Vai al contenuto

Se avete l'esigenza di esporre un servizio web di casa vostra e volete farlo in maniera sicura gestendo voi direttamente il tutto per avere il massimo controllo una soluzione è il reverse proxy con autenticazione.

Per fare un esempio potreste voler pubblicare in internet una ip cam di sorveglianza che guarda l'esterno di casa. Il modo più facile è di impostare una regola sul vostro router per aprire la porta della videocamera ma questo presenta almeno un paio di problematiche che portano a sconsigliarlo. La più ovvia è che la videocamera potrebbe non avere l'impostazione per proteggerla con password e non è bello che chiunque possa guardare fuori da casa vostra. Una seconda considerazione è sul grado di sicurezza della vostra ip cam: potrebbe avere dei bug che permettono ad un malintenzionato di prenderne il controllo o, anche se non ne avesse, in futuro potrebbero saltarne fuori e il produttore quasi certamente non pubblicherà un aggiornamento per tappare la falla.

La soluzione reverse proxy con autenticazione è indubbiamente più complessa ma permette di avere il pieno controllo della parte che si pubblica in internet e di poter quindi tenere aggiornati tutti i componenti alle ultime versioni: un sistema correttamente configurato e mantenuto aggiornato è una buona garanzia di sicurezza.

Cosa serve per realizzarlo? Prima indico un breve elenco di oggetti che servono e poi qualche dettaglio sulle configurazioni.

Elenco:

  • Un ip pubblico (niente NAT/Carrier Grade NAT altrimenti non siete raggiungibili dall'esterno)
  • Un router che possa tenere aggiornato un dns dinamico con il vostro ip (o un ip pubblico statico)
  • Un server sempre acceso da adibire a reverse proxy

Per accedere in maniera sicura bisogna esporre il servizio in HTTPS quindi usiamo Let's Encrypt per avere un certificato gratuito per il dns che abbiamo impostato nel nostro router.

Se utilizzare una Debian con Apache come web server allora dovete abilitare i vari moduli proxy e un idea di settaggi del reverse proxy potrebbe essere:

<VirtualHost *:443>
          SSLEngine on
          SSLCertificateFile /etc/letsencrypt/live/tuo.dominio.it/fullchain.pem
          SSLCertificateKeyFile /etc/letsencrypt/live/tuo.dominio.it/privkey.pem
          ServerAdmin tuaemail@example.it
          ServerName tuo.dominio.it
          ProxyPass / http://192.168.1.100/
          ProxyPassReverse / http://192.168.1.100/
          <Proxy *>
                    AuthType Basic
                    AuthName "Restricted Access"
                    AuthUserFile "/cartella/dove/metti/il/file/passwordapache"
                    Require user nomeutente
          </Proxy>
          </VirtualHost>
<VirtualHost *:80>
          ServerName tuo.dominio.it
          Redirect permanent / https://tuo.dominio.it/
</VirtualHost>

Come vedete ho messo un rediret permenent per HTTP (porta 80) in modo che se anche cerchi di accedere senza l'HTTPS vieni rediretto sul sito sicuro. Nella sezione sopra, quella HTTPS (porta 443), ho indicato le posizioni dei certificati, l'ip interno del web server da esporre (da notare che può essere anche solo HTTP ma verso l'esterno viene fatto transitare HTTPS), come AuthName non mettete nulla di personale perché è visibile a chiunque prima dell'autenticazione e poi c'è il file dove salverete utente e password.

Fatto in questo modo potete accedere da internet al vostro servizio web semplicemente con https://tuo.dominio.it/ vi apparirà la richiesta di nome utente e password e tutto quanto transiterà in maniera cifrata.

Durante un upgrade da Debian 8 a Debian 9 potrebbe capitarvi che il server non torni raggiungibile.

Se avete un accesso diretto (tastiera e monitor oppure una console di un server virtuale) usatelo e verificate che sia tutto a posto lato network.

Con un networkctl ottenete la lista delle interfacce di rete e poi verificate che nel file /etc/network/interfaces il nome sia lo stesso: se non lo fosse allora sistematelo e riavviate il network con un systemctl restart networking.service.

Già che ci siete verificate anche che il servizio di rete sia abilitato allo startup controllando cosa dice un systemctl status networking.service perché potrebbe essere disabled.

4

Se vi è capitato, come a me, che dopo l'aggiornamento del pacchetto LibreOffice vi spariscono le icone e rimangono solo le scritte descrittive dei pulsanti, sappiate che io ho risolto installando il pacchetto libreoffice-style-galaxy che è quello che contiene lo stile dei simboli di default.

sudo apt-get install libreoffice-style-galaxy

Non ho idea del perché quel pacchetto prima non ci fosse e non mi spiego come facesse a funzionare ma mi è parso logico installarlo visto che nella descrizione lo cita come di default e non era installato.

