суббота, 20 декабря 2008 г.

Эх, не силен я в regexp

Давно хочется разобраться с regexp'ами, но книжку читать всухую бесполезно, а на работе всегда надо быстро....
В результате рождаются на свет дикие конструкции типа cat asa_smtp.log | awk '{print $10}' | cut --delimiter=\/ -f2 | cut --delimiter=\( -f1 | cut -d. -f1,2,3 | sort -r |uniq -c | sort -rn | head -n 10


Строка выбирает удаленный ип адрес коннектившихся на 25 порт релея из лога cisco asa, отсекает последний октет адреса, группирует получившиеся подсети с подсчетом числа вхождений, сортирует и показывает топ 10 самых активных "писателей". Дальше ручками проверяем по логам sendmail'а, что адреса в списке не из нашей деревни и банним их навеки вечные, ибо спаммеры окончательно задолбали.

ЗЫ
1. uniq по несортированному списку оставляет много одинаковых строк, видимо память у него все таки короткая, но ман на эту тему молчит.

2. Полезно сравнить между собой списки, сгруппированнные по маскам /24 и /16, у многих операторов большие пулы для adsl, ppp, pppoe и прочих пользовательских хренотеней

пятница, 12 декабря 2008 г.

IOS на складе

наткнулся на лот на японском ебае

Cisco 806 Router

память 32Mb Dram, 8Mb Flash
IOS Ver : 12.3 IP-PLUS
( другие IOS имеется ... есть на складе . сообщите )

четверг, 27 ноября 2008 г.

Синоним слову тормоз

Интерник, он же «РСИЦ», похоже окончательно утратил связь с этим грешным миром и завис где то на небесах. Мало того, что время обработки заказа увеличили до 6 часов, так еще и в эти часы не укладываются. С момента внесения изменений в настройки домена прошло уже 18 часов, а статус моих новых днс серверов по прежнему "Тестируемые". Клеевые записи не созданы, запросы по домену показывают только старые днс сервера. Для сравнения французский регистратор gandi.net отрабатыватся примерно за 2-3 минуты, делаем выводы.

Как говорится - узнаю отечество.....

О пользе хай тека

Попросил хороший знакомый помочь с домашним компутером. Из рассказа выходило, что сразу после включения раздается англоязычный бубнеж в колонках и машина не загружается. По телефону было слышно, что действительно чего то говорит на инглише, но как то неразборчиво. Когда то, достаточно давно встречал в новостях жизнеутверждающее описание асустековских матерей, умных на столько, что сообщение об ошибках они не пропикивали кодовой морзянкой, а вещали человечим голосом. Тогда идея казалась прикольной.... тогда.... Сейчас же выходило, что надо ехать на место что б послушать, о чем больной вещает. По телефону удалось разобрать только слова fail и card. По приезду на место выяснятся, ОНО. Топовая мамка от асустека A8N Delux, да и остальное железо не слабое. При включении черный экран и гнусавый голос примерно секунд через 5. Жесткий азиатский акцент, слова угадываются с трудом... Что то вроде "system fail memo card". Описания сообщений об ошибках в доке ессно нет, они ж доступным русским английским языком говорятся, накукуй их писать то. Осталось тока сообразить, что у азиатов означает memo card. Первая мысль - оперативка, но перестановка/замена да и просто отсутствие модулей памяти ничего не меняло, сообщение то же. Вообщем методом перебора и выдергивания всего лишнего, с поездками до магазина за памятью, до сервис центра за блоком питания, до мастерской за материнкой под уже экзотический амдешный проц, за два дня докопались до первопричины - сдох единственный мост на мамке.

А пропикал бы, сцуко, короткую очередь (ошибка памяти у аварда), без всяких выездов за 2 часа стало бы понятно, что матери хана.

Deny inbound protocol

Малость поломал голову над сообщением:
Nov 26 22:21:43 192.168.1.1 %ASA-3-106010: Deny inbound protocol 50 src base:192.168.3.4 dst S-terraOUT:192.168.2.2

Описание нашлось в доке от 6500-го каталиста, звучит примерно так:
Firewall syslog messages 106014 for ICMP, 106006 for UDP, 106001 for TCP, and 106010 for all other IP protocols, will be generated for denied packets if the destination IP address falls in the 127.0.0.0/8 address range and the firewall has a default route in its routing table. This includes packets with the presence of Loose Source or Strict Source Route IP options.

