Plataforma eBox, todo en uno en servidores

Una de las tareas más tediosas de un administrador de sistemas, es siempre tener un buen proxy configurado y apunto para tu empresa. Y digo tediosa, porque resulta bastante «dura» si lo haces desde cero, es decir, un linux con un proxy (normalmente SQUID), con un firewall mediante iproute y iptables, y de paso algun filtro para webs y un buen antivirus para parar las guarrerias que te puedas encontrar en la red y tus «lusers» quieran meter dentro de tu amada red.

Si nos ponemos un poco serios, podriamos montar un servidor de correo, y claro, un buen sistema de monitorización. Y si ya tienes que dar acceso desde fuera pues una buena VPN sería algo necesario.

Bien. Todo esto se puede montar más o menos «a mano», leyendo muchos manuales, acostumbrandote a tu shell, y a un buen editor de texto (nano rulez!), pero muchas veces te apetecería que todo fuera más sencillo.

En esto, que nuestro querido proxy con Debian, este viviendo malos momentos (si, es una edad, y aunque es un gran servidor, su corazon de Pentium 3 Xeon puede fallarnos en cualquier momento, o cualquier otra parte de su anatomía). Para tal empresa, indagando por la red, nos hemos encontrado con una solución que nos va a permitir migrar todo rapidamente a un nuevo servidor, y darnos algo mas de «sencillez» al asunto.

Se trata de eBox, un desarrollo español, el cual no es más que unos paquetes para Ubuntu (versión 8.04 LTS), que nos permite incluir toda la funcionalidad, con un buen interfaz web, y una comunidad por detrás que nos ayuda y mejora el producto. Tras instalarlo en una maquina de prueba, la verdad que tiene muy buena pinta, con muchas cosas que nos sobran (aunque esta dividido en paquetes para cada funcionalidad), creo que va a ser el gran cambio en el corazón de nuestra red. Nos falta meter mucha mano al sistema, ya que hay que adaptarlo a la locura que tenemos montada en mi empresa, pero al menos parece que el inicio es prometedor. Pero lo mas interesante es el roadmap que tienen planteado. Sobre todo el tema del failover entre servidores, que puede ser muy interesante en grandes compañias (y que trataré de ver como funciona).

La verdad que el interfaz es bastante bueno, aunque no permite toda la funcionalidad que una maquina linux puede ofrecer, por lo que en algún caso tienes que tirar de consola (nada grave). Incluye servidor proxy, de correo, firewall, vpn, monitorización, eGroupWare (para centralizar una agenda y un servidor de contactos… lo que es muy interesante), servidor de ficheros, antivirus,…

Muy buena idea si tienes que montar un proxy en tu oficina o en tu casa. Echarle un vistazo.

Please follow and like us:

Bloquear (o redirigir) Spotify mediante iptables

Spotify

Spotify

Spotify es cojonudo. Si, una revolución. Pero un dolor de cabeza para todos los administradores de redes que ven como poco a poco, Spotify se va comiendo ancho de banda. Y además con su crecimiento nos vemos en la tesitura de que todos los usuarios ya van abandonando el mp3 para ir poco a poco pasándose al streaming, lo que nos hace que nuestros firewall tengan tráfico extra.

No soy el primero que se ha tenido que pelear con el, de hecho ya he visto alguna pregunta para bloquear Spotify en firewalls corporativos.

La solución que proponen la mayoría es bloquear el login del programa, que intentan a una subred en particular como puedes leer en el blog de Fernando Luis aunque con una pequeña mejora respecto a lo que leéis en su blog, traducido a iptables, el comando mágico es:

iptables -I FORWARD -d 78.31.8.0/21 -j DROP

Pero si lo que quieres es dejar a la gente que disfrute de este gran programa, y tienes varias lineas de ADSL y quieres que salga por una linea en concreto, puedes intentar marcar los paquetes mediante marcas, para luego redirigir el trafico marcado. Doy por sentado que tienes algún tipo de script dentro de tu servidor que pone las políticas del firewall en marcha, por lo que no me voy a parar en explicarte como hacer un script que monte todo el tinglado de un enrutamiento en un firewall (como por ejemplo como modificar el fichero /etc/iproute2/rt_tables, que cuento que lo tendrás modificado).
Eso si, os dejo las lineas que os redirigirán todo el tráfico de Spotify por otro ADSL, en este caso ADSL2.

ip rule add fwmark 1 table ADSL2    # ADSL con poco trafico
ip route add default via 192.168.221.1 dev eth1 table ADSL2
iptables -A PREROUTING -t mangle -i eth0 -d 78.31.8.0/21 -j MARK --set-mark 1          # Login Spotify
iptables -A PREROUTING -t mangle -i eth0 -d 195.55.74.0/24 -j MARK --set-mark 1         # Streaming Spotify
Please follow and like us: