Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 10:50:59 PM GMT+03:00, Adrian Sevcenco wrote: > >noi avem un /25 si un /26 , iesirea se face prin rutare statica in >switchul de edge (echipament propriu) >totul e o balta comuna (nu avem ip-based sau mac-based vlans) Asta ar fi primul lucru pe care eu l-as modifica. In primul si primul rind as separa traficul in vlanuri. Separarea domeniilor de coliziune nu se pune ca masura de securitate dar usureaza mult viata celor care se ocupa de partea de network administration. […] >trebuie sa fie o solutie ce sa se preteze si pentru ipv6 Fara sa pot acum sa ma uit sa vad ce stie exact HPul vostru si vorbind strict de problema initiala, m-as baza cred pe o solutie bricolata in jurul lui arpwatch care, cind vede o schimbare a MACului asociat unui IP - fie sa iti dea o alerta (chestie pe care o face implicit) si, ca admin, vezi tu ce si cum - fie sa interactioneze direct cu switchul (lde ex la o adica poti discuta cu el prin ssh cu ceva dialog scriptat in expect si pornind de la outputul lui "sh int mac dead.beaf") si tot ca exemplu sa dea shutdown portului unde a aparut "offender"ul. Ca alternativa sint sigur ca poti prelua prin SNMP MACurile si sa prelucrezi extern informatia dupa care tot prin SNMP sa comanzi portul afectat. Sau pur si simplu sa afli cine/ce/unde face modificari in adresarea IP Eu am niste modele (tot HP, seria 2600) mai chioare si am ales sa dau shutdown din port-security daca apare pe vreunul dintre porturile de interes un MAC necunoscut. Am avantajul ca pe acele porturi chiar imi pot permite sa dau shutdown pt ca, evident, in fct de ce e conectat acolo uneori nu poti... ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On Fri, Jul 20, 2018 at 10:52 PM Adrian Sevcenco wrote: > On 07/20/2018 09:14 PM, wo...@prolinux.ro wrote: > > > Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa > se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. > > Solutiile se discuta in fct de ce/cite echipamente au adrese publice, > cum sint interconectate samd > noi avem un /25 si un /26 , iesirea se face prin rutare statica in > switchul de edge (echipament propriu) > totul e o balta comuna (nu avem ip-based sau mac-based vlans) in care > circula si retelele private > sunt 19 folosite in /26 si 26 in /25 > trebuie sa fie o solutie ce sa se preteze si pentru ipv6 > > Multumesc! > Adrian > În calitate de trădător de cauză sfântă io zic c-ar fi mult mai înțelept să faci/faceți olecuță de ordine în haosul ăla. Pot înțelege că infrastructura a crescut "pe genunchi", dar cred că ai suficiente cunoștințe și de rețelistică și de altele pentru a înțelege la ce poate duce "haloimăs"-ul ăla pe termen mediu sau lung... Am și io doi cenți și vreau să-i beu, da' uite că-i arunc aciulea. -- Ave ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 09:14 PM, wo...@prolinux.ro wrote: On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco wrote: Detaliaza te rog ce inseamna "partea publica" din punctul tau de vedere https://en.wikipedia.org/wiki/IP_address#Public_address stiu chestiile astea de pe cind ipfwadm era THE tool. Intrebarea mea se referea la topologia specifica retelei tale. aaa... am inteles Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. Solutiile se discuta in fct de ce/cite echipamente au adrese publice, cum sint interconectate samd noi avem un /25 si un /26 , iesirea se face prin rutare statica in switchul de edge (echipament propriu) totul e o balta comuna (nu avem ip-based sau mac-based vlans) in care circula si retelele private sunt 19 folosite in /26 si 26 in /25 trebuie sa fie o solutie ce sa se preteze si pentru ipv6 Multumesc! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
IP-urile sunt reale sau imaginare. Unde erai cand te invatau asta la scoala?! 2018-07-20 22:20 GMT+03:00 Dumitru Mișu Moldovan : > wo...@prolinux.ro wrote: > > > On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco > > wrote: > > > > > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de > > >vedere > > >https://en.wikipedia.org/wiki/IP_address#Public_address > > > > > stiu chestiile astea de pe cind ipfwadm era THE tool. […] > > Ppfff… Ce amatori pe aici! Pun pariu că nu faceți diferența între un > IP real și unul fals. :-] > > Na, acuma știți și voi cum le zice de fapt! :-P > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > -- George-Cristian Bîrzan ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
wo...@prolinux.ro wrote: > On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco > wrote: > > > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de > >vedere > >https://en.wikipedia.org/wiki/IP_address#Public_address > > > stiu chestiile astea de pe cind ipfwadm era THE tool. […] Ppfff… Ce amatori pe aici! Pun pariu că nu faceți diferența între un IP real și unul fals. :-] Na, acuma știți și voi cum le zice de fapt! :-P pgp1UWkjbeCkH.pgp Description: Semnătură digitală OpenPGP ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco wrote: > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de >vedere >https://en.wikipedia.org/wiki/IP_address#Public_address > stiu chestiile astea de pe cind ipfwadm era THE tool. Intrebarea mea se referea la topologia specifica retelei tale. Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. Solutiile se discuta in fct de ce/cite echipamente au adrese publice, cum sint interconectate samd ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 04:15 PM, wo...@prolinux.ro wrote: On July 20, 2018 3:53:16 PM GMT+03:00, Adrian Sevcenco wrote: On 07/20/2018 03:40 PM, wo...@prolinux.ro wrote: solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu port switch cu mac nu avem cum sa facem .. dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? iptables stie match dupa MAC da, pentru ip urile private asa m-am gandit, cu un ipset de macuri permise fie dau drop+log la ce nu este in whitelist fie masqaradez doar daca e match pe whitelist eu am -j ACCEPT pt cine are voie urmat de LOGDROP pt orice altceva aha ok pentru partea publica ce ai face? (rutarea publica se face intr-un switch hp 5800) Detaliaza te rog ce inseamna "partea publica" din punctul tau de vedere https://en.wikipedia.org/wiki/IP_address#Public_address Multumesc frumos de sfaturi/idei/sugestii Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 3:53:16 PM GMT+03:00, Adrian Sevcenco wrote: >On 07/20/2018 03:40 PM, wo...@prolinux.ro wrote: >> > solutii ar fi pentru a permite access la net doar la mac-urile > inregistrate? pe cele 2 problematici : public si privat > > Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit >sa > fac > pe switchul de edge un acl cu un whitelist de mac-uri, whitelist >ce >>> il > updatez prin snmpv3 set din macurile inregistrate intr-un dhcp > > Pentru privat oarecum la fel, fac masqaradarea doar pentru un >ipset >>> de > mac-uri de asemeni luate din definitia din dhcp ... > > Exista si folositi solutii elegante si la cheie? Ce alte idei >aveti > legat de asta? > Mai elegant decit imperecherea port de switch --- MAC permis pe >port >>> si IP -- MAC ? Nu >>> port switch cu mac nu avem cum sa facem .. >>> dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? >>> >> iptables stie match dupa MAC >da, pentru ip urile private asa m-am gandit, cu un ipset de macuri >permise >fie dau drop+log la ce nu este in whitelist fie masqaradez doar daca e >match pe whitelist eu am -j ACCEPT pt cine are voie urmat de LOGDROP pt orice altceva > >pentru partea publica ce ai face? (rutarea publica se face intr-un >switch hp 5800) > Detaliaza te rog ce inseamna "partea publica" din punctul tau de vedere ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 03:40 PM, wo...@prolinux.ro wrote: solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu port switch cu mac nu avem cum sa facem .. dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? iptables stie match dupa MAC da, pentru ip urile private asa m-am gandit, cu un ipset de macuri permise fie dau drop+log la ce nu este in whitelist fie masqaradez doar daca e match pe whitelist pentru partea publica ce ai face? (rutarea publica se face intr-un switch hp 5800) Multumesc!! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
iptables -A FORWARD -s 192.168.1.111 -i eth1 -m mac --mac 00:80:C8:77:46:DC -j ACCEPT 2018-07-20 15:40 GMT+03:00 : > > >>> solutii ar fi pentru a permite access la net doar la mac-urile > >>> inregistrate? pe cele 2 problematici : public si privat > >>> > >>> Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa > >>> fac > >>> pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce > >il > >>> updatez prin snmpv3 set din macurile inregistrate intr-un dhcp > >>> > >>> Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset > >de > >>> mac-uri de asemeni luate din definitia din dhcp ... > >>> > >>> Exista si folositi solutii elegante si la cheie? Ce alte idei aveti > >>> legat de asta? > >>> > >> Mai elegant decit imperecherea port de switch --- MAC permis pe port > >si IP -- MAC ? Nu > >port switch cu mac nu avem cum sa facem .. > >dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? > > > iptables stie match dupa MAC > > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
>>> solutii ar fi pentru a permite access la net doar la mac-urile >>> inregistrate? pe cele 2 problematici : public si privat >>> >>> Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa >>> fac >>> pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce >il >>> updatez prin snmpv3 set din macurile inregistrate intr-un dhcp >>> >>> Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset >de >>> mac-uri de asemeni luate din definitia din dhcp ... >>> >>> Exista si folositi solutii elegante si la cheie? Ce alte idei aveti >>> legat de asta? >>> >> Mai elegant decit imperecherea port de switch --- MAC permis pe port >si IP -- MAC ? Nu >port switch cu mac nu avem cum sa facem .. >dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? > iptables stie match dupa MAC ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
