Este fin de semana todo el mundo que es alguien, se lo cree, o aspira a serlo en este mundillo de “la blogocosa” está en Sevilla en el EBE08 Y muchos de los que no han podido ir están por ahí, lamentándose por ello por las esquinas de su twitter…

A mi, sin embargo, que queréis que os diga, me parece un completo desperdicio perder un fin de semana como este para ir a unas charlas que, perfectamente, podrían organizarse de forma que cualquiera pudiera seguirlas (e, incluso participar) desde su casa y sin desplazarse de su ciudad. O, al menos, posibilitar esta opción para quien así lo prefiera. Si yo, con cuatro euros de por medio, soy capaz de organizar de forma digna un evento con intervenciones en directo de ponentes desde Argentina, Nicaragua o Perú y retransmitirlas a través de live streaming ¿Cómo es que un evento con el presupuesto de EBE08 y que está dirigido precisamente a esto de la web interactiva no se preocupa por este tema?

Lo dicho, que de 2.0 nada de nada. 0,5 y va que arde.

El primero es evidente, creo. La foto de la cabecera para esta temporada es de un curioso arriate compuesto por botas militares reutilizadas para hacer las veces de macetas (o tiestos, que se dice en mi tierra), una función bastante más provechosa que la de servir de calzado a un descerebrado que sigue jugando a las batallitas después de haber cumplido los 20 años. Lo vimos en lo que parecía un espacio de actuaciones alternativo en Berlín y aquí tenéis otra toma:

El segundo es que, después de nuevos problemas con él, he decidido pasar de feedburner. No lo he desactivado y, por el momento, tampoco tengo intención de hacerlo, así que nadie debería de tener problemas por seguir usándolo, pero por si acaso que sepáis que los feeds de este blog ya no se redireccionan de forma automática al servicio de Google. Si quereís actualizarlo, por favor, hacedlo con este enlace.

Si fuese cristiano pensaría que Zaryn Dentzel es el anticristo y esa abominación suya que se llama tuenti el camino a la perdición de toda una generación de adolescentes que prefieren perder el tiempo con estas bobadas en lugar de atender a las clases… O eso hacían, antes de que instalara el proxy con squid, claro. ¿Necesitáis un filtro de contenido eficiente y barato que funcione con software libre? Pues acompañadme…

La máquina que hará de proxy debe de tener dos tarjetas de red. Le instalamos una Debian seleccionando como interfaz de red primaria la que irá conectada al router externo, en mi caso la eth0. La instalación ha de ser mínima (sólo sistema estandard) para que la máquina no tenga ningún servicio superfluo.

Al final, el diagrama de red que perseguimos es como este:

Después del primer arranque configuramos las tarjetas de red en /etc/network/interfaces. Las mías quedan de la siguiente forma:

allow-hotplug eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.252
gateway 192.168.1.1
network 192.168.1.0
broadcast 192.168.1.3

allow-hotplug eth1
iface eth1 inet static
address 192.168.100.1
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255

Instalamos ahora los paquetes correspondientes a los servicios que vamos a necesitar y que no vienen incorporados en la instalación por defecto: dhcp y squid:

sudo apt-get install dhcp squid

Usaremos el servicio dhcp para asignar direcciones en nuestra red interna. Para configurarlo debemos, primero, editar el fichero /etc/default/dhcp para especificar la interface que queremos que use el servicio (por defecto es eth0 y nosotros lo queremos en eth1). Para ello basta con completar la siguiente línea en dicho fichero:

INTERFACES="eth1"

Luego editamos el fichero /etc/dhcpd.conf y configuramos los datos correspondientes a la subred que vamos a administrar:

subnet 192.168.100.0 netmask 255.255.255.0 {
range 192.168.100.100 192.168.100.254;
option broadcast-address 192.168.100.255;
option routers 192.168.100.1;
option domain-name-servers 80.58.61.250 80.58.61.254;
}

Y ahora ya arrancamos el servicio de dhcp con /etc/init.d/dhcp start

Ya casi estamos. Ahora vamos a hacer unos cambios en el fichero de configuración de squid (/etc/squid/squid.conf). Primero localizamos la línea con el puerto de entrada de squid (por defecto http_port 3128) y añadimos el parámetro transparente. Debe de quedarnos algo así:

http_port 3128 transparent

A continuación de esto, y en el mismo fichero, añadimos las siguientes líneas:

acl lan src 192.168.1.2 192.168.100.0/24
http_access allow lan

Ahora sólo nos queda configurar la máquina como router y direccionar el tráfico web que recibe por el interfaz interno (eth1) al puerto 3128 que es el que usa squid. Esto lo hacemos gracias a IPtables (que vienen instaladas en Debian por defecto) y al script que os copio a continuación (que he tomado de las páginas de Unixcraft) y que debes de configurar para que se ejecute de forma automática en el arranque de la máquina:

#!/bin/sh
# squid server IP
SQUID_SERVER="192.168.1.2"
# Interface connected to Internet
INTERNET="eth0"
# Interface connected to LAN
LAN_IN="eth1"
# Squid port
SQUID_PORT="3128"
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# set this system as a router for Rest of LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
# if it is same system
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

Lo que nos queda ya es bien fácil: personalizar la página que muestra Squid cuando tratas de visitar una página restringida (esto es opcional, claro, pero conveniente) y configurar las reglas de páginas prohibidas y permitidas. Si tenéis problemas con el tema de las reglas u os resulta más cómodo contar con una interfaz web para la configuración de estas, webmin tiene un módulo para la configuración de squid.

Desde ayer hay disponible una nueva versión de la BIOS para el Acer Aspire One, la 3307a, y podéis descargarla desde aquí. Los cambios respecto a la anterior no son nada importantes pero resulta que yo, tan atento para actualizar otras cosas, no había estado pendiente de esto desde que lo compré, y entre la versión que traía el equipo de fábrica, la 3114, y la actual parece que si hay cambios importantes que mejoran, entre otras cosas, la escritura en disco y la duración de la batería.

Quien quiera actualizar el suyo puede seguir las instrucciones que dan en el blog de macles y que, básicamente, consisten en preparar una memoria USB “bootable” con el sistema FreeDos y la herramienta Unetbootin, volcar en ella los archivos de la nueva BIOS, una vez descomprimidos, y arrancar nuestro ACER con este medio. Una vez hecho esto ejecutamos el archivo .bat incluido junto con la actualización y, cuando finalice el proceso, reiniciamos el portátil.

ACTUALIZACIÓN IMPORTANTE: He tenido numerosos problemas de inconsistencias en el sistema de archivos de mi Acer y tengo la sospecha de que el problema viene provocado por la actualización a la versión 3307a de la BIOS. He retrocedido a la anterior 3305 (disponible a través del mismo enlace) y parece que aquí el problema no se reproduce. Que lo sepáis.

De Cádiz tenía que venir algo así…

Stand by me fue uno de los grandes éxitos de la carrera en solitario de Ben E. King una vez que abandono The Drifters, el grupo que le hizo famoso y, como muchos de los grandes temas de los años 60, ha sido versionado en innumerables ocasiones. En el cancionero de este mes os dejo la grabación original y tres de las versiones que más me gustan: la de John Lennon, la de Adriano Celentano y la muy particular de Silvio. No, no Silvio Rodríguez el cubano. Silvio Fernández Melgarejo, el de Sevilla

Para los cinéfagos, Stand by Me es también una película maravillosa cuyo título se tradujo en nuestro país como Cuenta conmigo y que está basada en The Body, una historia corta de Stephen King que alguna vez se ha supuesto como autobiográfica y que relata el viaje iniciático de un grupo de adolescentes.

La gente de Polonia son, para mi gusto, uno de los mejores grupos de humoristas del momento. Es una pena que no podamos disfrutrarlos en Televisión fuera de Cataluña y una suerte que exista Youtube y que tengan un canal propio allí al que es casi obligado estar suscrito.

Ah, si, lo de la Cumbre aquí :

Buenas noticias para los “early adopters” (o culos inquietos en el lenguaje de antaño): la beta 2 de wordpress 2.7 ya está disponible y, por fin, tiene el aspecto renovado que yo esperaba con la versión 2.5. Más vale tarde que nunca ¿no?

Tenéis un servidor accesible desde Internet por ssh y ¿le habéis echado alguna vez un vistazo al fichero de logs? Pues ya tardais en hacerlo. Si usas Debian está en el archvo /var/log/auth.log. Los ataques son constantes y, con facilidad, os encontraréis decenas de líneas como esta que provienen, como podeis imaginar, de ataques por fuerza bruta:

Failed password for invalid user anna from 118.219.232.208
Failed password for invalid user anne from 118.219.232.208
Failed password for invalid user anneliese from 118.219.232.208
Failed password for invalid user annemarie from 118.219.232.208
Failed password for invalid user annette from 118.219.232.208
Failed password for invalid user annike from 118.219.232.208
Failed password for invalid user antje from 118.219.232.208
Failed password for invalid user arianne from 118.219.232.208
Failed password for invalid user astrid from 118.219.232.208
Failed password for invalid user barbara from 118.219.232.208

La mejor forma de proteger tu servidor de estos ataques es deshabilitar los accesos a ssh a través de passwords y sólo permitir los autenticados mediante claves RSA y/o habilitar las IP’s válidas para realizar una conexión a través del fichero /etc/hosts.allow denegando todas las demás, pero esto no siempre es posible. A veces necesitamos permitir el acceso desde cualquier sitio a personal autorizado y no podemos usar ni una cosa ni la otra. Denyhosts es, en estos casos, una gran ayuda.

Se trata, básicamente, de un script escrito en python que analiza tus ficheros de log del servidor ssh, detecta los ataques al mismo e incluye las direcciones IP de las que provienen los mismos en el fichero /etc/hosts.deny para bloquearlas. Además, si habilitamos esta característica, permite sincronizar los datos recogidos por nuestra máquina con los de todos los usuarios que están usando este producto de forma que las IP’s desde las que se lanzan ataques a otros servidores son bloqueadas de forma automática cuando tratan de acceder a nuestro servidor, y viceversa.

Instalarlo en Debian es tan fácil como ejecutar un apt-get install denyhosts con privilegios de root. El paquete debian instala Denyhosts como un daemon (existen otras opciones como ejecutarlo manualmente o de forma periódica a través de cron). Después del primer arranque, que se ejecuta de forma automática, Denyhosts rastreará nuestro fichero de log más reciente y ya incluirá las primeras direcciones atacantes en el fichero hosts.deny:

sshd: 201.6.117.169
sshd: 216.77.98.235
sshd: 59.188.7.108
sshd: 200.161.135.135
sshd: 88.208.203.130
sshd: 58.241.40.66

El fichero de log de Denyhosts está en el fichero /var/log/denyhosts y en él podemos ver como va recogiendo las direcciones peligrosas, tanto provenientes de este primer análisis como de su posterior funcionamiento en tiempo real:

2008-11-01 23:04 - denyhosts : INFO new denied hosts: ['201.6.117.169', '216.77.98.235', '59.188.7.108', '200.161.135.135', '88.208.203.130', '58.241.40.66']
...
2008-11-02 01:57 - denyhosts : INFO new denied hosts: ['200.111.154.196']
2008-11-02 05:15 - denyhosts : INFO new denied hosts: ['122.200.102.6']
2008-11-02 05:51 - denyhosts : INFO new denied hosts: ['66.80.59.131']

La sincronización con otros usuarios no está habilitada inicialmente en el paquete que nos distribuye Debian. Para activarla basta con editar el fichero de configuración (/etc/denyhosts.conf) y descomentar las siguientes líneas que habilitan la configuración por defecto:


SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
SYNC_INTERVAL = 1h
SYNC_UPLOAD = yes
SYNC_DOWNLOAD = yes
SYNC_DOWNLOAD_THRESHOLD = 3
SYNC_DOWNLOAD_RESILIENCY = 5h

Ahora reiniciamos el daemon (/etc/init.d/denyhosts restart) para que lea la nueva configuración y, al cabo de una hora como le hemos indicado, podremos ver la primera sincronización de datos:

2008-11-02 12:53 - denyhosts : INFO received new hosts: ['65.254.53.75', '83.19.41.182', '69.25.47.134', '86.219.230.217', '211.73.25.85', '201.6.252.150', '222.68.193.131', '62.213.23.138', '220.225.237.150', '75.125.196.226', '150.46.222.121', '61.150.114.76', '86.1.114.15', '75.127.83.114', '218.211.38.66', '60.164.220.15', '200.6.102.30', '66.104.77.34', '66.231.237.116', '61.184.142.98', '219.128.143.133', '88.198.158.42', '148.243.212.136', '85.17.169.129', '125.21.50.228', '210.205.217.77', '122.116.38.188', '200.253.218.210', '212.43.80.163', '83.98.220.52', '200.27.109.99', '201.6.126.232', '202.62.0.150', '122.224.108.216', '195.133.227.107', '219.142.114.254', '216.35.7.109', '196.217.243.13', '60.217.32.83', '211.22.147.18', '60.18.147.36', '210.75.200.9', 202.179.252.102', '125.88.102.23', '80.13.215.199', '61.100.180.19', '66.175.118.55', '208.43.145.242', '75.101.243.23', '193.137.226.2']

Las estadísticas de atacados y atacantes recogidas por el programa y sincronizadas mediante este servicio son públicas y pueden verse en esta página.

Si quieres alternativas, en El rincón de Tolito nos hablan de otros dos scripts similares: Blocksshd y Fail2ban.

Si quieres insertar bloques de anuncios entre las entradas o comentarios de tu blog no tienes más remedio que “mojarte” un poco y enredar con el código PHP con el que está escrito el tema que estés usando. Existen plugins que facilitan un poco la tarea, como MoreMoney u otros más centrados en Adsense, pero no son tan flexibles como una intervención manual y la cosa tampoco es tan difícil si andamos con un poco de cuidado. Os explico.

El código del tema que muestra los comentarios suele estar en un php aparte llamado comments.php. Para insertar un objeto (publicidad o lo que sea) entre los comentarios de tu blog sólo debes de buscar el siguiente bucle (destacado en negrita):

<?php foreach ($comments as $comment) : ?>
/*... */
/* Código de nuestro tema que visualiza los comentarios */
/*... */
<?php endforeach; ?>

Si, por ejemplo, quisíeramos insertar un bloque de publicidad cada 10 comentarios haríamos las siguientes modificaciones (en negrita):

<?php $commentnum = 1; ?>
<?php foreach ($comments as $comment) : ?>
/*... */
/* Código de nuestro tema que visualiza los comentarios */
/*... */
<?php if ($commentnum == 10) { echo '<p align="center">Publicidad<br />
/*... */
/* Código que muestra nuestra publicidad */
/*... */
</p><br />'; $commentnum=0; } ?><?php $commentnum++; ?>
<?php endforeach; ?>

Si lo que queremos es hacer la inserción en un determinado punto de nuestra página principal (o en las páginas de búsquedas, archivos, etc.) buscaremos el siguiente bucle en el archivo adecuado (home.php, search.php o archive.php):

<?php if (have_posts()) : while (have_posts()) : the_post(); ?>
/*... */
/* Código que visualiza las entradas del blog */
/*... */
<?php endwhile; else: ?>
/*... */
/* Código para cuando no hay entradas a visualizar */
/*... */
<?php endif; ?>

Y haremos las siguientes modificaciones:

<?php $postnum = 1; ?>
<?php if (have_posts()) : while (have_posts()) : the_post(); ?>
/*... */
/* Código que visualiza las entradas del blog */
/*... */
<?php if ($postnum == 2) { echo '<p align="center">Publicidad<br />
/*... */
/* Código que muestra nuestra publicidad */
/*... */
</p><br />'; } ?><?php $postnum++; ?>
<?php endwhile; else: ?>
/*... */
/* Código para cuando no hay entradas a visualizar */
/*... */
<?php endif; ?>

Esto nos mostraría un bloque de publicidad entre la segunda y la tercera entrada de nuestro blog.