Archive

Archive for October, 2010

IPFilter in Solaris

October 24th, 2010 No comments

 

What is …?

IP-Filter ist ein Softwarepaket mit dem es möglich ist NAT und Firewalling Lösungen auf einem sehr einfachen Weg zu verwirklichen. Es werden lediglich die Filterregeln festgelegt. Keine weitere Reboots, ifconfig & “pfil” Frickeleien mehr.

IP-Filter wird direkt auf FreeBSD, NetBSD & Solaris 10 ausgeliefert.

Die Syntax

Die Regelsyntax in IP-Filter ist recht einfach, sie erinnert nahezu an natürliche Sprache & Grammatik.

Für jede Regel kann das Interface bestimmt werden oder wir sagen einfach “all”

pass out on all …

pass out on igb0 …

Was soll passieren?

Wer ist beteiligt?

Wie sind die Umstände?

pass in quick  on igb0 proto tcp from 192.168.68.0/22 to any  port = 22 keep state

Keywords

* quick

Quick überschreibt alle vorher getroffenen Einstellungen zu der speziellen Regel. Wir benutzen es nur um absolut sicherzugehen das die gesetzte Regel auch angewendet wird.

* proto

Richtig!! Proto legt das Protokoll fest. In unserem Beispiel wird proto immer von tcp gefolgt, da wir uns hier nur auf TCP beziehen.

* port

Das Keyword port bezieht die Regel auf eine spezielle Portnummer oder den Portnamen aus der /etc/services

* keep state

Hier wird die Filterung aller Pakete in der Firewall forciert. Da wir “quick” verwenden könnte es sein (sehr unwahrscheinlich), das ohne “keep state” Pakete ungefiltert durch die Firewall gelangen.

Anwendung

Starten und Stoppen

IP-Filter ist als SMF Service schon fest im System verankert und liegt als svc:/network/ipfilter:default vor.

Somit ergibt sich:

  • START svcadm -v enable svc:/network/ipfilter:default
  • STOP svcadm -v disable svc:/network/ipfilter:default

Um zu überprüfen on nach dem Start die Regeln auch geladen wurden reicht es ein ipf -Fa -f /etc/ipf/ipf.conf abzusetzen.

Um sicherzugehen das die Regeln aktuell angewendet werden: ipfstat -ioh

Hier werden alle angewendeten Regeln aufgelistet, diese sollten mit der /etc/ipf/ipf.conf übereinstimmen.

Config File

Die IP-Filter Regeln liegen in /etc/ipf/ipf.conf Hier werdet ihr in einer Grundkonfiguration nur die leere ipf.conf finden.

/etc/ipf/ipf.conf

root@dbmysql:~> cat /etc/ipf/ipf.conf

#

# ipf.conf

#

# IP Filter rules to be loaded during startup

#

# See ipf(4) manpage for more information on

Grundlegende Regeln

Alles blocken

Die wohl globalste Form an Regeln in IP-Filter sind die

block in all

block out all

Hier wird WIRKLICH ALLES geblockt. Diese Regeln sind ideal um exepts zu definieren, also “Blocke alles bis auf $Ports”

Beispiel hierzu: blocke alles bis auf SSH

block in all

pass in on igb0 proto tcp from 192.168.68.0/22 to any port = 22 keep state

Alles rein lassen

Parallel hierzu existieren

pass in all

pass out all

Hier wird WIRKLICH ALLES zugelassen. Mit diesen Regeln ist es einfach ein Set nach dem Motto “Lass alles rein, bis auf $Ports” zu erstellen.

Beispiel hierzu: lass alles rein, aber Telnet nicht

pass in all

block in on igb0 proto tcp from 192.168.68.0/22 to any port = 23 keep state

Erstellen eigener Regeln

Wenn die Datei ipf.conf leer sein sollte verhält sich ein gestarteter IP-Filter wie eine Regelliste mit folgendem Inhalt:

pass in all

pass out all

In allen folgenden Beispielen wird auf einem IP-Filter Host der NIC igb0 verwendet.

Um den SSH-Zugriff nur aus dem eignen Netzwerk zu erlauben reicht die folgende Config aus:

  • mit ipcalc schnell das eigene Netz erschnüffeln:

hdi@silbensaat:~/Desktop$ ipcalc 192.168.68.35

Address:   192.168.68.35         10101100.00010001.01000100. 00100011

Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000

Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111

=>

Network:   192.168.68.0/24       10101100.00010001.01000100. 00000000

HostMin:   192.168.68.1          10101100.00010001.01000100. 00000001

HostMax:   192.168.68.254        10101100.00010001.01000100. 11111110

Broadcast: 192.168.68.255        10101100.00010001.01000100. 11111111

Hosts/Net: 254                    Class B, Private Internet

Somit ergibt sich, um das komplette Heimnetz per SSH zugreifen zu lassen, folgende Zeile:

pass in on ibg0 proto tcp from 192.168.68.0/24 to any port = 22 keep state

Beispielhafte, laufende und getestete Config:

# IP-Filter Config

# Rules for IO-Filter to be loaded during startup

#

# default block all traffic

#

block in all

####################

# allow only port 22

#### Heimnetz

pass in on igb0 proto tcp from 192.168.68.0/24 to any port = 22 keep state

#### Andere Maschinen

pass in on igb0 proto tcp from 192.168.117.128/32 to any port = 22 keep state

pass in on igb0 proto tcp from 192.168.111.28/32 to any port = 22 keep state

############################

# allow machine to receive a ping

#### Heimnetz

pass in quick proto icmp from 192.168.68.0/24 to any keep state

#

#### Andere Maschinen

pass in quick proto icmp from 192.168.117.128/32 to any keep state

pass in quick proto icmp from 192.168.111.28/32 to any keep state

#############################

# allow nagios NRPE Port 5666

#

pass in on igb0 proto tcp from 192.168.111.28/32 to any port = 5666 keep state

pass in on igb0 proto tcp from 192.168.117.128/32 to any port = 5666 keep state

Troubleshooting

Wenn kein Zugriff mehr von Außen auf die Maschine möglich ist wird per iLOM eine serielle Konsole geöffnet und quasi lokal IP-Filter gestoppt. (!!!Gilt nur für SUN Geräte mit iLOM!!!)

  • Anmeldung am iLOM-Device ssh root@hostname-des-iLOM

-> start SP/console

Are you sure you want to start /SP/console (y/n)? y

Serial console started.  To stop, type ESC (

  • Anmeldung am Solaris-System als root
  • Den IP-Filter ausschalten svcadm -v disable svc:/network/ipfilter:default
  • ggf. die Config so verschieben das in einem versehentlichen Neustart von IPFilter man nicht erneut ausgesperrt wird mv /etc/ipf/ipf.conf /etc/ipf/ipf.conf.old

Bier vom Flohmarkt

October 23rd, 2010 No comments

Der heutige Ausflug auf den Flohmarkt hinter der Dualen Hochschule brachte einen erstaunlichen Fund zu mir ins Heim.

Wer sich ein wenig mit Whisky beschäftigt wird früher oder später auf den Namen Michael Jackson treffen. (an alle die auch nur ansatzweise daran dachten: ja – der Witz ist alt *G*)

Michael Jackson verfasste unter anderem mit „Malt Whisky“ das Standardwerk zum Thema Whisky.

Um so erstaunter war ich, als mir heute das Buch „Bier Interantional“ in die Hände fiel.

Es werden die einzelnen Sorten aufgelistet und die jeweiligen Eigenheiten aufgezeigt

Vorgestellt werden:

  • Lambic
  • Weizenbier
  • Ale & Alt (inkl. Bitter)
  • Old Ale
  • Porter & Stout
  • Lagerbier
  • Bierbesonderheiten

Zu jeder Sorte werden herausragende Biere vorgestellt, so taucht dann unter Weizenbier logischerweise fast die komplette deutsche Riege an Bieren auf, Porter & Stout werden unter anderem von Köstritzer & Guinness vertreten…

In der Rezeptecke finden sich Holunderblütenpfannkuchen, welche 400ml Bier beinhalten, eine kräftige Biersuppe oder Rehmedallions mit Anchor Porter, Heidelbeeren und Ingwerportersoße.

Ein ganzes Kapitel widmet sich dem „Bier bei Tisch“ mit Regeln wie das Bier idealerweise verkostet wird und welches Bier zu welchem Gericht passt.

Beispielsweise soll zu Fisch ein herbes nördliches Pils z.B. Jever hervorragend passen, da die Herbe Note des Bieres mit dem Aroma des Fisch wunderbar harmoniert.

Ich gebe zu in diesem Buch erst geblättert zu haben und kann mir kein wirklich großes Fachwissen an Bier unterstellen, bin aber begeistert mit welcher Hingabe und Leidenschaft man sich diesem Getränk widmen kann…

Und als kleines Schmankerl zum Abschluss bietet die Doemens Akademie sogar Seminare zum Diplom Biersommelier an.

Categories: Uncategorized Tags: , , ,

VIP-Kunden bei Penny in Karlsruhe

October 21st, 2010 No comments

Aus der beliebten Serie “grinds my gears” folgt nun ein aktueller Bericht aus der Realität und der Zweiklassengesellschaft in einem kleinen Karlsruher Supermarkt:

Ja die Filiale in der Knielinger Allee ist echt ein Erlebnis für sich.

Deren neuester Streich ist der Premium VIP Kunde.

Während das normale Fußvolk auf der Suche nach einem Spülschwamm von der VIP-Kundenbetreuerin mit einem „Keine Ahnung“ abgewürgt wird und man sich den wichtigen Kunden, nennen wir sie mal Tina, widmet kommen doch ernsthafte Zweifel an den eigenen Vorstellungen von Klassendenken auf.

Man kennt sich, man duzt sich und grüßt freundlich, alles perfekt.

Der Normalkunde steht dann etwas blöd in der langen Kassenschlange (Für Insider: lang ist erst dann wenn du in einem Meter Umkreis der Backwaren stehst) und wartet darauf sein hart verdientes Geld gegen die ausgesuchten Waren tauschen zu können.

Unglaublich aber wahr: Die besagte VIP-Kundenbetreuerin entdeckt in dieser Traube an Menschen, die sich für die eine offene Kasse die Beine in den Bauch stehen, den VIP-Kunden aus dem obigen Beispiel.

Mit einem beherzten „Tina komm rüber“ wird eine Kasse geöffnet und sofort losgelegt. Das übrige Fußvolk wittert seine Chance, stellt sich an und bekommt ein bestimmtes „Ne die Kasse is zu – ich kann ja nicht jeden hier bedienen!“ vorgesetzt.

Wie auch immer es möglich ist diesen Premium-Vip-Service zu erhalten, lasst es mich bitte wissen liebe Penny-Leute…

The Geek Hierachy

October 17th, 2010 No comments

…und es ist soooo wahr…

…gefunden auf http://wallbase.net

Categories: Uncategorized Tags:

What the Hex?

October 17th, 2010 No comments

Ok ich rege mich ja hin und wieder mal über die Kids auf, die sich für Designer halten, weil sie mit ner Raubkopie der Creative Suite und ner guten Portion Selbstvertrauen und Ignoranz glauben im Layoutbereich was reißen zu können…

Jetzt hab ich allerdings auch schon ab und an mit meinem Freund, dem Gimp, an einem Bild rumgeschraubt und… ach lassen wir das…

Auf was ich eigentlich raus will:

Es gibt doch da diese Hex-Werte, die Farben zugeordnet sind…

Da kann man ganz feine Spielchen draus machen und dabei auch noch lernen =)

Categories: Uncategorized Tags: , ,

Eine Woche blau

October 10th, 2010 No comments

Wie manchen schon bekannt sein sollte bin ich nun Solaris-Admin bei 1&1.

Genauer gesagt Team Member von „IT Operations Data Services Oracle & Storage“.

Wir haben also eine Reihe von SUN M-Serie, SUN Storage und ein wenig Hitachi Storage.

Aber kommen wir zum wichtigeren:

Wie sieht es in dem Laden aus?

Was passiert da drin so?

Am wichtigsten ist wohl:

  • Es gibt ein globales „Du“
  • Überall gibt’s Kaffee und Softdrinks
  • Wenn du ein Problem hast wird dir sicherlich jemand helfen, du musst nur fragen.

Wenn du nach der Brainwash Einführungsveranstaltung in dein Office kommst wird es dich überraschen wie sehr das alles an einen Klischee-Nerd-Film erinnert.

Poster an den Wänden, seltsame Sprüche oder Comics an den Türen. Irgendwo heizt einer auf nem Tretroller an dir vorbei. Hier und da findet sich ein Hund und zwischen all dem Spaß sollst du also nun arbeiten.

Um in dieser surrealen Welt zu überleben brauchst du ein paar wichtige Dinge:

  • Hab deine MAC-Adresse griffbereit.
  • Hab dein DECT immer am Mann.
  • Mache keinen Schritt ohne deine kleine weiße Karte.
  • Steck deinen Kopf nicht in Büros aus denen seltsame Geräusche kommen.
  • Auf dem Klo wird nicht gegrüßt.
  • Wenn ein großer schwarzer Hund auf dem Gang steht ist das normal.

Dringend solltest du dir abgewöhnen das irgendwas SOFORT im eigentlichen Sinne erfolgen muss. Es wird so nicht sein. Lege dir eine große Portion südländische Gelassenheit zu und mach deine Arbeit ordentlich, auch wenns länger dauert.

Wenn du ein Problem hast, such jemand, der sich mit sowas auskennt.

Auch wenn der Mensch nur im Intranet in seinem Profil „DHCP“ stehen hat und du ein DHCP-Problem hast, er kann dir helfen, oder dir jemanden sagen der dir helfen wird.

  • Lerne aus deinen Fehlern.
  • Notiere Dir den Fehler und die Lösung dazu.

Das spart Stress.

Es werden viele Dinge auf dem Gang erledigt.

Quasi im Vorbeigehen kurz und präzise angesprochen, zwei Sätze dazu fallengelassen und es wird passieren. Nicht sofort, aber gleich.

Wichtig für Neueinsteiger:

  • Is dir was nicht klar, fragen!
  • Vieles wird vorausgesetzt oder als logisch empfunden, keiner ist dir böse wenn das nicht so ist – du musst nur wissen wie du mit dem Problem umgehst. (siehe „fragen“)
  • Zugänge auf Systeme sind ein wertvolles Gut, die werden nach Bedarf verteilt.
  • RZ-Service ist dir nicht böse wenn sie was für dich tun müssen.
  • Hausmeister, IT- & RZ-Service sind deine Freunde!

Commander wir haben ein Problem

October 6th, 2010 No comments

Super easy Sache.

Erste Hauptaufgabe im neuen Job: Spiel mal etwas mit IP-Filter und BGP.

Gesagt getan.

  • Gespielt
  • Getestet
  • Für gut befunden

Nach dem Reboot – nur mal gucken ob das dann auch alles fein tut – steht Solaris mit ner Meldung das in /boot/solaris/bootenv.rc in der Zeile 22 ein Syntax Error aufschlägt. Also doch nicht alles fein…

Joah… nicht weiter tragisch – wir haben ja ein iLOM das *.iso redirecten kann – oh nein, kann es nicht…

“CD-ROM redirection not supportet on this platform”

Also fix jemanden vom RZ-Service in den Keller schicken um ne CD einzulegen .

Fucking oldschool – Fucking peinlich…

Was ein Glück… ich hab noch Welpenschutz *G*

UPDATE: Ich muss mich bei den RZ-Service Mann entschuldigen… aus eigener Dummheit (falsche Javaversion auf der Workstation) musste der in den Keller. Erneut… FUCKING PEINLICH

Categories: Solaris Tags: , , , ,

Twitter People

October 3rd, 2010 1 comment
  • Was ist twitter?
  • Warum sollte man es benutzen?
  • Was bringt mir twitter?
Auf diese Fragen will ich einfach mal nicht eingehen.
Lasst Euch nur eins gesagt sein:
Twitter ist wie eine SMS an alle zu schreiben, die es interessiert. Und ja, egal was du zu sagen hast, irgendwen interessierts ;)
…wie komme ich denn sonst auf über 200 Verfolger?

Egal:

Die folgende Typisierung sollte etwas humoristisch aufgefasst werden… keinesfalls ernst zu nehmen oder gar Grund sich persönlich beleidigt zu fühlen.
  • Klassenkasper
Kennt ihr noch die Typen, die zu allem was zu sagen haben und alles auf “komme was wolle”-lustig trimmen? Genau die gibt es haufenweise.
  • Jammerlappen
Herzschmerz, Pseudophilosophie und “Warum ist das Leben so scheiße zu mir?”
  • Aufmerksamkeitsjunkie
Ich hab das getan, ich trinke gerade an $Ort einen $Kaffee, GPS-Daten und Foursquare-Link dazu.
  • Trainer & Berater
Eunuchen der Wirtschaft… Meist Leute, die einen an eine gescheiterte Existenz und weit entfernt irgendwo an Abzocke erinnern. Sie wissen wie man reich wird und haben ncihts besseres zu tun, als uns dieses Wissen für 20Euro als PDF in einer E-Mail zukommen zu lassen.
  • Kleinindustrielle
Die nebenberufliche Schmuckdesignerin oder Seifenkochende Hausfrau folgen dir und hoffen verzweifelt auf einen Klick in ihren Webshop.
  • Businessnetzwerker
Man legt sich einen Katalog aus kleinen Sätzen zusammen, postet diese in wechselnder Reihenfolge und wird von seinen mitnetzwerkern zitiert (retweetet) und ist sowas von stolz drauf, das er DIES auch gleich “retweeten” muss (siehe Aufmerksamkeitsjunkie)
  • Chatter
Leute, die Twitter wie einen öffentlichen Chatroom benutzen und somit die komplette Timeline mit intimitäten und Talk über die gestern verkostete Kaffeesorte.
  • Linkdeppen
“Very Cool http://……” und den Krams mit wechselndem Inhalt von LOL-Cats bis Spiegel Artikel mindestens alle 10 min 1x
  • Retweetbots
Zusammengefrickelte Scripts, die nach “nervt” suchen und das einfach retweeten.
  • Autotweeter
Sinnfreie Linkupdates a la “Neuer Blogpost http://……” an sich nicht weiter tragisch, solang auf dem Account noch mehr kommt ;)
Categories: GrindsMyGears Tags: , ,