Я в диапазон 127.0.0.0/8 не попал, но в целом направление оказалось верным, написанный роут выкидывал трафик ESP траффик не на тот интерфейс.

пятница, 7 ноября 2008 г.

Комментаторы....

В торрентах наткнулся на обсуждение Cisco ASA 5500 Series:

- ага, это что то типа чек поинта железного?
- не, это типа железного сквида или исы, тока в три раза круче. А дороже примерно в 10.

однако не врут ;-)

четверг, 30 октября 2008 г.

нат, пат, статик и гребанные индусы

Дурная голова как известно не дает покоя всему что растет у организма. Непонятно откуда пришедшая жаба не позволила отдавать двум новым серверам статические адреса. Ну раз пошла такая пьянка решил сделать пул для выходу туда и прибить static pat, что б еще и обратно ходило. Но не тут то было. Простейшая конфигурация в три строки почему то не стала работать. Дальше внутренней сетки никак не получается. Log viewer упорно показывает, как выходной ацл отбивает пакеты с неначенным адресом, и это замечу при живых трансляциях, т.е. пакеты по выходу с интерфейса как бы натятся, оставляя записи в таблице трансляций, но на outside приходят все с тем же "серым" адресом. Не в первой, бубен в руки и отплясывать. К концу четвертого часа длинные портянки ацлок ужались раза в три, болела голова и все так же не работал нат. Пнув от души жабу, написал статик нат, clear xlate - в выходном листе тихо умирают пакеты с неначенным адресом. Анус.
Сижу, пью чай, рассматриваю nat couters, отщелкивает, значит работает. Тупо открываю any ту any. Есть коннект. Сухой остаток - отбив пакет, асашка ищет подходящую трансляцию, и если находит преобразует адреса отправителя и получателя, после чего пишет их в лог. Собсно вопрос остался один, накукуй????
PS
Малеха поостыв вспомнил, что как миним один раз я на эту фичу уже натыкался :(
Обидно вдвойне. 

среда, 29 октября 2008 г.

Условный нат

Мда, не задалась неделька. Пока осваивал интерфейс онлайнового редактора пару раз потерял набранный текст :( Моя любимая вставка средней кнопкой мышы закидывает строку из буфера обмена в гугловый поиск. Набранный текст ессно при этом теряется.

Ну да ближе к делу. Некоторое время был задан вопрос, как нарисовать нат для хоста, так что б натились только пакеты для определенного списка получателей. Это при условии, что асашка в хозяйстве ровно одна.

Есть типовое решение, если память мне не изменяет, доступно прямо на кошкином сайте. В моем случае сделано так:

В acl описываем трафик, который планируем натить.

access-list smtp2ipsec extended permit ip host 192.168.11.11 host 213.180.204.8
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.4.3
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.6.2
access-list smtp2ipsec extended permit ip host 192.168.11.11 host 172.18.10.2

и транслируем все, что попадает под аксес лист в 10.0.0.50

static (dmz,to_ipsec) 10.0.0.50 access-list smtp2ipsec

Пакеты, не попадающие в acl, проходят без изменений, что избавляет от головной боли с собственными сотрудниками, у которых при использовании безусловного статика почему-то "все перестает работать". Тут стоить заметить, что "перестает работать" на удаленных площадках, связь с которыми все через туже асашку, а во внутренней сети, что за inside'ом, ессно все пучком.

обыкновенный цинизм

Контора готовит сокращение оптимизацию персонала, обстановка ессно соответствующая. Топаю мимо плазмы в фойе, на которой обычно крутят всякую хрень. На экране какое-то видео с лицами наших сотрудников. Закадровый голос вещает "...одна из основных забот института - это забота о благе своих сотрудников..."  В кадре в этот момент попавшие под сокращение .  Смеялся до слез.

вторник, 28 октября 2008 г.

за жизнь

есть-ли жизнь в оффлайне - это науке не известно...