Obiettivo

L’obiettivo è diventare uno dei principali punti di riferimento per l’informatica aziendale facilitando il ciclo produttivo.

Crediamo che la competenza e disponibilità siano i nostri biglietti vincenti.

Routing tra due uplinks/providers e Load balancing

Sin dai primi giorni di lavoro, circa 20 anni fa, le prestazione dei sistemi informatici sono state una spina nel fianco del sistemista in quanto l’utente medio scordandosi, del pallottoliere e della Calcolatrice tipo Odhner, pretende che qualunque operazione chieda al suo computer sia immediata soprattutto l’accesso alla propria pagina facebook o alla caselle di posta per vedere le ultime offerte che amazon li ha riservato.

Detto questo torniamo al nostro titolo “bilanciamento di carico e instradamento verso due o più provider”. Questo argomento ormai è stato trattato con diversi tutorial su molti siti autorevoli, ma ultimamente mi sono accorto che seguendo queste guide i sistemi rispondevano con numerosi errori, un po’ perché queste trattazioni sono più teoriche che pratiche e un po’ perché i software che gestiscono i sistemi sono cambiati da quando queste guide sono state pubblicate. Ecco perché questo articolo, più come promemoria che come guida vera e propria.

Prendiamo lo scenario più classico, un’azienda che ha necessità di banda elevata per la connessione a internet spesso è costretta a escludere la fibra per i costi elevati di un link FTTH, la soluzione più economica è avere 2 o più link anche da provider diversi e aggregarli o dividere il carico in base alle preformace e tipologia dei link. Vediamo come fare avendo 2 link e usando Linux.

La configurazione hardware ha poca importanza se non che la macchina dovrà avere una scheda, lato WAN, per ogni provider attivato, 2 linee adsl 2 schede wan, 3 linee adsl 3 schede wan e così via, e almeno una scheda lato LAN. In alcuni casi ho dovuto usare gli alias per le schede wan in quanto le macchine che mi hanno fornito avevano solo 2 schede ethernet e una delle 2 era destinata alla LAN ma vi garantisco che questa non è la soluzione ottimale sia per la configurazione che per le prestazioni. Ci sono stati altre istallazione che oltra ad avere tutte le schede ethernet necessarie per le WAN avevo a disposizione anche 2 ethernet lato LAN che possono essere usate per la ridondanza o per l’aggregazione o per entrambe le necessità, di questo argomento ne ho parlato in un altro articolo.

Guardando lo schema preso da questo tutorial http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html, che è stato il punto di partenza di tutte le configurazioni che ho fatto, possiamo subito capire come sarà strutturato il gateway.

schema connessione multi link

Configurazione comune di un multilink

Partiamo da una nuova installazione, minima, della vostra distribuzione preferita e impostiamo, per esempio, l’interfaccia wan eth1 collegata all’ISP A con IP 10.1.1.2, e l’interfaccia wan eth2 collegata all’ISP B con IP 172.10.10.2.
I gateway sono per il provider A 10.1.1.1 e per il B 172.10.10.1 le subnet per questi esempi sono ovviamente 255.255.255.0 nelle configurazioni più classiche. L’interfaccia LAN avrà IP 192.168.1.250. subnet 255.255.255.0.
La prima cosa da fare per il bilanciamento è aggiungere due nuove tabelle di routing definite ad esempio, ISP1 e ISP2. Queste vanno aggiunte nel file /etc/iproute2/rt_tables (per maggiori dettagli sul file rt_tables consiglio questo link http://linux-ip.net/html/routing-tables.html). Il passo successive è impostare le tabelle di routings come segue:

ip route add 10.1.1.0/24 dev eth1 src 10.1.1.2 table ISPA
ip route add default via 10.1.1.1 table ISPA
ip route add 172.10.10.0/24 dev eth2 src 172.10.10.2 table ISPB
ip route add default via 172.10.10.1 table ISPB

questa è una la configurazione che si farebbe anche nel caso di un unico provider, visto che i provider sono 2 gli instradamenti sono due. Successivamente, si impostano le regole di routing. Queste in realtà scelgono tabella di routing da usare per un percorso (ISP A) o per l’altro percorso (ISP B). Si vuole fare in modo che la tabella di routing usi l’interfaccia giusta in base all’indirizzo sorgente.

ip rule add from 10.1.1.2 table ISPA
ip rule add from 172.10.10.2 table ISPB

Le tabelle successive servono per un corretto instradamento da e verso l’interfaccia LAN.

ip route add 192.168.0.0/24 dev eth0 table ISPB
ip route add 172.10.10.0/24 dev eth2 table ISPB
ip route add 127.0.0.0/8 dev lo table ISPB
ip route add 192.168.0.0/24 dev eth0 table ISPB
ip route add 10.1.1.0/24 dev eth1 table ISPB
ip route add 127.0.0.0/8 dev lo table ISPB

L’ultimo passo è bilanciare il carico e impostare un default gateway ecco come fare.

ip route add default scope global nexthop via 10.1.1.2 dev eth1 weight 1 nexthop via 172.10.10.2 dev eth2 weight 1

Il parametro “weight” indica quale gateway usare preferibilmente, in questo caso è bilanciato, aumentando il parametro si sposta il “carico” da un gaterway all’altro.

In fine è utile “marcare” i pacchetti che usano una tabella di routing o l’altra.

ip rule add fwmark 1 lookup ISPA
ip rule add fwmark 2 lookup ISPB

Questi marcatori sono utilizzabili da iptables per “forzare” l’uso di un gateway diverso da quello di default ne momenti di carico normale.

Concludendo questa configurazione è solo il minimo indispensabile per bilanciare il carico sui due provider, l’hardening della distribuzione è trattata in un altro articolo così come le impostazioni base di una firewall che consente il normale uso di internet da parte di utenti con necessità medie.

CryptoLocker è un pericolosissimo ransomware

Se vi arriva una mai da equitalia non la aprite o quanto meno analizzatela con un buon antivirus e se nel dubbio contattatemi. Per il prossimo futuro siate molto sospettosi su tutte le mail anche minimamente sospette che hanno degli allegati o dei link a siti esterni. Gli allegati vanno sempre salvati, analizzati e poi aperti anche se la tipologia di file vi sembra famigliare.
Ho potuto vedere all’opera questo potente virus e distruggere anni di documenti, fogli di calcolo e pdf.

Il CryptoLocker è un pericolosissimo ransomware ovvero un tipo di malware di nuova generazione che prende in ostaggio i file presenti sul computer che viene infettato criptandoli con una chiave cifrata di tipo militare sempre diversa.
Viene richiesto il pagamento online di un riscatto a una organizzazione criminale in cambio della chiave di decriptazione che permetterà di rendere i file nuovamente leggibili. Ma senza garanzia, dati gli interlocutori, che una volta effettuato il pagamento i file criptati torneranno ad essere leggibili, il pagamento ovviamente avviene tramite sistemi non tracciabili, già da tempo sotto la lente di ingrandimento della polizia postale. Nel caso specifico che mi è capitato di recente non esiste ancora soluzione al mondo (non è criptolocker) per questa tipologia di virus, quindi tutti i files per adesso sono persi. Nella malaugurata ipotesi che veniate colpiti da questo virus il mio consiglio è di mettere i files criptati su un hard disk esterno e attendere novità (se ci saranno). Ovviamente vengono colpiti e resi inutilizzabili anche i file che sono archiviati su server o periferiche remote.

Stanno arrivando nuove e sempre più potenti criptazioni e gli antivirus normalmente usati spesso non sono in grado di rilevare il virus quando viene aperto direttamente della mail e se non viene appositamente scansionato. Esistono sistemi di protezione dedicati a questa tipologia di truffa, ancora poco noti ai non adetti quibdi, contattatemi per maggiori informazioni.

Post scritto grazie alle informazionioni ricevute da Alessandro Papini.

Investimenti nel web e in tecnologia, risparmio garantito

Oltre a dedicarci alle attività prettamente sistemistiche, curiamo da 11 anni anche la realizzazione di siti web, in collaborazione con agenzie web locali e romane.

A causa della “crisi” che ha colpito ogni aspetto dell’economia italiana, si sono dimezzati anche gli investimneti delle aziende nella tecnologia “tangibile”, a favore però del web.
I volumi di investimento non possono ovviamente essere paragonati ma possiamo dire con oggettività che rispetto al passato si investe più nel web che nell’hardware.

Crediamo che questo nuovo comportamento sia un chiaro indicatore del fatto che – per ovvie ragioni – la crisi ha fatto emergere le attività di auto promozione a basso costo.
Continua a leggere

Rendere sicura Debian (hardening)

Debian è un sistema operativo (OS) libero per il tuo computer.
Usando Debian si parte già da un sistema operativo sicuro, sia per il lungo periodo di debug a cui vengono sottoposti i pacchetti sia per le policy di base che la fondazione Debian adotta.
In questo articolo descriviamo in maniera semplice i passi da fare per rendere una nuova installazione più sicura e adatta a svolgere compiti quali firewall, web server, mail server, o semplicemente più sicura una postazione desktop. Per una lettura più approfondita vi riamndo al Securing Debian Manual.
Continua a leggere

Proteggere settore rete da virus con samba

Spersso ci viene richiesto di rendere una rete sicura soprattutto dalle infezioni; premesso che l’unica rete inviolabile è quella non collegata al mondo esterno i cui membri non hanno interfaccie DVD, USB, CardReader etc etc ( i floppy non li cito più ), e soprattutto a costi bassi (di bridge in commercio ce ne sono anche troppi! ).
Oggi una rete non collegata al mondo è di poca utilità quindi bisogna trovare una soluzione che almeno (dico almeno perché se consentissimo a questa rete di avere accesso a internet questo articolo non avrebbe nessuno scopo) consenta lo scambio di file con il resto del modo.
Continua a leggere