Per chi non lo sapesse LibreOffice è una suite di produttività libera, open source e multi piattaforma (Windows, Linux e Mac) che legge, crea e modifica praticamente tutti i formati più usati di fogli di testo e di calcolo (perdonatemi il breve riassunto: so che è molto di più).

2

Sto provando Memopal: un sistema di bakup online molto interessante.

Memopal

Si tratta di un applicazione che si occupa di tenere costantemente aggiornato un backup dei vostri dati.

Detta così sembra una cosa da poco; in realtà fa molto di più.

I dati li tiene costantemente aggiornati ma puoi sempre recuperare sia quello che hai cancellato (accidentalmente) che anche una versione precedente di un file che hai modificato.

Potrei produrmi in un esauriente elenco, scrivendo magari anche che non è un applicativo che va solo su Windows ma anche su Mac, GNU/Linux e può anche essere usato su alcuni smartphone, ma non mi dilungherò.

Il motivo per il quale ve lo segnalo che sono stati gli amici di DiRete a farmelo scoprire. se lo acquistate da loro avrete una marcia in più: vi forniranno aiuto per installarlo e settarlo al meglio e vi coccoleranno come sono soliti fare con i loro clienti 😉

4

Trasloco?Ho spostato la cartella HOME di Ubuntu sul mio EEEPC: in pratica ho cambiato casa 🙂

Visto l'evento ho scritto una mini guida: Spostare la cartella HOME di Ubuntu sull’EEEPC.

Se ve lo domandate è lecito: scrivo poco e le poche volte che lo faccio è pure su altri blog. Che ci volete fare, è un periodo che va così 😉

(Foto di Mackley su Flickr)

P.S. Ho fatto un po' di casino e questo post è finito pubblicato insieme all'altro su BrianzalandBlog: l'ho brutalmente cancellato di la e brillantemente ripubblicato di qua 😛

5

AsteriskNOWVi propongo una recensione negativa di AsteriskNOW: non me ne vogliano gli sviluppatori ma questa è la mia personale esperienza.

AsteriskNOW è un pacchetto completo basato su Asterisk e dotato di un interfaccia via web per i settaggi.

Si scarica l'immagine del cd che, una volta masterizzato, permette facilmente di installarlo su un computer facendo boot dal cd.

Fino a qui tutto bene, anzi, bene anche nei passaggi successivi che sono i settaggi per rendere operativo il centralino.

I problemi sorgono quando comincio a combinare porcherire con le impostazioni (è il mio hobby: toglietemi tutto ma non i miei smanettamenti) e il risultato è che inizia a non funzionare più come dovrebbe.

So di essere colpevole di maltrattamento di centralino VoIP ma non è un buon motivo per dover dare un voto positivo ad un prodotto: se l'interfaccia web di gestione fosse realmente ben fatta mi aspetterei che non mi permettesse di combinare disastri e, soprattutto, nel caso succedessero che mi permettesse di risolverli.

Ovviamente alla base c'è Asterisk e quindi potrei lavorare sui file di configurazione a mano ma che senso avrebbe aver optato per una facile interfaccia web se poi mi tocca lavorare a linea di comando?

Risultato? Ora vedrò di mettere a dura prova Elastix (che, per ora, mi ha già fatto arrabbiare) e poi, forse, vi dirò cosa ne è venuto fuori.

I miei ve li ho detti: voi che disastri combinate? 

16

EOLO di NGI è connettività di qualità portata con tecnologie senza fili (Hiperlan2) soprattutto nelle zone dove la banda larga è scarsa o assente.

Attualmente copre una fetta importante del nord Italia, principalmente la Lombardia, ma è in forte espansione e, in questa ottica, oggi sono andato a fare un tour alla ricerca di un buon posto per una BTS che copra bene la bassa Brianza.

Cosa ne dite di questo paesaggio (foto a 360 gradi)?

Panoramica a 360 gradi

Si tratta di un punto al confine tra Tregasio e Montesiro (Sud di Besana in Brianza) dove c'è un simpatico pilone con fungo bello colorato.

Le coordinte GPS sono Latitudine  45°41'4.69"N e Longitudine   9°17'13.05"

BTS con cartello Tregasio e retro con MontesiroQuesto è il fungo in questione, proprio al confine tra Tregasio e Montesiro come si vede dal cartello e dall'inserto che ho messo nella foto con il retro del cartello e sullo sfondo quello di Montesiro.

BTS Tregasio con casette alla baseE' già attualmente sede di antenne (telefonia) che sono attaccate sia in cima che appena sotto.

Anche in questa foto ho inserito un inserto con il particolare della cima con, ben in vista, antenne varie.

Alla base ci sono due casette.

Casette alla baseDue operatori telefonici ciascuno con la sua casetta? E' possibile visto che la quantità di pannelli installati è troppa per un solo operatore. Per quello che ne so io potrebbero anche essere più di due.

Porta di accesso al piloneFortunatamente alla base c'è una porticina che da accesso all'interno. Dentro presumo ci sia una scala per arrivare in cima: lo spero 🙂

Collinetta alla spalle da dove ho scattato la foto a 360 gradiLa foto panoramica a 360 gradi che vedete in cima l'ho scattata a pezzi posizionandomi sulla mini collinetta che c'è alle spalle del fungo e l'ho ricomposta con GIMP (lavorando con UBUNTU ovviamente). La collinetta si vede da questa foto ed è solo pochi metri più alta della base del fungo quindi il panorama non è quello che si vedrebbe dalla cima.

Già c'era un tizio che è rimasto da quelle parti per tutto il mio tour fotografico e chissà cosa avrà pensato, figuriamoci se mi fossi arrampicato in cima per fare la foto! In ogni caso non lo avrei fatto: non sono uno scassinatore ne, tanto meno, l'uomo ragno 😉

Ora veniamo al perché di tutto questo.

Il nord della Brianza è già discretamente coperto da ben 6 BTS più una in attivazione ma il sud è coperto male.

Una BTS in questa posizione coprirebbe bene delle piccole macchie che, nonostante le 6/7 BTS restano non coperte e, soprattutto, illuminerebbe bene tutta la bassa Brianza forte dei suoi 300 e rotti metri di altezza sul livello del mare.

Tutte queste foto le ho messe (a media risoluzione) in un set su Flickr. Tra le tante ne ho scattata una dove si legge, su un cartello sulla porta di una delle due casetta, un numero di telefono da contattare
 "per qualsiasi esigenza".

Forse lo sapete già ma sono da poco rivenditore EOLO quindi se vi servono soluzioni di connettività basate su EOLO o anche solo consulenza contattatemi 😉 

Saranno informazioni utili a NGI secondo voi?

P.S. nel caso qualsiasi pezzo di questo post o le foto servissero in NGI usatele liberamente in deroga alla mia usuale licenza di pubblicazione che non lo permetterebbe.

10

DD-WRTHo fatto un ponte radio WiFi e, siccome funziona bene, ho pensato di condividere i dettagli. Li trovate in questo post che ho scritto per DynamicK: Ponte radio WiFi per estendere la propria rete cablata.

Ovviamente non è andato tutto bene al primo colpo. Mi sono dimenticato di cambiare un IP su uno dei due router del ponte radio e vi lascio immaginare che casino è venuto fuori 🙂

Ho successivamente migliorato la ricezione con una coppia di parabole fatta in casa che ho visto su Napoli Wireless.

Il cuore di questo bel giocattolino è l'ottimo firmware DD-WRT.

Voi fate spesso ponti radio WiFi o più tipicamente fate i ponti con le festività per fare qualche gita? 

Ho appena letto questo articolo di Tommaso su una soluzione per rivoluzionare la TV sfruttando apparecchi Apple e poi ho letto questo articolo di Giorgio che avvisa di un interessante software che promette di trasformare un PC basato su Linux in un potente media center.

Io propendo per la soluzione Linux ma solo perché ho un fastidio quasi irrazionale nei confronti della mela 🙂

Ho letto qui che è stata annunciata la partenza della LiMo Foundation.

Quello che mi colpisce è la potenzialità insita in un progetto di questo tipo: dar modo a più persone possibili di contribuire alla creazione di una piattaforma comune sulla quale basare i cellulari significa trasferire tutti i benefici della comunità dei programmatori linux nei cellulari!

Il mio chiodo fisso è un cellulare robusto ma flessibile: non immaginatevi un mostro che si piega ma non si spezza eh? parlo di software robusto non dell'involucro!

Su questo cellulare ci deve girare un client VoIP che sia in grado di sfruttare la connessione internet più vantaggiosa. Non solo: appena arriva qualcosa di meglio (tipo WiMax prima e WiMax mobile dopo) deve riuscire a gestire anche le novità.

Secondo me questa fondazione aiuterà il mio sogno a realizzarsi!