Przekierwanie wszystkich maili na inne konto

Zmigrowałem kilka domen do GoogleApps'ów. Pojawiła się potrzeba wysłania wszystkich wiadomości z serwera na konto Googlowe. Pomocny okazał się mutt.

Otwieramy interesującą nas skrzynke:

mutt -f path/to/mailbox

Zaznaczamy wszystkie wiadomości tagując je przez wciśnięcie "T" oraz wpisując szablon zaznaczenia ".*". Następnie wciskamy średnik ";" mówiąc mutt'owi że następna akcja będzie dotyczyć zaznaczonych maili. Finalnie wciskamy "b" i wpisujemy adres email na jaki mają zostać wysłane wiadomości.

Rekord SPF dla domen utrzymywanych w GoogleApps

Google w swojej pomocy nie pisze dokładnie jak ma on wyglądać. Moja propozycja dla tych co nie do końca znają temat to:

nazwa.domeny. IN TXT "v=spf1 a mx ~all"

Wpis ten mówi że tylko serwer spod rekordu A tej domeny, oraz wszystkie serwery wypisane jako rekordy MX mogą wysyłać maila z naszej domeny.

EDIT
A jednak Help Google zawiera dobrą propozycje rekordu SPF. Powyższe niestety nie dokładnie precyzuje wszystkie serwery z których może wychodzić poczta dla danej domeny. Powyższe rozwiązanie powodowało na przykład to że maile wysłane z danej domeny na konta wp.pl lądowały w Spamie.
Propozycja Gogole to:

v=spf1 include:_spf.google.com ~all

Ja jednak ze względu na to że strona danej domeny jest poza serwerami Google, i zawiera mechanizmy wysyłające maile dodaje "a" do opisu rekordu SPF.

v=spf1 a include:_spf.google.com ~all

Teraz powinno być OK :)

Jak się dostać do menu GRUB w Ubuntu >= 9.10 ?

Dla nowych instalacji Ubuntu 9.10, 10.04 w góre domyślnym boot loaderem stał się GRUBv2. Zmianie uległa domyślna akcja GRUB'a który do niedawna przy każdym starcie wyświetlał liste w możliwymi opcjami zbootowania maszyny.

Od teraz GRUB od razu startuje domyślny config. Do listy dostaniemy sie przytrzymując SHIFT podczas procesu logowania.

Monitorowanie ilości maili w mailq

Pojawiła się potrzeba monitorowania mailq. Powstał na tą potrzebe taki oto skrypt:

#!/bin/bash
/usr/bin/mailq | /usr/bin/awk '/Requests?\./ { print $5 } /Mail queue is empty/ { print 0 }'

nastepnie dodajemy flage executable (chmod +x) i wstawiamy do snmpd.conf:

exec "messages in mailq" /usr/local/bin/mailq-count

Teraz już można podpinać pod cacti lub nagios'a

.procmailrc

Problem na dziś: nie działają/nie są interpretownane pliki .procmailrc na jednym z serwerów którymi się zajmuje.

Przyczyną było wyznaczenie celu dostarczanej wiadomości, poprzez użycie $DEFAULT jako celu, zaraz na początku globalnego pliku procmailrc.

Ubuntu 8.04 .LTS .. już tuż tuż

iptables v1.4.0

22 grudnia pojawiła się nowa wersja iptables. Dla nie zaznajomych w temacie:

iptables is built on top of netfilter, the packet alteration framework for Linux 2.4.x and 2.6.x. It is a major rewrite of its predecessor ipchains, and is used to control packet filtering, Network Address Translation (masquerading, portforwarding, transparent proxying), and special effects such as packet mangling.

Changes from 1.4.0rc1:

- Don't use dlfcn.h if NO_SHARED_LIBS is defined
 [ Mike Frysinger ]

- Fix showing help text for matches/targets with revision as user
 [ Patrick McHardy ]

- Print warnings to stderr
 [ Max Kellermann ]

- Fix sscanf type errors
 [ Patrick McHardy ]

- Always print mask in iptables-save
 [ Jan Engelhardt ]

- Don't silenty exit on failure to open /proc/net/{ip,ip6}_tables_names
 [ Victor Stinner ]

- Adds --table to iptables-restore
 [ Peter Warasin ]

- Make DO_MULTI=1 work for ip6tables* binaries
 [ Hann-huei Chiou ]

- Add ip6tables-{save,restore} to non-experimental target, fix strict aliasing
warnings
 [ Patrick McHardy ]

- Introducing libxt_*.man files. Sorted matches and modules
 [ Laszlo Attila Toth ]

- Install ip6tables-{save,restore} manpages
 [ Patrick McHardy ]

- Performance optimization in sorting chain during pull-out
 [ Jesper Dangaard Brouer ]

- Fix sockfd use accounting for kernels without autoloading
 [ Patrick McHardy ]

- use 
 [ Jan Engelhardt ]

- Fix make/compile error for iptables-1.4.0rc1
 [ Jesper Dangaard Brouer ]

- Fix for --random option in DNAT and REDIRECT
 [ Tom Eastep ]

- Document xt_statistic
 [ Stefano Sabatini ]

- sctp: fix - mistake to pass a pointer where array is required
 [ Li Zefan ]

- Fix connlimit output for inverted --connlimit-above: ! > is <=, not <
 [ Patrick McHardy ]

- Add NFLOG manpage
 [ Patrick McHardy ]

- Move libipt_DSCP.man to libxt_DSCP.man for ip6tables.8
 [ Yasuyuki Kozakai ]

- Unifies libip[6]t_CONNSECMARK.man to libxt_CONNSECMARK.man
 [ Yasuyuki Kozakai ]

- Moves libipt_CLASSYFY.man to libxt_CLASSYFY.man for ip6tables.8
 [ Yasuyuki Kozakai ]

- fix check_inverse() call
 [ Jan Engelhardt ]

- Bump version to 1.4.0 final
 [ Pablo Neira Ayuso ]

Ubuntu 7.10 JeOS

No i jest ... Ubuntu 7.10 JeOS :)
Waży tylko 151 MB i jest do pobrania spod http://cdimage.ubuntu.com/jeos/releases/gutsy/release/

OpenWrt Kamikaze 7.09

Pojawiłą się nowa wersja jedynego wg mnie słusznego firmware'u dla sporej grupy urządzeń nie tylko bezprzewodowych.

zmiany w stosunku do 7.07:

- Fix a crash at boot time on atheros-2.6
- Documentation updates
- UCI updates - uncommitted changes are now active on config reads
- PPP fixes
- Firewall fixes for dynamic interfaces
- Config enhancements for dnsmasq
- Timing fixes for BCM947xx (fixes flash access problems on some models)
- Fix for BCM947xx and Atheros cards on Linux 2.4
- Prevent interfaces from accidentally being started twice at boot time
- Fix QoS for dynamically assigned interfaces
- Fix IMQ errors when ip6tables is installed (Linux 2.4)

Full Circle issue 5 - Ubuntu Community Magazine

Pojawił się 5-ty numer magazynu wydawanego przez społeczność Ubuntu a w nim:

* Fluxbuntu - Step-by-step Install
* How-To : Report Bugs with LaunchPad, CoLoCo Edubuntu Presentation, >From VMware to VirtualBox and Learning Scribus Pt.5.
* Review of Bridge Construction Kit.
* Preview of Gusty Gibbon
* Letters, Q&A, My Desktop, My PC, Top 5, the new My Opinion column, and more!

http://www.fullcirclemagazine.org/issue-5/

tips & tricks: ram disc w OpenWRT

Instalując coraz to nowe aplikacje na naszej maszynie wcześniej czy później dochodzi do momentu w którym brakuje nam miejsca. Można pokusić się o SD/MMC mod'a ... można też skorzystać z ram disc'u tworzonego podczas startu systemu :D
Jak z niego korzystać? Bajecznie prosta sprawa! Wystarczy edytować plik /etc/profile i dodać do niego dwie poniższe linijki:

export PATH=$PATH:/tmp/bin:/tmp/sbin:/tmp/usr/bin:/tmp/usr/sbin
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/tmp/lib:/tmp/usr/lib

a następnie zrestartować urządzenie lub wykonać:

. /etc/profile

i to już koniec konfiguracji!
W tym momencie załóżmy że mamy chwilową potrzebę skorzystania z tcpdump'a:

ipkg -d ram install tcpdump

zainstalowane w ten sposób oprogramowanie nie przeżyje restartu .. ale o to nam w tym momencie chodziło!
Jeśli chcemy aby tcpdump na stałe zagościł na nowej partycji musimy dorobić tylko skrypt startowy który za każdym razem po starcie będzie pobierał i instalował tcpdump'a .. wykonujemy kolejno:

cat > /etc/init.d/S90local
#!/bin/sh
ipkg update
ipkg -d ram install tcpdump
Ctrl + D
chmod +x /etc/init.d/S90local

WRT54G SC/MMC hack/mod

Tunning wykonałem krok po kroku za instrukcją umieszczoną w WRT54G Ultimate Hacking. I niby wszystko było ok .. system widział kartę .. dało się na niej coś zapisać .. jednak podczas instalowania na niej dodatkowych paczek z oprogramowanie router wieszał się po chwili. A to wszystko za sprawą złej kolejności ustawiania maski GPIO oraz ładowania modułu mmc.o.
Prawidłowa kolejność to najpierw maska, potem moduł. Mój skrypt startowy wygląda tak:

root@OpenWrt:# cat /etc/init.d/S20mmc
#!/bin/sh
echo "0x7e" > /proc/diag/gpiomask
insmod mmc gpio_sd_di_pin=2
mount /mnt/mmc

0x7e zamiast 0x9c które można znaleźć w innych HowTo ponieważ mod wykonałem na modelu WRT54GL v1.0 gdzie nie ma (nie znaleziono) miejsca z którego by można wyciągnąć GPIO 5, dlatego też zamiast niego użyłem GPIO 2, a następnie poinformowałem o tym moduł mmc.o przez podanie parametru gpio_sd_di_pin=2. Moduł do systemu plików ładuje za pomocą /etc/modules.d.

Kolejna sprawa która wyskoczyła w tak zwanym miedzy czasie to problem z zainstalowaniem tcpdump'a na zewnętrznej karcie. Wszystko za sprawą systemu plików FAT który uniemożliwia tworzenie symlinków, a takowe chce tworzyć niezbędna do uruchomienia tcpdump'a paczka zbiblioteką pcap. Problem można obejść tworzą kopie odpowiednich plików i nadając im odpowiednie nazwy, ale tracimy przez to niepotrzebnie miejsce.
Wyjście? Formatujemy kartę na ext2. W tym celu musimy zainstalować paczkę e2fsprogs którą znajdziemy w backportach dla wersji RC6 whiterussian. Następnie wykonać komendę:

mkfs.ext2 /dev/mmc/disc0/part1

zainstalować moduł kmod-ext2

ipkg install kmod-ext2

spowodować aby ładował się on przy każdym starcie

echo 'ext2' > /etc/modules.d/30-ext2

zmodyfikować plik /etc/fstab

echo '/dev/mmc/disc0/part1 /mnt/mmc ext2 defaults 0 0' > /etc/fstab

reboot i już :)

Ubuntu 7.04 Feisty Fawn

Pojawiła się nowa wersja dystrybucji Ubuntu 7.04 Feisty Fawn. Będzie ona supportowana do końca 2008 roku czyli 18 miesięcy.

Co nowego w wersji 7.04 desktop?
* zawiera Windows migration tool który potrafi importować zakładki z Internet Explorera, ulubione strony z Firefox'a, tapetę pulpitu, kontakty z AOL IM oraz Yahoo IM, i to wszystko podczas procesu instalacji. Może również importować konta wszystkich użytkowników z ich ustawieniami z Windows'a,
* usprawniona łączność bezprzewodowa za pomocą Avahi,
* uproszczona instalacja kodeków oraz dodatkowego oprogramowania,
* dwie nowe gry,
* nowe usprawnienia pulpitu (domyślnie wyłączone aby zadowolić użytkowników z starszymi komputerami).

Mnie jednak kręci tylko wersja Server Edition :)

Prosta, szybka autoryzacja IP <=> MAC

Sposób autoryzacji IP <=> MAC nie jest ciężki do obejścia, wręcz banalny ale w niektórych sytuacjach spokojnie wystarcza. Do niedawna rozwiązywałem to za pomocą pliku w którym trzymałem kombinacje IP, MAC i skryptu z pętlą for który zajmował kilka linijek. Dzisiaj postanowiłem uprościć wspomniany skrypt do jednej linijki. Oto ona:

awk '{ printf "iptables -A FORWARD -s " $1; if ( NF == 2 ) printf "-m mac --mac-source " $2; print "-j ACCEPT" }' /etc/lan_allow | bash

Dla przykładowego pliku lan_allow:

cat /etc/lan_allow
192.168.184.10 00:FF:80:31:20:EE
192.168.184.11
192.168.184.12
192.168.184.13 00:12:0B:F2:30:02
192.168.184.14 00:30:4F:11:09:0A
192.168.184.15

powyższa linijka wygeneruje:

iptables -A FORWARD -s 192.168.184.10 -m mac --mac-source 00:FF:80:31:20:EE -j ACCEPT
iptables -A FORWARD -s 192.168.184.11 -j ACCEPT
iptables -A FORWARD -s 192.168.184.12 -j ACCEPT
iptables -A FORWARD -s 192.168.184.13 -m mac --mac-source 00:12:0B:F2:30:02 -j ACCEPT
iptables -A FORWARD -s 192.168.184.14 -m mac --mac-source 00:30:4F:11:09:0A -j ACCEPT
iptables -A FORWARD -s 192.168.184.15 -j ACCEPT