gpm (gerenciador de mouse para terminal)
sysv-rc-conf (interface para facilitar o gerenciamento da inicialização dos programas no sistema)
splitvt (divide terminal)
tcpdump (packet analyzer)

…

deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib

deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main contrib

deb ftp://ftp.debian.org/debian/ lenny main contrib non-free
deb-src ftp://ftp.debian.org/debian/ lenny main contrib non-free

deb http://ftp.br.debian.org/debian stable main
deb-src http://ftp.br.debian.org/debian stable main

—— script2.sh ———

#!/bin/bash
#################################################################
#Script que povoa o banco de dados usando o arquivo dhcpeditado #
#################################################################

#escolho o delimitador
IFS=” “

echo “Escreva o nome da base de dados “
read database

echo “Escreva o nome da tabela “
read tabela

echo “Escreva o nome do usuário da base de dados “
read user

#no nosso caso, nossa tabela era formada por 3 colunas :
# host mac ip
#então, para cada linha do arquivo dhcpeditado, jogamos em sua respectiva coluna do banco de dados
while read host mac ip
do
echo “HOST = $host “
echo “MAC  = $mac  “
echo “IP   = $ip   “
#envio para o banco de dados com o parâmetro -e “comando” “base de dados”
mysql -u $user -e “insert into $tabela values(‘$host’,'$mac’,'$ip’)” -f $database

#essas linhas usamos para automatizar as configurações do mac filter
#echo “#$host” >> plus_arp.conf
#echo “arp -S $mac $ip” >> plus_arp.conf
#echo “#$host” >> plus_ipfw.conf
#echo “ipfw add allow from $ip to any” >> plus_ipfw.conf
#echo “ipfw add allow from any to $ip” >> plus_ipfw.conf
done < dhcpeditado

—— script2.sh ———

Para o shell “conversar” com o mysql, usamos o comando:
mysql -u <usuario> -p<senha> -e “<comando>” -f <base_de_dados>

Onde por segurança, para não deixar a senha visível no histórico do shell ou em processos, pode-se editar o my.cnf e lá delimitar a senha, assim pode-se emitir o campo da senha no comando acima.
O -f é útil caso o comando encontre algum problema do tipo, dado já existente na tabela, que faria com que o comando parasse. Com o -f, ele irá ignorar o problema e continuar com o comando.

——— script.sh ———
#!/bin/sh
# 1-rodo o arquivo e em sua saída
cat dhcpd.conf |
# 2-para todas as saídas que não começam com # (ou seja,as linhas que não são comentários)
grep -v ^# |
# 3-nas linhas que tem host, ethernet e fixed-address mando imprimir com um espaço entre eles e nas linhas com fixed-address coloco uma quebra de linha
awk ‘/host/ {printf $2 ” “} /ethernet/ {printf $3 ” “} /fixed-address/ {print $2} ‘ |
# 4-retiro os ; nos finais de linha
sed ‘s/;//g’  |
# 5-retiro as linhas em branco
awk ‘NF>0′ >> dhcpeditado

——— script.sh ———

O grep -v irá inverter o resultado das ocorrências. O ^# indica todas as linhas que começam com “#”.
grep -v ^#

O awk irá pegar as linhas onde existem a <ocorrência> e imprimir a coluna X. Onde o delimitador padrão de cada coluna (nesse caso) é o espaço.
awk ‘/<ocorrência>/ {print $X}’

O sed irá trocar as ocorrências do que eu quero por o que eu quero trocar (nesse caso eu quero trocar por nada).
O /g no final serve para trocar todas as ocorrências das linhas. Se eu não o colocasse, ele iria trocar somente a primeira ocorrência de cada linha.
sed ‘s/<o_que_eu_quero_trocar>/<por_o_que>/g’

Adicionar a seguinte linha ao arquivo : /etc/sysctl.conf

net.inet.ip.fw.verbose=1

E nas regras que deseja “debuggar” adicionar um log como em:
ipfw add allow log … … …

Os logs serão gravados em /var/log/security

A solução era simples, tivemos apenas que definir uma rota de saída dos pacotes com destino à interface tunX pelo ip 10.8.0.X. Praticamente a mesma solução para permitir a conexão com sites seguros.
A parte do pf
Balanceamento de links
adicionar a linha
pass in quick on $int_if route-to ($int_vpn $ip_vpn) from $lan_net to $rede_cli keep state
por exemplo
pass in quick on $int_if route-to (tun0 10.8.0.1) from $lan_net to 192.168.100.0/24 keep state

Para instalar o openvpn:
#cd /usr/ports/security/openvpn
#make install clean

Instalado, agora vamos configurá-lo. Um bom meio é através dos exemplos:
#mkdir -p /usr/local/etc/openvpn
#cp -R /usr/local/share/doc/openvpn/ /usr/local/etc/openvpn/
#cd /usr/local/share/doc/openvpn/sample-config-files/
#cp server.conf /usr/local/etc/openvpn (!!!!!para configurações do servidor!!!!)
#cp client.conf /usr/local/etc/openvpn (!!!!!para configurações do cliente!!!!!)
Edite os arquivos acima. Lendo fica tranquilo de configurar os parâmetros.

—–essa parte é só no servidor——-
Agora vamos criar as chaves
#cd /usr/local/etc/openvpn/easy-rsa
Editar o arquivo vars para facilitar ,visto que vários parâmetros contidos nele serão usados diversas vezes.
Existem vários lugares comentando para realizar os procedimentos seguintes usando sh (aparentemente por incopatibilidade com os shells padrões do sistema tcsh,bash)

#sh
#vim vars
export KEY_COUNTRY=
export KEY_PROVINCE=
export KEY_CITY=
export KEY_ORG=”"
export KEY_EMAIL=”"

Pelo exemplo do share doc fica fácil de entender.
Agora vamos criar as chaves:
#./vars
#./clean-all
#./build-ca
#./build-key-server (por exemplo: ./build-key-server chave_servidor)
#./build-key (por exemplo> ./build-key chave_filial)
#./build-dh
#^D (ou crtl+d)

Agora é só subir o openvpn
/usr/local/etc/rc.d/openvpn start
——parte do cliente———–
No cliente, é só copiar as chaves para cliente geradas (tipo a chave_filial), e os certificados ca.crt e chave_filial.crt.

Instalar o ndiswrapper e baixar o driver para a placa
#aptitude install ndiswrapper-utils-1.9
#wget http://ftp.us.dell.com/network/R140747.EXE

Descompacto o driver já o instalo pelo seu inf através do ndiswrapper
#cd /tmp
#unzip <caminho_até_arquivo>/R140747.exe
#ndiswrapper -i /tmp/DRIVER/bcmwl5.inf
#ndiswrapper -l        (só para ver se está em ordem)
bcmwl5 : driver installed
device (14E4:4328) present (alternate driver: ssb)
#ndiswrapper -m
# modprobe ndiswrapper

Se não funcionar (no debian lenny, não subiu o módulo, quando instalado pelo apt),
então será necessário instalar o módulo pelo módule assistant:
#aptitude install module-assistant

Agora, instalar o ndiswrapper
#m-a
-> SELECT
-> NDISWRAPPER
-> INSTALL
Agora, tentar levantar o módulo novamente
# modprobe ndiswrapper

# iwconfig
lo        no wireless extensions.
eth0      no wireless extensions.

wlan0     IEEE 802.11g  ESSID:any
…..
……
….

Agora, para conectar à uma rede que não tenha criptografia:
#iwlist scan
Procure pela essid da rede que você quer se conectar. Para facilitar, pode-se dar um:
#iwlist <interface> scan | grep -i essid
Agora vamos conectar à ssid escolhida
#iwconfig <interface> essid <nome_encontrado> mode Managed
Caso tenha conectado e não tenha recebido um ip automaticamente:
#dhclient <interface>
ou se quiser colocar o ip na mão, o velho ifconfig:
# ifconfig <interface> <endereço>
# ip route add default [via|gw] <endereço_do_gateway>
# echo nameserver <endereço_dns> >> /etc/resolv.conf

obs: para conectar em redes com wep:
#iwlist <interface> scan | grep -i essid key <chave>

Estaria tudo pronto se não fosse um pequeno problema que aconteceu quando rebootei a máquina: não consegui mais fazer com que a interface fosse reconhecida pelo sistema, ou seja, após rebootar, o iwconfig não encontrava a interface. Para resolver o problema passei por pequenos bugs:
1- Lendo os fóruns, pessoal comenta de retirar o módulo ssb. Então coloquei ele na /etc/modprobe.d/blacklist. Porém, mesmo assim ele subia com o sistema.
Então, resolvi removê-lo através do rmmod. Só que depois, ao dar um lsmod, ele ainda estava lá. Só consegui removê-lo (em tempo de execução) usando o modprobe -r ssb. Não corri atrás para tentar descobrir o motivo.

2- Eu tinha colocado o ndiswrapper para subir com o sistema no /etc/modules. Só que mesmo assim, também não funcionava a placa de rede. Para fazê-lo funcionar, lendo em fóruns e listas, pessoal falava que tem que remover o módulo e adicioná-lo novamente oO. Não entendi o motivo, mas funcionou. Ah, para removê-lo, novamente, usei o modprobe -r.

Então, para que o sistema subisse com a placa pronta para conexão, e para evitar bugs, fiz tudo pelo /etc/rc.local mesmo.
Acrescentei as seguintes linhas nele:
modprobe -r ssb
modprobe -r ndiswrapper
modprobe ndiswrapper

O problema que estávamos tentando resolver era relativo à sites seguros e/ou sites que davam problema com conexão estabelecida. Para resolver o problema, tentamos usar iptables, iproute2 e o pf. Com o iptables e o iproute2, vimos que eles balanceavam links ou serviços, não tratando os problemas de site seguro e/ou os de conexão estabelecida.
Os testes com o iptables e iproute2 foram :

http://www.dicas-l.com.br/dicas-l/20070327.php

http://lartc.org/howto/lartc.rpdb.multiple-links.html#AEN298

ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1
Com o pf, descobrimos o sticky-address. Funcionou para conexões estabelecidas, funcionou com donwloads e funcionou o balanceamento. O único problema, foi que para que isso fosse possível, tivemos que criar uma regra que liberasse as conexões apenas dos hosts que não estivessem nenhuma estabelecida.
A script faria mais ou menos o seguinte:

Através de #pfctl -sa | grep states vemos os hosts que estão com conexões estabelecidas. Temos que arranjar uma forma de dar um flush em conexões que estão estabelecidas ,mas ociosas. Nessas conexões, damos um #pfctl -K <host | network>. Assim, cada nova conexão teria um gw diferente, por mais que tivesse em sticky-address, não segurando um link ocioso. O único problema é que ainda não conseguimos deixar essa script funcional, apenas conseguimos deduzir uma lógica.

Como último recurso, apelamos para a tabela de rotas. Para sites seguros e aqueles sites de conexão estabelecida, definimos uma rota de saída; assim, para esses sites, o link sempre será o mesmo.
Criamos um pf.conf com round-robin normalmente (nesse caso, nem precisa do sticky-address).
Poderia ser algo do tipo:

lan_net = “<rede_interna>”
int_if  = “<nic1>”
ext_if2 = “<nic2>”
ext_if1 = “<nic3>”
ext_gw1 = “<end_gw1>”
ext_gw2 = “<end_gw2>”
sites_seguros= “{ <end_sites> }”

# nat
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
#permite tráfego da rede nateada
pass out on $int_if from any to $lan_net
pass in quick on $int_if from $lan_net to $int_if
#Rota estática para sites_seguros
pass in quick on $int_if route-to ($ext_if1 $ext_gw1) proto tcp from $lan_net to $sites_seguros flags S/SA modulate state label banco

#faz balanceamento de carga no trafego da rede interna.
pass in on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto tcp from $lan_net to any keep state

#balanceamento de carga em pacotes udp e icmp vindos da rede interna
pass in on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto { udp, icmp } from $lan_net to any keep state

#  regras gerais “pass out” para as interfaces externas
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

#  roteia pacotes de qualquer IP na $ext_if0 para $ext_gw0, $ext_if1 para $ext_gw1 e
#  $ext_if2 e $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any

Pronto, até o momento, não encontramos em lugar algum solução melhor para o caso.

Configuração endereço da interface
Linux e BSD
#ifconfig <interface> <endereço>

Configuração de rotas
Linux
#ip route add default via <endereço_gw> ou
#route add default gw <endereço_gw>     ou
BSD
#route add default <endereço_gw>

Exibir rotas
Linux
#ip route
#route -n
BSD
#netstat -rn

Exibir regras nat
Linux
#iptables -t nat -L
BSD
#pfctl -sn

Nat (iptables)
echo “1″ > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A POSTROUTING -s <source_end> -j SNAT –to <ext_if>

às vezes a regra acima não funciona, com um parâmetro a mais (-o <interface>) pode ser que resolva

#iptables -t nat -A POSTROUTING -s <source_end> -o <interface> -j SNAT –to <ext_if>

Receber configurações automáticas pelo servidor dhcp
#dhclient <interface>

Parar resolver o problema, atamos o mac ao nome da interface (eth0, eth1 ,…,ethx).Criamos uma regra em /etc/udev/rules.d/. O nome do arquivo deve ter .rules como “extensão”; além disso, no diretório rules.d,  as regras serão lidas pelo sistema na ordem alfabética.
O conteúdo da regra é a seguinte:
SUBSYSTEM==”net”,SYSFS{address}==”<NUMERO_MAC>”,NAME=”ethX”

Para cada interface, pode-se atar um nome.Como exemplo, podemos ter uma regra /etc/udev/rules.d/99-mac.rules

SUBSYSTEM==”net”,SYSFS{address}==”00:aa:bb:cc:dd:ee”,NAME=”eth0″
SUBSYSTEM==”net”,SYSFS{address}==”11:22:33:44:55:66″,NAME=”eth1″
SUBSYSTEM==”net”,SYSFS{address}==”00:11:22:33:44:55″,NAME=”eth2″

Alguns comandos úteis para verificação do link:
#mii-tool
#ethtool <ethx>

Quando uma nova placa é inserida, pode acontecer de as interfaces receberem nomes como eth?_rename e nem editando o arquivo /etc/modules.conf elas recebem o alias desejado. Para resolver o problema, edite a regra /etc/udev/rules.d/70-persistent-net.rules
O último parâmetro corresponde ao alias da interface