi primer intento fue arreglarlo con este comando

echo 1 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal

Lo he solucionado de la siguiente forma:

Abrir para su edición el archivo:
vi /usr/share/perl5/EBox/Iptables.pm

Buscar la linea:
pf(‘-A FORWARD  -m state –state INVALID -j fdrop’),

Sustituirla por esta:
pf(‘-A FORWARD -p tcp ! –dport 443 -m state –state INVALID -j fdrop’),

Reiniciamos el firewall con
/etc/init.d/zentyal firewall restart

Ya está con esto los W7 conseguiran atravesar el firewall para visitar paginas seguras.

Permisos óptimos para archivos de apache en Debian

Vuelvo a escribir después de más de 1 año……

Dejo esta entrada para acordarme de los permisos óptimos que deben tener los directorios de las webs de apache2 sobre un sistema Debian.

Establecemos grupo propietario ya que quiero respetar el del usuario.
chgrp www-data -R /var/www/*

Establecemos permisos a todos los ficheros, lectura y escritura a los propietarios y el grupo propietario:
chmod 664 -R /var/www/*

Establecemos permisos de ejecución, lectura y escritura sólo a los directorios, para los propietarios y el grupo propietario
find ./ -type d -exec chmod 775 {} \;

Establecemos el GUID para que herede grupo propietario a todo lo creado dentro de /var/www/
find ./ -type d -exec chmod g+s {} \;

Debe ser en este orden ya que si ejecutamos algún chmod después del GUID este se perderá.

Con esto tendremos óptimos nuestros permisos en /var/www/ para apache2 y Debian