Știu că arpwatch poate fi văzut ca să monitorizezi situația dintr-un LAN și eventual să vezi când un MAC își schimbă IP-ul sau când apare un MAC nou și eventual poți automatiza diferite acțiuni pe baza asta. Posibil să fie și soluții mai inteligente, sunt curios să aud de ele. 2018-07-20 14:50 GMT+03:00 Adrian Sevcenco : > On 07/20/2018 02:27 PM, wo...@prolinux.ro wrote: > >> On July 20, 2018 11:23:52 AM GMT+03:00, Adrian Sevcenco < >> adrian.sevce...@cern.ch> wrote: >> >>> On 07/19/2018 04:35 AM, Adi Pircalabu wrote: >>> 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: > On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: > >> >> fail2ban? >> > > ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic > nici un mesaj de la sshd, nimic, de la nici un serviciu ... > pur si simplu dispare conexiunea (din afara vorbind, devinde > refused) >>> iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi > arata >>> link, > am access outgoing chiar!! > incep sa ma gandesc la variante legate de aghiasma :))) > Conflict de adrese in retea? Desi din ce descrii problema se >>> reproduce >>> cu niste pasi foarte clari si pare putin plauzibil. >>> Multumesc tuturor de idee!! desi initial am respins posibilitatea >>> ("asta >>> nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip >>> public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul >>> >>> admin de retea si cu mine mergem cu ranga la serviciu ... >>> >>> Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce >>> solutii ar fi pentru a permite access la net doar la mac-urile >>> inregistrate? pe cele 2 problematici : public si privat >>> >>> Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa >>> fac >>> pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il >>> updatez prin snmpv3 set din macurile inregistrate intr-un dhcp >>> >>> Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de >>> mac-uri de asemeni luate din definitia din dhcp ... >>> >>> Exista si folositi solutii elegante si la cheie? Ce alte idei aveti >>> legat de asta? >>> >>> Mai elegant decit imperecherea port de switch --- MAC permis pe port si >> IP -- MAC ? Nu >> > port switch cu mac nu avem cum sa facem .. > dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? > > Multumesc frumos! > Adrian > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 02:27 PM, wo...@prolinux.ro wrote: On July 20, 2018 11:23:52 AM GMT+03:00, Adrian Sevcenco wrote: On 07/19/2018 04:35 AM, Adi Pircalabu wrote: 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic nici un mesaj de la sshd, nimic, de la nici un serviciu ... pur si simplu dispare conexiunea (din afara vorbind, devinde refused) iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata link, am access outgoing chiar!! incep sa ma gandesc la variante legate de aghiasma :))) Conflict de adrese in retea? Desi din ce descrii problema se reproduce cu niste pasi foarte clari si pare putin plauzibil. Multumesc tuturor de idee!! desi initial am respins posibilitatea ("asta nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul admin de retea si cu mine mergem cu ranga la serviciu ... Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu port switch cu mac nu avem cum sa facem .. dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? Multumesc frumos! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 11:23:52 AM GMT+03:00, Adrian Sevcenco wrote: >On 07/19/2018 04:35 AM, Adi Pircalabu wrote: >> 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: >>> On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? >>> >>> ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic >>> nici un mesaj de la sshd, nimic, de la nici un serviciu ... >>> pur si simplu dispare conexiunea (din afara vorbind, devinde >refused) >>> iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi >arata >>> link, >>> am access outgoing chiar!! >>> incep sa ma gandesc la variante legate de aghiasma :))) >> >> Conflict de adrese in retea? Desi din ce descrii problema se >reproduce >> cu niste pasi foarte clari si pare putin plauzibil. >Multumesc tuturor de idee!! desi initial am respins posibilitatea >("asta >nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip >public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul > >admin de retea si cu mine mergem cu ranga la serviciu ... > >Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce >solutii ar fi pentru a permite access la net doar la mac-urile >inregistrate? pe cele 2 problematici : public si privat > >Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa >fac >pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il >updatez prin snmpv3 set din macurile inregistrate intr-un dhcp > >Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de >mac-uri de asemeni luate din definitia din dhcp ... > >Exista si folositi solutii elegante si la cheie? Ce alte idei aveti >legat de asta? > Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu >Multumesc frumos!!! >Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/19/2018 04:35 AM, Adi Pircalabu wrote: 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic nici un mesaj de la sshd, nimic, de la nici un serviciu ... pur si simplu dispare conexiunea (din afara vorbind, devinde refused) iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata link, am access outgoing chiar!! incep sa ma gandesc la variante legate de aghiasma :))) Conflict de adrese in retea? Desi din ce descrii problema se reproduce cu niste pasi foarte clari si pare putin plauzibil. Multumesc tuturor de idee!! desi initial am respins posibilitatea ("asta nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul admin de retea si cu mine mergem cu ranga la serviciu ... Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Multumesc frumos!!! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro