Installation de packet filter pour freebsd

La documentation complète est ici: http://www.openbsd.org/faq/pf/.
Ajout de pf au noyau

freebsd# vi NOYEAU
#packet filter
device          pf
device          pflog
device          pfsync

options         ALTQ
options         ALTQ_CBQ
options         ALTQ_RED
options         ALTQ_RIO
options         ALTQ_HFSC
options         ALTQ_PRIQ

Puis on installe le nouveau noyau (voir Configurer le noyau de freebsd).
Ajout de pf au démarrage

freebsd# vi /etc/rc.conf
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Les règles sont dans /etc/pf.conf et le fichier de log est dans /var/log/pflog
Quelques commandes utiles
Activation

freebsd# pfctl -e

Désactivation

freebsd# pfctl -d

Affichage des règles en cours

freebsd# pfctl -sr

Charger les règles à partir d'un fichier

freebsd# pfctl -f /etc/pf.conf

Afficher les logs à partir de l'interface par défaut pflog0

freebsd# tcpdump -n -e -ttt -i pflog0

Afficher les logs contenu dans le fichier pflog

freebsd# tcpdump -n -e -ttt -r /var/log/pflog

Switch Cisco: suppression d'un répertoire

Commande pour supprimer un fichier dans la flash d'un switch Cisco:

 switch-2960#delete flash:vlan.dat
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]


 Commande pour supprimer un répertoire sans confirmation:

 switch-2960#delete /recursive /force flash:crashinfo 

Vérification - affichage du contenu de la flash:

 switch-2960#dir
Directory of flash:/
 4 -rwx 1048 Mar 1 1993 01:05:16 +01:00 multiple-fs
 9 drwx 128 Dec 30 2010 01:28:01 +01:00  c2960-ipbasek9-mz.122-55.SE1
 15998976 bytes total (3915264 bytes free)

Configuration d'un accès ssh - serveur linux

Cette configuration a été testée sur un serveur Linux debian.

Installation du paquet openssh-server:

debian:~# apt-get install openssh-server
Reading package lists... Done

Désactivation de l'autorisation de l'utilisateur root de se connecter, puis on autorise uniquement la connexion de l'utilisateur admin:

debian:~# vi /etc/ssh/sshd_config # Authentication:
LoginGraceTime 120 PermitRootLogin no
StrictModes yes.

AllowUsers admin

Prise en compte de la modification: on redémarre openssh-server

debian:~# /etc/init.d/sshd restart
Restarting OpenBSD Secure Shell server: sshd.
debian:~#

On vérifie l'activation de openssh:

debian:~# ps ax | grep sshd
17178 ?        Ss     0:00 sshd: root@pts/0
17218 ?        Ss     0:00 /usr/sbin/sshd
17250 pts/0    S+     0:00 grep sshd
debian:~#

Vérification du port d'écoute:

debian:~# netstat -ntl
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
debian:~#

Affichage de la table de routage ipv4 ou ipv6 sous debian

Pour ipv4:

marmotte#/bin/netstat -r

marmotte#ip route


 Pour ipv6:

marmotte#/sbin/ip -6 route

marmotte#/sbin/ip -6 route dev [interface]

 marmotte#/sbin/route -A inet6

marmotte#/sbin/route --inet6

Configuration snmp - linux debian

Installation:

debian:/# apt-get install snmpd

Configuration du fichier snmpd.conf

debian:/# vi /etc/snmp/snmpd.conf
#On ajoute la ligne suivant pour l'écoute sur l'interface réseau (dans l'exemple 192.168.300.15)
agentAddress udp:192.168.300.15:161
#On modifie la communauté par défaut et on ajoute l'adresse du réseau
#de supervision ainsi que le sec.name souhaité
#(readonly à la place de paranoid pour avoir toute la mib)
#       sec.name  source          community
com2sec readonly  192.168.400.0/24        macom
#On vérifie le reste (dans notre cas, snmp en lecture seule et en version 2c
#               sec.model  sec.name
group MyROGroup v2c        readonly
#On autorise toute les mibs
#           incl/excl subtree                          mask
view all    included  .1                               80
#Enfin, la configuration du groupe
#                context sec.model sec.level match  read   write  notif
access MyROGroup ""      any       noauth    exact  all    none   none

On redémarre le service snmpd:

debian:/# /etc/init.d/snmpd restart

Il reste à vérifier par un snmpwalk à partir du serveur de supervision:

supervision:/# snmpwalk -v 2c -c macom 192.168.300.15

Installation d'un serveur asterisk

Installation en 2 minutes:
Architecture cible
Ci-dessous, l'architecture visée pour les tests:

Installation du serveur AsteriskNOW

AsteriskNOW est un serveur basé sur une distribution Linux CentOS packagé et donc prêt à l'emploi.
Je vous rappelle l'URL du site d'asterisk.
Configuration:
Pour la configuration, deux fichiers nous intéressent:
sip.conf : c'est le fichier de configuration des clients sip qui accède au serveur.
extension.conf ou bien extension.ael : c'est le dial plan encore appelé plan de numérotation. Il donne les droits pour tel ou tel utilisateur d'appeler son oncle en Amérique ou sa tante en Suisse (ou pas si les numéros ne sont pas dans le plan de num ...)
Important: Suite au modification, il faut redémarrer l'application.
Voici la commande:

[root@localhost ~]# /etc/init.d/asterisk restart
Stopping safe_asterisk:                                    [  OK  ]
Shutting down asterisk:                                    [  OK  ]
Starting asterisk:                                         [  OK  ]
[root@localhost ~]#

Bien, ajoutons d'abord un client.

[root@localhost ~]# vi /etc/asterisk/sip.conf

Nous sommes dans le fichier sip.conf et nous ajoutons l'utilisatrice emma.

[emma]
type=friend
host=dynamic
defaultuser=emma
secret=mdpcompliqué
directmedia=no
context=telephone

Et puisque nous y sommes, ajoutons également l'IPBX ou la passerelle SIP qui va  être relié au serveur de test.

[gwsip]
type=peer
host=gwsip.mondomaine.fr
context=from-gwsip

Maintenant, allons voir du coté du plan de numérotation avec le fichier extension.ael (on aurait pu aussi prendre extension.conf).
Nous créons deux contextes. Le premier est le contexte telephone. Il n'y a qu'un seul numéro associé à ce contexte: c'est le numéro configuré sur notre IPBX en prod: 8001.
Le deuxième contexte est associé à notre trunk sip et renvoi vers l'utilisateur clema lorsque son numéro (1234) est composé.

context telephone {
8001 => {
 Dial(SIP/${EXTEN}@gwsip);
 Hangup();
 };

context from-gwsip {
1234 => {
 Dial(SIP/clema);
 Hangup();
 };

Nous redémarrons le service asterisk et c'est terminé.
Il reste peut être à configurer le téléphone de test associé à emma.
On utilisera par exemple le softphone Ekiga disponible sur le site Ekiga.
Configuration du softphone Ekiga
Suite à l'installation, on ajoute l'utilisateur emma. Le softphone va alors s'enregistrer auprès de l'IPBX déclaré (192.168.2.21 dans l'exemple).

Configuration du trunk SIP coté IPBX
Il reste maintenant à configurer l'IPBX vers le numéro de test 1234.

Mise à jour des ports avec cvsup en mode commande - Freebsd

Concerne la version FreeBSD-current release pour la mise à jour des sources.
Le port utilisé par cvsup est: 5999.
L'installation s'effectue en utilisant le port /usr/ports/net/cvsup-without-gui/
Puis make, make install
Ensuite, copier les fichiers /usr/share/examples/cvsup/standard-supfile et /usr/share/examples/cvsupports-supfile à un endroit à ta convenance.
Ajouter le serveur de mise à jour dans la  configuration pour les deux fichiers:

freebsd# vi /usr/local/etc/cvsup/standard-supfile
# IMPORTANT: Change the next line to use one of the CVSup mirror sites
# listed at http://www.freebsd.org/doc/handbook/mirrors.html.
*default host=cvsup2.fr.FreeBSD.org
*default base=/var/db
*default prefix=/usr
*default release=cvs tag=RELENG_8_1
*default delete use-rel-suffix

Puis exécuter cvsup pour les fichiers:

freebsd# /usr/local/bin/cvsup -g -L 2 /usr/local/etc/cvsup/ports-supfile
freebsd# /usr/local/bin/cvsup -g -L 2 /usr/local/etc/cvsup/standard-supfile

Pour plus d'information et pour avoir la liste des serveurs de mise à jour:
http://www.freebsd.org/doc/fr/books/handbook/cvsup.html

Passer un terminal en root sous ubuntu

user@boo:~$ sudo -s root@boo:~#

Vider un fichier sous linux

Testé avec le shell csh

linux# echo -n > lefichier.log

Utilisation du scanner de port nmap

Installation sous linux debian

root@pct#apt-get install nmap

Scan de port avec connexion TCP

root@pct#/usr/bin/nmap -sT @IP

Scan de port avec envoi de paquet SYN uniquement

root@pct#/usr/bin/nmap -sS @IP

Autres options de scan à l'aide de flags TCP (pour essayer de passer un éventuel pare-feu) : -sF, -sX, -sN
Scan de port UDP

root@pct#/usr/bin/nmap -Su @IP

Scan d'un port (dans l'exemple le port 80)

root@pct#/usr/bin/nmap -p 80 @IP

Scan d'un réseau (dans l'exemple le réseau 192.168.100.0/24)

root@pct#/usr/bin/nmap 192.168.100.0/24

Découverte de machine
root@pct# nmap -sP 192.168.1.0/24

Découverte du système d'exploitation d'une machine

root@pct#/usr/bin/nmap -O @IP

Autres options

-n : désactive la résolution de nom
-v : voir -vv mode bavard
-6 : scan d'adresse IPv6
-o fichier : enregistre le résultat dans un fichier

Table de correspondance - masque de sous réseau

Voici la correspondance entre les différentes notations des sous réseaux principalement utilisés et le nombre de machine adressable par sous-réseau.

Notation CIDR	masque	nombre d'hôtes	binaire
/30	255.255.255.252	2	11111111.11111111.11111111.11111100
/29	255.255.255.248	6	11111111.11111111.11111111.11111000
/28	255.255.255.240	14	11111111.11111111.11111111.11110000
/27	255.255.255.224	30	11111111.11111111.11111111.11100000
/26	255.255.255.192	62	11111111.11111111.11111111.11000000
/25	255.255.255.128	126	11111111.11111111.11111111.10000000
/24	255.255.255.0	254	11111111.11111111.11111111.0000000
/23	255.255.254.0	510	11111111.11111111.11111110.00000000
/22	255.255.252.0	1022	11111111.11111111.11111100.00000000
/21	255.255.248.0	2046	11111111.11111111.11111000.00000000
/20	255.255.240.0	4094	11111111.11111111.11110000.00000000
/16	255.255.0.0	65534	11111111.11111111.00000000.00000000
/8	255.0.0.0	16777214	11111111.0000000.00000000.00000000