Re: [rlug] centos7 :: connection refused dupa un timp
On 07/21/2018 03:27 PM, wo...@prolinux.ro wrote: On July 21, 2018 12:07:02 PM GMT+03:00, Adrian Sevcenco wrote: maparile ip-mac valide unde le tii? baza de date, sqlite, txt, /etc/ethers? Am oricum.baza de date mysql cu tot ce inseamna hardware , utilizatori si IPuri alocate. Cind aloc un pc sau schimb adresa, se genereaza config pt dhcp si pt firewall config pt shutdown pe sw sint puse adlabam pt ca sint f rare aha! multumesc frumos de sfaturi si idei! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On Sat, Jul 21, 2018 at 11:45 AM Adrian Sevcenco wrote: > On 07/21/2018 01:51 AM, Andrei Pascal wrote: > > On Fri, Jul 20, 2018 at 10:52 PM Adrian Sevcenco < > adrian.sevce...@cern.ch> > > wrote: > > > >> On 07/20/2018 09:14 PM, wo...@prolinux.ro wrote: > >> > >>> Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul > sa > >> se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. > >>> Solutiile se discuta in fct de ce/cite echipamente au adrese publice, > >> cum sint interconectate samd > >> noi avem un /25 si un /26 , iesirea se face prin rutare statica in > >> switchul de edge (echipament propriu) > >> totul e o balta comuna (nu avem ip-based sau mac-based vlans) in care > >> circula si retelele private > >> sunt 19 folosite in /26 si 26 in /25 > >> trebuie sa fie o solutie ce sa se preteze si pentru ipv6 > >> > >> Multumesc! > >> Adrian > >> > > > > În calitate de trădător de cauză sfântă io zic c-ar fi mult mai înțelept > să > > faci/faceți olecuță de ordine în haosul ăla. Pot înțelege că > infrastructura > > a crescut "pe genunchi", dar cred că ai suficiente cunoștințe și de > > rețelistică și de altele pentru a înțelege la ce poate duce "haloimăs"-ul > > ăla pe termen mediu sau lung... > > > > Am și io doi cenți și vreau să-i beu, da' uite că-i arunc aciulea. > Salutare, Mai pune te rog inca 2 centi si spune-mi cam la ce te gandesti :) > ca haloimasul e asa de mare si fara nici o regula ca nici nu stiu de > unde ar trebui pornit. De la pus situația curentă pe hârtie cu pixul, apoi început să lucrezi cu creionul... :) Aici nu zic doar de layout-ul L2, ci și L3 sau chiar mai sus (inclusiv de ce aplicații există și cum interacționează diversele servicii între ele). > (btw, institutul nu are departament de it iar > regulamentul de folosire al retelei e ceva facut sa fie, nu a fost dus > spre cunostinta angajatilor ce sa semneze pentru el... si nici nu mai > stiu daca am prevazut obligativitatea inregistrarii mac-urilor in el sau > a fost abandonata ideea ca nu am reusit sa o impingem managementului) > Și aici începem să înțelegem - mă refer la toată lumea, am trecut și eu prin poziția de șăf de [h]aITi - ce soft skilluri trebuie să aibă un aitist... Inclusiv de vânzări. Iată de ce: - "a fost abandonata ideea ca nu am reusit sa o impingem managementului": cei care au gândit ideea (teorie + aplicare) nu au știut să o *vândă* managementului, cu avantaje și beneficii față de situația curentă de la momentul respectiv. Urăsc să spun asta, dar din păcate trebuie soft skills și la noi, și mai ales învățat manageriaza (limba pe care vorbesc managerii, that is)... :( - înregistrarea MAC-urilor ajută, dar numai până la un punct. Se poate construi de acolo, mai ales că nu există departament IT deci nici echipă dedicată rolului) și puteți evolua pe parcurs; - "Regulamentul de folosire a rețelei" ar trebui să facă parte din "regulamentul de ordine interioară" care trebuie cunoscut de toți angajații. > Merci mult!!! > Adrian > Pentru puțin. :) > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > -- Ave http://flying.prwave.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
adica complexe??? sau complicate? t :D În vin., 20 iul. 2018 la 22:36, George-Cristian Bîrzan a scris: > IP-urile sunt reale sau imaginare. Unde erai cand te invatau asta la > scoala?! > > 2018-07-20 22:20 GMT+03:00 Dumitru Mișu Moldovan : > > > wo...@prolinux.ro wrote: > > > > > On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco > > > wrote: > > > > > > > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de > > > >vedere > > > >https://en.wikipedia.org/wiki/IP_address#Public_address > > > > > > > stiu chestiile astea de pe cind ipfwadm era THE tool. […] > > > > Ppfff… Ce amatori pe aici! Pun pariu că nu faceți diferența între un > > IP real și unul fals. :-] > > > > Na, acuma știți și voi cum le zice de fapt! :-P > > > > ___ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > > > > > > -- > George-Cristian Bîrzan > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 21, 2018 12:07:02 PM GMT+03:00, Adrian Sevcenco wrote: >maparile ip-mac valide unde le tii? baza de date, sqlite, txt, >/etc/ethers? Am oricum.baza de date mysql cu tot ce inseamna hardware , utilizatori si IPuri alocate. Cind aloc un pc sau schimb adresa, se genereaza config pt dhcp si pt firewall config pt shutdown pe sw sint puse adlabam pt ca sint f rare ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/21/2018 01:55 AM, wo...@prolinux.ro wrote: On July 20, 2018 10:50:59 PM GMT+03:00, Adrian Sevcenco wrote: noi avem un /25 si un /26 , iesirea se face prin rutare statica in switchul de edge (echipament propriu) totul e o balta comuna (nu avem ip-based sau mac-based vlans) Asta ar fi primul lucru pe care eu l-as modifica. In primul si primul rind as separa traficul in vlanuri. Separarea domeniilor de coliziune nu se pune ca masura de securitate dar usureaza mult viata celor care se ocupa de partea de network administration. ok […] trebuie sa fie o solutie ce sa se preteze si pentru ipv6 Fara sa pot acum sa ma uit sa vad ce stie exact HPul vostru si vorbind strict de problema initiala, m-as baza cred pe o solutie bricolata in jurul lui arpwatch care, cind vede o schimbare a MACului asociat unui IP - fie sa iti dea o alerta (chestie pe care o face aha, asa e o chestie minimala, poate fi folosita fara modificari merci! implicit) si, ca admin, vezi tu ce si cum - fie sa interactioneze direct cu switchul (lde ex la o adica poti discuta cu el prin ssh cu ceva dialog scriptat in expect si pornind de la outputul lui "sh int mac dead.beaf") si tot ca exemplu sa dea shutdown portului unde a aparut "offender"ul. Ca alternativa sint sigur ca poti prelua prin aha.. da, prin ssh merge sigur, dar mai degraba as folosi un snmpv3 set SNMP MACurile si sa prelucrezi extern informatia dupa care tot prin SNMP sa comanzi portul afectat. Sau pur si simplu sa afli da, aveam un script ce stringea macurile de pe swithuri :) trebuie sa il scutur de praf :))) cine/ce/unde face modificari in adresarea IP Eu am niste modele (tot HP, seria 2600) mai chioare si am ales sa dau shutdown din port-security daca apare pe vreunul dintre porturile de interes un MAC necunoscut. Am avantajul ca pe acele porturi chiar imi pot permite sa dau shutdown pt ca, evident, in fct de ce e conectat acolo uneori nu poti... aha .. eh chiar port shutdown nu as folosi .. dar pot sa pun OID-ul cu comanda de set comentat in script :)) just in case :)) maparile ip-mac valide unde le tii? baza de date, sqlite, txt, /etc/ethers? Multumesc mult! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/21/2018 01:51 AM, Andrei Pascal wrote: On Fri, Jul 20, 2018 at 10:52 PM Adrian Sevcenco wrote: On 07/20/2018 09:14 PM, wo...@prolinux.ro wrote: Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. Solutiile se discuta in fct de ce/cite echipamente au adrese publice, cum sint interconectate samd noi avem un /25 si un /26 , iesirea se face prin rutare statica in switchul de edge (echipament propriu) totul e o balta comuna (nu avem ip-based sau mac-based vlans) in care circula si retelele private sunt 19 folosite in /26 si 26 in /25 trebuie sa fie o solutie ce sa se preteze si pentru ipv6 Multumesc! Adrian În calitate de trădător de cauză sfântă io zic c-ar fi mult mai înțelept să faci/faceți olecuță de ordine în haosul ăla. Pot înțelege că infrastructura a crescut "pe genunchi", dar cred că ai suficiente cunoștințe și de rețelistică și de altele pentru a înțelege la ce poate duce "haloimăs"-ul ăla pe termen mediu sau lung... Am și io doi cenți și vreau să-i beu, da' uite că-i arunc aciulea. Mai pune te rog inca 2 centi si spune-mi cam la ce te gandesti :) ca haloimasul e asa de mare si fara nici o regula ca nici nu stiu de unde ar trebui pornit. (btw, institutul nu are departament de it iar regulamentul de folosire al retelei e ceva facut sa fie, nu a fost dus spre cunostinta angajatilor ce sa semneze pentru el... si nici nu mai stiu daca am prevazut obligativitatea inregistrarii mac-urilor in el sau a fost abandonata ideea ca nu am reusit sa o impingem managementului) Merci mult!!! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 10:50:59 PM GMT+03:00, Adrian Sevcenco wrote: > >noi avem un /25 si un /26 , iesirea se face prin rutare statica in >switchul de edge (echipament propriu) >totul e o balta comuna (nu avem ip-based sau mac-based vlans) Asta ar fi primul lucru pe care eu l-as modifica. In primul si primul rind as separa traficul in vlanuri. Separarea domeniilor de coliziune nu se pune ca masura de securitate dar usureaza mult viata celor care se ocupa de partea de network administration. […] >trebuie sa fie o solutie ce sa se preteze si pentru ipv6 Fara sa pot acum sa ma uit sa vad ce stie exact HPul vostru si vorbind strict de problema initiala, m-as baza cred pe o solutie bricolata in jurul lui arpwatch care, cind vede o schimbare a MACului asociat unui IP - fie sa iti dea o alerta (chestie pe care o face implicit) si, ca admin, vezi tu ce si cum - fie sa interactioneze direct cu switchul (lde ex la o adica poti discuta cu el prin ssh cu ceva dialog scriptat in expect si pornind de la outputul lui "sh int mac dead.beaf") si tot ca exemplu sa dea shutdown portului unde a aparut "offender"ul. Ca alternativa sint sigur ca poti prelua prin SNMP MACurile si sa prelucrezi extern informatia dupa care tot prin SNMP sa comanzi portul afectat. Sau pur si simplu sa afli cine/ce/unde face modificari in adresarea IP Eu am niste modele (tot HP, seria 2600) mai chioare si am ales sa dau shutdown din port-security daca apare pe vreunul dintre porturile de interes un MAC necunoscut. Am avantajul ca pe acele porturi chiar imi pot permite sa dau shutdown pt ca, evident, in fct de ce e conectat acolo uneori nu poti... ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On Fri, Jul 20, 2018 at 10:52 PM Adrian Sevcenco wrote: > On 07/20/2018 09:14 PM, wo...@prolinux.ro wrote: > > > Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa > se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. > > Solutiile se discuta in fct de ce/cite echipamente au adrese publice, > cum sint interconectate samd > noi avem un /25 si un /26 , iesirea se face prin rutare statica in > switchul de edge (echipament propriu) > totul e o balta comuna (nu avem ip-based sau mac-based vlans) in care > circula si retelele private > sunt 19 folosite in /26 si 26 in /25 > trebuie sa fie o solutie ce sa se preteze si pentru ipv6 > > Multumesc! > Adrian > În calitate de trădător de cauză sfântă io zic c-ar fi mult mai înțelept să faci/faceți olecuță de ordine în haosul ăla. Pot înțelege că infrastructura a crescut "pe genunchi", dar cred că ai suficiente cunoștințe și de rețelistică și de altele pentru a înțelege la ce poate duce "haloimăs"-ul ăla pe termen mediu sau lung... Am și io doi cenți și vreau să-i beu, da' uite că-i arunc aciulea. -- Ave ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 09:14 PM, wo...@prolinux.ro wrote: On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco wrote: Detaliaza te rog ce inseamna "partea publica" din punctul tau de vedere https://en.wikipedia.org/wiki/IP_address#Public_address stiu chestiile astea de pe cind ipfwadm era THE tool. Intrebarea mea se referea la topologia specifica retelei tale. aaa... am inteles Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. Solutiile se discuta in fct de ce/cite echipamente au adrese publice, cum sint interconectate samd noi avem un /25 si un /26 , iesirea se face prin rutare statica in switchul de edge (echipament propriu) totul e o balta comuna (nu avem ip-based sau mac-based vlans) in care circula si retelele private sunt 19 folosite in /26 si 26 in /25 trebuie sa fie o solutie ce sa se preteze si pentru ipv6 Multumesc! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
IP-urile sunt reale sau imaginare. Unde erai cand te invatau asta la scoala?! 2018-07-20 22:20 GMT+03:00 Dumitru Mișu Moldovan : > wo...@prolinux.ro wrote: > > > On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco > > wrote: > > > > > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de > > >vedere > > >https://en.wikipedia.org/wiki/IP_address#Public_address > > > > > stiu chestiile astea de pe cind ipfwadm era THE tool. […] > > Ppfff… Ce amatori pe aici! Pun pariu că nu faceți diferența între un > IP real și unul fals. :-] > > Na, acuma știți și voi cum le zice de fapt! :-P > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > -- George-Cristian Bîrzan ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
wo...@prolinux.ro wrote: > On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco > wrote: > > > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de > >vedere > >https://en.wikipedia.org/wiki/IP_address#Public_address > > > stiu chestiile astea de pe cind ipfwadm era THE tool. […] Ppfff… Ce amatori pe aici! Pun pariu că nu faceți diferența între un IP real și unul fals. :-] Na, acuma știți și voi cum le zice de fapt! :-P pgp1UWkjbeCkH.pgp Description: Semnătură digitală OpenPGP ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 4:53:29 PM GMT+03:00, Adrian Sevcenco wrote: > >> Detaliaza te rog ce inseamna "partea publica" din punctul tau de >vedere >https://en.wikipedia.org/wiki/IP_address#Public_address > stiu chestiile astea de pe cind ipfwadm era THE tool. Intrebarea mea se referea la topologia specifica retelei tale. Eu de pilda am sedii cu doar 1-2 ip-uri publice si ma astept ca ISPul sa se asigure ca ip-urile asignate de el mie nu le utilizeaza altcineva. Solutiile se discuta in fct de ce/cite echipamente au adrese publice, cum sint interconectate samd ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 04:15 PM, wo...@prolinux.ro wrote: On July 20, 2018 3:53:16 PM GMT+03:00, Adrian Sevcenco wrote: On 07/20/2018 03:40 PM, wo...@prolinux.ro wrote: solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu port switch cu mac nu avem cum sa facem .. dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? iptables stie match dupa MAC da, pentru ip urile private asa m-am gandit, cu un ipset de macuri permise fie dau drop+log la ce nu este in whitelist fie masqaradez doar daca e match pe whitelist eu am -j ACCEPT pt cine are voie urmat de LOGDROP pt orice altceva aha ok pentru partea publica ce ai face? (rutarea publica se face intr-un switch hp 5800) Detaliaza te rog ce inseamna "partea publica" din punctul tau de vedere https://en.wikipedia.org/wiki/IP_address#Public_address Multumesc frumos de sfaturi/idei/sugestii Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 3:53:16 PM GMT+03:00, Adrian Sevcenco wrote: >On 07/20/2018 03:40 PM, wo...@prolinux.ro wrote: >> > solutii ar fi pentru a permite access la net doar la mac-urile > inregistrate? pe cele 2 problematici : public si privat > > Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit >sa > fac > pe switchul de edge un acl cu un whitelist de mac-uri, whitelist >ce >>> il > updatez prin snmpv3 set din macurile inregistrate intr-un dhcp > > Pentru privat oarecum la fel, fac masqaradarea doar pentru un >ipset >>> de > mac-uri de asemeni luate din definitia din dhcp ... > > Exista si folositi solutii elegante si la cheie? Ce alte idei >aveti > legat de asta? > Mai elegant decit imperecherea port de switch --- MAC permis pe >port >>> si IP -- MAC ? Nu >>> port switch cu mac nu avem cum sa facem .. >>> dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? >>> >> iptables stie match dupa MAC >da, pentru ip urile private asa m-am gandit, cu un ipset de macuri >permise >fie dau drop+log la ce nu este in whitelist fie masqaradez doar daca e >match pe whitelist eu am -j ACCEPT pt cine are voie urmat de LOGDROP pt orice altceva > >pentru partea publica ce ai face? (rutarea publica se face intr-un >switch hp 5800) > Detaliaza te rog ce inseamna "partea publica" din punctul tau de vedere ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 03:40 PM, wo...@prolinux.ro wrote: solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu port switch cu mac nu avem cum sa facem .. dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? iptables stie match dupa MAC da, pentru ip urile private asa m-am gandit, cu un ipset de macuri permise fie dau drop+log la ce nu este in whitelist fie masqaradez doar daca e match pe whitelist pentru partea publica ce ai face? (rutarea publica se face intr-un switch hp 5800) Multumesc!! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
iptables -A FORWARD -s 192.168.1.111 -i eth1 -m mac --mac 00:80:C8:77:46:DC -j ACCEPT 2018-07-20 15:40 GMT+03:00 : > > >>> solutii ar fi pentru a permite access la net doar la mac-urile > >>> inregistrate? pe cele 2 problematici : public si privat > >>> > >>> Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa > >>> fac > >>> pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce > >il > >>> updatez prin snmpv3 set din macurile inregistrate intr-un dhcp > >>> > >>> Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset > >de > >>> mac-uri de asemeni luate din definitia din dhcp ... > >>> > >>> Exista si folositi solutii elegante si la cheie? Ce alte idei aveti > >>> legat de asta? > >>> > >> Mai elegant decit imperecherea port de switch --- MAC permis pe port > >si IP -- MAC ? Nu > >port switch cu mac nu avem cum sa facem .. > >dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? > > > iptables stie match dupa MAC > > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
>>> solutii ar fi pentru a permite access la net doar la mac-urile >>> inregistrate? pe cele 2 problematici : public si privat >>> >>> Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa >>> fac >>> pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce >il >>> updatez prin snmpv3 set din macurile inregistrate intr-un dhcp >>> >>> Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset >de >>> mac-uri de asemeni luate din definitia din dhcp ... >>> >>> Exista si folositi solutii elegante si la cheie? Ce alte idei aveti >>> legat de asta? >>> >> Mai elegant decit imperecherea port de switch --- MAC permis pe port >si IP -- MAC ? Nu >port switch cu mac nu avem cum sa facem .. >dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? > iptables stie match dupa MAC ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
Știu că arpwatch poate fi văzut ca să monitorizezi situația dintr-un LAN și eventual să vezi când un MAC își schimbă IP-ul sau când apare un MAC nou și eventual poți automatiza diferite acțiuni pe baza asta. Posibil să fie și soluții mai inteligente, sunt curios să aud de ele. 2018-07-20 14:50 GMT+03:00 Adrian Sevcenco : > On 07/20/2018 02:27 PM, wo...@prolinux.ro wrote: > >> On July 20, 2018 11:23:52 AM GMT+03:00, Adrian Sevcenco < >> adrian.sevce...@cern.ch> wrote: >> >>> On 07/19/2018 04:35 AM, Adi Pircalabu wrote: >>> 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: > On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: > >> >> fail2ban? >> > > ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic > nici un mesaj de la sshd, nimic, de la nici un serviciu ... > pur si simplu dispare conexiunea (din afara vorbind, devinde > refused) >>> iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi > arata >>> link, > am access outgoing chiar!! > incep sa ma gandesc la variante legate de aghiasma :))) > Conflict de adrese in retea? Desi din ce descrii problema se >>> reproduce >>> cu niste pasi foarte clari si pare putin plauzibil. >>> Multumesc tuturor de idee!! desi initial am respins posibilitatea >>> ("asta >>> nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip >>> public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul >>> >>> admin de retea si cu mine mergem cu ranga la serviciu ... >>> >>> Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce >>> solutii ar fi pentru a permite access la net doar la mac-urile >>> inregistrate? pe cele 2 problematici : public si privat >>> >>> Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa >>> fac >>> pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il >>> updatez prin snmpv3 set din macurile inregistrate intr-un dhcp >>> >>> Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de >>> mac-uri de asemeni luate din definitia din dhcp ... >>> >>> Exista si folositi solutii elegante si la cheie? Ce alte idei aveti >>> legat de asta? >>> >>> Mai elegant decit imperecherea port de switch --- MAC permis pe port si >> IP -- MAC ? Nu >> > port switch cu mac nu avem cum sa facem .. > dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? > > Multumesc frumos! > Adrian > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/20/2018 02:27 PM, wo...@prolinux.ro wrote: On July 20, 2018 11:23:52 AM GMT+03:00, Adrian Sevcenco wrote: On 07/19/2018 04:35 AM, Adi Pircalabu wrote: 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic nici un mesaj de la sshd, nimic, de la nici un serviciu ... pur si simplu dispare conexiunea (din afara vorbind, devinde refused) iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata link, am access outgoing chiar!! incep sa ma gandesc la variante legate de aghiasma :))) Conflict de adrese in retea? Desi din ce descrii problema se reproduce cu niste pasi foarte clari si pare putin plauzibil. Multumesc tuturor de idee!! desi initial am respins posibilitatea ("asta nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul admin de retea si cu mine mergem cu ranga la serviciu ... Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu port switch cu mac nu avem cum sa facem .. dar ip cu mac e facubil .. ce solutie folosesti/sugerezi? Multumesc frumos! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On July 20, 2018 11:23:52 AM GMT+03:00, Adrian Sevcenco wrote: >On 07/19/2018 04:35 AM, Adi Pircalabu wrote: >> 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: >>> On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? >>> >>> ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic >>> nici un mesaj de la sshd, nimic, de la nici un serviciu ... >>> pur si simplu dispare conexiunea (din afara vorbind, devinde >refused) >>> iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi >arata >>> link, >>> am access outgoing chiar!! >>> incep sa ma gandesc la variante legate de aghiasma :))) >> >> Conflict de adrese in retea? Desi din ce descrii problema se >reproduce >> cu niste pasi foarte clari si pare putin plauzibil. >Multumesc tuturor de idee!! desi initial am respins posibilitatea >("asta >nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip >public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul > >admin de retea si cu mine mergem cu ranga la serviciu ... > >Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce >solutii ar fi pentru a permite access la net doar la mac-urile >inregistrate? pe cele 2 problematici : public si privat > >Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa >fac >pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il >updatez prin snmpv3 set din macurile inregistrate intr-un dhcp > >Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de >mac-uri de asemeni luate din definitia din dhcp ... > >Exista si folositi solutii elegante si la cheie? Ce alte idei aveti >legat de asta? > Mai elegant decit imperecherea port de switch --- MAC permis pe port si IP -- MAC ? Nu >Multumesc frumos!!! >Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/19/2018 04:35 AM, Adi Pircalabu wrote: 2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic nici un mesaj de la sshd, nimic, de la nici un serviciu ... pur si simplu dispare conexiunea (din afara vorbind, devinde refused) iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata link, am access outgoing chiar!! incep sa ma gandesc la variante legate de aghiasma :))) Conflict de adrese in retea? Desi din ce descrii problema se reproduce cu niste pasi foarte clari si pare putin plauzibil. Multumesc tuturor de idee!! desi initial am respins posibilitatea ("asta nu se poate, toata lumea stie ca e interzis sa it aloci singur un ip public") am dat un arping si am obtinut 2 mac-uri!!! so... azi, colegul admin de retea si cu mine mergem cu ranga la serviciu ... Lasind la o parte solutia ranga (indiferent cat de eficienta ar fi) ce solutii ar fi pentru a permite access la net doar la mac-urile inregistrate? pe cele 2 problematici : public si privat Asa, fara sa ma gandesc mult, pentru partea de public m-am gandit sa fac pe switchul de edge un acl cu un whitelist de mac-uri, whitelist ce il updatez prin snmpv3 set din macurile inregistrate intr-un dhcp Pentru privat oarecum la fel, fac masqaradarea doar pentru un ipset de mac-uri de asemeni luate din definitia din dhcp ... Exista si folositi solutii elegante si la cheie? Ce alte idei aveti legat de asta? Multumesc frumos!!! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
2018-07-19 0:47 GMT+10:00 Adrian Sevcenco: > On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: >> >> fail2ban? > > ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic > nici un mesaj de la sshd, nimic, de la nici un serviciu ... > pur si simplu dispare conexiunea (din afara vorbind, devinde refused) > iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata > link, > am access outgoing chiar!! > incep sa ma gandesc la variante legate de aghiasma :))) Conflict de adrese in retea? Desi din ce descrii problema se reproduce cu niste pasi foarte clari si pare putin plauzibil. -- Adi Pircalabu ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
2018-07-18 17:47 GMT+03:00 Adrian Sevcenco : > On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: > >> fail2ban? >> > ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic > nici un mesaj de la sshd, nimic, de la nici un serviciu ... > pur si simplu dispare conexiunea (din afara vorbind, devinde refused) > iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata > link, > am access outgoing chiar!! > incep sa ma gandesc la variante legate de aghiasma :))) > Dupa ce testezi accesul outgoing incepe sa mearga si incoming automagic sau tot nu merge? Ca poate te uita vreun cache de arp sau ceva. Also, testele de "incoming" le faci din aceeasi retea sau din alta parte, via ceva router sau firewall care poate are el nabadai? "ping merge da' alte servicii nu desi ele asculta" e un posibil simtom ca poate vorbesti cu alt device decat crezi :) Iar daca in syslog nu apare nimic special e un semn ca poate e o problema externa. Daca nu, I blame systemd, intotdeauna e de la systemd. -- /me hater care se pregateste sufleteste de instalat linux fresh pe laptop nou. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/18/2018 05:20 PM, Andrei-Florian Staicu wrote: fail2ban? ar trebui sa am un mesaj in journal, messages ceva .. nu am nimic nici un mesaj de la sshd, nimic, de la nici un serviciu ... pur si simplu dispare conexiunea (din afara vorbind, devinde refused) iar din inauntru (legat prin ipmi) ip address apare ok, ethtool imi arata link, am access outgoing chiar!! incep sa ma gandesc la variante legate de aghiasma :))) Adrian On Wed, Jul 18, 2018 at 4:51 PM Adrian Sevcenco wrote: On 07/18/2018 02:33 PM, manuel "lonely wolf" wolfshant wrote: On 07/18/2018 02:19 PM, Adrian Sevcenco wrote: Salut! Am o problema din categoria "magie sau idiot la tastatura" : Se da un server proaspat instalat cu centos 7, iptables (nu firewalld) cu port deschis si sshd ce asculta pe acest port. La restart network PENTRU O VREME (5-10 min) ssh-ul functioneaza fara probleme (pot face ssh sau telnet pe acel port) dupa acea orice conexiune e refused desi ping-ul merge. (accesul la masina cind pot sa vad ce se intimpla/ce nu se intimpla e prin ipmi) Aveti idee de o asemenea dracovenie? Unde as putea sa ma mai uit? ai vreo regula de firewall cu -m recent si limita la numarul de conexiuni ? nu, am iptables-ul default doar cu un port pe accept am dezinstalat un numar de pachete (firewalld, libvirt si pachete suplimentare din NM) ca poate se intimpla lucruri in background ce nu le cunosc (desi am un numar semnificativ de centosuri 7 dar acum e prima data cand mi se intimpla asa ceva) o sa urmaresc in jurnal cind se mai intimpla asa ceva ... Multumesc! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
fail2ban? On Wed, Jul 18, 2018 at 4:51 PM Adrian Sevcenco wrote: > On 07/18/2018 02:33 PM, manuel "lonely wolf" wolfshant wrote: > > On 07/18/2018 02:19 PM, Adrian Sevcenco wrote: > >> Salut! Am o problema din categoria "magie sau idiot la tastatura" : > >> Se da un server proaspat instalat cu centos 7, iptables (nu firewalld) > >> cu port deschis si sshd ce asculta pe acest port. > >> > >> La restart network PENTRU O VREME (5-10 min) ssh-ul functioneaza fara > probleme > >> (pot face ssh sau telnet pe acel port) > >> dupa acea orice conexiune e refused desi ping-ul merge. > >> (accesul la masina cind pot sa vad ce se intimpla/ce nu se intimpla e > prin ipmi) > >> > >> Aveti idee de o asemenea dracovenie? Unde as putea sa ma mai uit? > > ai vreo regula de firewall cu -m recent si limita la numarul de > conexiuni ? > nu, am iptables-ul default doar cu un port pe accept > am dezinstalat un numar de pachete (firewalld, libvirt si pachete > suplimentare din NM) > ca poate se intimpla lucruri in background ce nu le cunosc (desi am un > numar semnificativ > de centosuri 7 dar acum e prima data cand mi se intimpla asa ceva) > > o sa urmaresc in jurnal cind se mai intimpla asa ceva ... > > Multumesc! > Adrian > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > -- Beware of programmers who carry screwdrivers. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/18/2018 02:33 PM, manuel "lonely wolf" wolfshant wrote: On 07/18/2018 02:19 PM, Adrian Sevcenco wrote: Salut! Am o problema din categoria "magie sau idiot la tastatura" : Se da un server proaspat instalat cu centos 7, iptables (nu firewalld) cu port deschis si sshd ce asculta pe acest port. La restart network PENTRU O VREME (5-10 min) ssh-ul functioneaza fara probleme (pot face ssh sau telnet pe acel port) dupa acea orice conexiune e refused desi ping-ul merge. (accesul la masina cind pot sa vad ce se intimpla/ce nu se intimpla e prin ipmi) Aveti idee de o asemenea dracovenie? Unde as putea sa ma mai uit? ai vreo regula de firewall cu -m recent si limita la numarul de conexiuni ? nu, am iptables-ul default doar cu un port pe accept am dezinstalat un numar de pachete (firewalld, libvirt si pachete suplimentare din NM) ca poate se intimpla lucruri in background ce nu le cunosc (desi am un numar semnificativ de centosuri 7 dar acum e prima data cand mi se intimpla asa ceva) o sa urmaresc in jurnal cind se mai intimpla asa ceva ... Multumesc! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] centos7 :: connection refused dupa un timp
On 07/18/2018 02:19 PM, Adrian Sevcenco wrote: Salut! Am o problema din categoria "magie sau idiot la tastatura" : Se da un server proaspat instalat cu centos 7, iptables (nu firewalld) cu port deschis si sshd ce asculta pe acest port. La restart network PENTRU O VREME (5-10 min) ssh-ul functioneaza fara probleme (pot face ssh sau telnet pe acel port) dupa acea orice conexiune e refused desi ping-ul merge. (accesul la masina cind pot sa vad ce se intimpla/ce nu se intimpla e prin ipmi) Aveti idee de o asemenea dracovenie? Unde as putea sa ma mai uit? ai vreo regula de firewall cu -m recent si limita la numarul de conexiuni ? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
[rlug] centos7 :: connection refused dupa un timp
Salut! Am o problema din categoria "magie sau idiot la tastatura" : Se da un server proaspat instalat cu centos 7, iptables (nu firewalld) cu port deschis si sshd ce asculta pe acest port. La restart network PENTRU O VREME (5-10 min) ssh-ul functioneaza fara probleme (pot face ssh sau telnet pe acel port) dupa acea orice conexiune e refused desi ping-ul merge. (accesul la masina cind pot sa vad ce se intimpla/ce nu se intimpla e prin ipmi) Aveti idee de o asemenea dracovenie? Unde as putea sa ma mai uit? Multumesc frumos!! Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro