Sometimes ago, while I was bored, I began writing down what is going on in my office. Removing the names of course to protect the guilty. The "tales" appeared well accepted in the it.comp.os.linux.sys newsgroup. So I decided to preserve them for posterity.
Usual characters:
ME - That's me.
CL - Clueless Luser, a common user, can't use a computer to save his life,
but he thinks he knows better.
UL - Uber Luser, middle-manager or project-manager. Not much better from
a technical point of view, but his salary is much higher.
SL - SuperLuser, manager. See above.
SUSL - Super-Ultra-Super-Luser, CIO or similar.
HR - Human Resource, person (usually a CL) that works in the hr department.
Bob - All the tech-support peoples are named 'Bob'. Seriously.
See also the FAQ.
Stesso Ufficio, Stessa Sala Riunioni...
Stesso SL e stesse domande idiote. Sto parlando (ovviamente) dell'ufficio di $brancodipaguri, dei quali ho ri-assunto la gestione della rete data l'impossibilita' (loro) di trovare qualcuno vagamente competente per gestirla, come gia narrato precedentemente.E cosi', quando l'altro ieri SL ha chiamato per una serie di problemi con una delle applicazioni in testing, io avevo gia' capito quale era il problema, avendo penato per svariate ore per spiegare il problema ad SL un sei o sette anni fa. In effetti, fu una spiegazione molto lunga, con disegnini e frecce che occupo' la buona parte della prima riunione che feci con SL quando assunsi l'incarico di Sysadmin.
Spiego rapidamente la situazione: $brancodipaguri ha una soluzione classica con un firewall che protegge la LAN ed una DMZ. I server in DMZ hanno il loro IP "reale" come 10.x.y.z, mentre l'IP pubblico viene nattato dal firewall all'occorrenza. In concomitanza con cio', alcuni PC della LAN sono "esposti" ad internet tramite NAT dal firewall stesso. Non domandatemi il perche', e' una storia molto lunga e molto complessa. Io ho cercato molte volte di rettificare la situazione ma per vari motivi (SL per lo piu') non mi e' mai riuscito. Il risultato e' che se si cerca di contattare uno di questi 'server' usando il suo indirizzo IP pubblico dalla LAN, la connessione cade nel vuoto perche' il firewall non fa' SNAT per connessioni verso la LAN.
Io cercai piu' volte di spiegare il problema (la lezione prodotta si intitolava "the big bad internet") ad SL, ma l'unica cosa che ottenni fu un core-dump del cervello di SL. No, non e' stato un bello spettacolo.
Adesso sono di nuovo qui. Il problema stavolta e' che qualche pisquanone ha deciso di "provare" una qualche applicazione di CRM installandola sul suo lapdog e qualcuno di $immensasocieta vorrebbe provare tale applicazione dagli uffici principali. UL (no, non lo stesso UL) che mi ha sostituito, ha applicato il NAT, ma si e' ritrovato a corto di parole quando tutti gli hanno fatto notare che dalla LAN adesso l'applicazione non funziona piu'. La mia spiegazione telefonica non e' stata sufficiente e la mia soluzione (aggiungere l'IP interno nel DNS interno) non e' stata capita. Ragion per cui, mi ritrovo qui. Stesso ufficio, stessa sala riunioni, stesso SL e stesse domande idiote.
SL - Ma se io sono a casa e provo a collegarmi funziona tutto, perche' non
puo' funzionare uguale da qui?
IO - Mi pare di averlo gia' spiegato almeno 3 volte, di cui una per iscritto.
E' il modo come internet funziona. E le soluzioni (due) sono scritte nella
stessa mail.
SL - Ma io non voglio mettere il portatile nella DMZ.
IO - E allora si tratta di cambiare il DNS interno.
SL - Hemmm... Non possiamo cambiare il DNS interno.
IO - Oh bella, e perche' no?
SL - Perche'.... e' una roba che dipende da $immensasocieta.
IO - ? E da quando? L'ultima volta che abbiamo discusso di networking
(ok che era un sei-sette anni fa) quelli non distinguevano una scheda di rete
da un cannolo alla crema.
SL - Si bhe'...
IO - Con chi bisogna parlare ad $immensasocieta per quella roba?
UL - No, lascia perdere... e' che... hemmmm...
IO - Hemmm?
UL - Non lo abbiamo piu' il DNS interno.
IO - ?? Come sarebbe a dire che non lo avete piu? Il DNS era parte integrante
del DC che il precedente UL spese diversi giorni per installare.
UL - Si bhe hemmm... diciamo che abbiamo avuto una serie di problemi e...
insomma non si puo' fare.
Tiro ad indovinare qui. Qualcuno (un UL a caso) ha perso la password di Administrator, cosi' ha provato ad installare un nuovo DC ed ha fatto un gran casino. Ringraziando Santa Genoveffa, io mi devo gestire solo la parte relativa a Linux, quindi una scrollata di spalle e' tutto cio' che mi serve per dimenticarmi del problema.
IO - In tal caso o sposti il swerver in DMZ o te lo scordi.
SL - Ma senti, questa storia dello swat...
IO - SNAT
SL - ...si, quel che e'... perche' non lo aggiungiamo al firewall?
IO - Gia' te lo spiegai diverse volte. Tu non vuoi che il firewall
faccia SNAT sulle connessioni verso la LAN, perche' se lo fai, il server
in questione non e' piu' in grado di distinguere da dove arriva la
connessione. Tutte sono dal firewall. E dato che sono sicuro che avete una
caterva di cagate in giro per la rete che sono malconfigurate, avere tali
cagate che non sanno piu' da che parte arrivano le connessioni e' sicuramente
una bruttissima idea.
SL - Ma...
IO - Per fare dei test su una applicazione che quasi sicuramente non funziona
poi, non mi sembra proprio una soluzione, mi sembra un preludio al disastro.
UL - Come fai a dire che non funziona?
IO - L'ha scelta UL2 giusto? Eccotelo dimostrato.
UL - Ma no, in generale funziona... ci sono un paio di problemi pero'...
IO - (scuotendo la testa) No guarda, le cose sono in digitale,
(contando sulle dita) funziona oppure non funziona. Dove
"funziona" si definisce come "fa quello che voglio, come lo voglio, quando lo
voglio ed ogni volta che lo voglio", e "non funziona" e' tutto il resto. Questo
coso fa quello che vuoi, come lo vuoi, quando lo vuoi ed ogni volta che lo vuoi?
UL - Bhe, non proprio pero'...
IO - E allora e' un "non funziona".
SL ed UL rimunginano per un po'. Tanto lo so gia' che cosa arriva dopo.
SL - Senti, mettiamo questo Swat o Squat o come diavolo si chiama sul firewall.
IO - Mandami una mail quotandomi la mia, cosi' quando le cose andranno ka-bumm,
almeno potro' dirti che 'te lo avevo detto'.
UL - Quanto ci mettiamo a fare questa cosa?
IO - A fare la modifica sul firewall? Cinque minuti. A ripulire i casini che
succederanno dopo? Possiamo anche metterci cinquant'anni.
La modifica sul firewall e' fatta alle 13.45, adesso vediamo quanto ci mette qualche cosa a fare ka-bumm... Sigh. La storia si ripete sempre: non mi danno mai retta.
Davide
13/10/2008 00:00
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
Jack
By Jack - posted 13/10/2008 08:46
- reply
cosa che mi sarebbe piaciuta, se non fosse che quella parte della rete usa un firewall-appliance dove o fai le cose tramite la sua web-interfaccia o picche.
Sacripant
By Sacripant - posted 13/10/2008 09:22
- reply
Cerca di organizzare le vacanze per il KA-BUMM-DAY
Gas
By Gas - posted 13/10/2008 08:46
- reply
Per curiosita'.. dopo quanto millisecondi e' arrivata la prima mail che ti avvertiva di "ka-boom in svolgimento"?
non li ho contati, ma non molti.
Cyber
By Cyber - posted 13/10/2008 08:45
- reply
Definisci "carismatico".
Tommaso
By Tommaso - posted 13/10/2008 09:22
- reply
E che ti meravigli pure? Ormai dovresti aver imparato, almeno tu...
Ferretti S.
By Ferretti S. - posted 13/10/2008 09:22
- reply
anche troppi...
Daniele
By Daniele - posted 13/10/2008 09:24
- reply
DMZ to Internet effettuato con static translation
Lan to Internet effettuato con NAT su singolo IP Pubblico
Verissimo che se chiami un server dalla lan con il suo IP Pubblico ti manda a cagare ma non capisco la difficoltà nel pubblicare un pc dalla lan su internet con un'ip pubblico.
Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet? Cosi' nel malaugurato caso in cui il pistola comincia a far funzionare un bel serverino SMTP improvvisamente non solo ti impiastra tutta la lan ma ti inchiuma anche i server interni? Ah, be... tu ed SL potreste mettervi insieme ed inventarvi qualche bella soluzione.
WM
By WM - posted 13/10/2008 09:26
- reply
riavvio ma dopo il bios appare un bel "DISK ERROR. SYSTEM FAILURE..."
"il backup e' bello, il backup e' buono, il backup mi fa dormire bene la notte"
meno male che dopo dieci minuti di riposo forzato ed assoluto il sistema si e' ripreso ed ho potuto fare quello che volevo...
Tipo cambiare il disco fisso?
Giepi
By Giepi - posted 13/10/2008 09:24
- reply
Cyber
By Cyber - posted 13/10/2008 09:25
- reply
Colui che tutti seguono e ammirano
Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.
Gohan
By Gohan - posted 13/10/2008 09:25
- reply
Cmq anche da me il "te l'avevo detto" non attecchisce: sai quante volte la gente nonostante gli avvertimenti continua a fare di testa sua?
yogurt
By yogurt - posted 13/10/2008 09:25
- reply
Comunque sei un genio ;)
NetWorm
By NetWorm - posted 13/10/2008 09:49
- reply
E' quello che mi han fatto fate dove lavoravo fino a qualche mese fa, solo che non ci girava smtp, ci girava vnc, senza password, perchè era complicato per il boss... (avevo la richiesta scritta...)
Andrea B.
By Andrea B. - posted 13/10/2008 10:17
- reply
Tuttavia per contenere i rischi si potrebbe evitare di sbracarsi completamente ... solo la porta necessaria e filtrare in ingresso solo il range di IP ammessi.
Davide Inglima - limaCAT
By Davide Inglima - limaCAT - posted 13/10/2008 10:17
- reply
Giuseppe
By Giuseppe - posted 13/10/2008 11:39
- reply
Ferretti S.
By Ferretti S. - posted 13/10/2008 10:17
- reply
fortunatamente per me i miei 5 boss di $noicuociamoimaiali non fanno grandi richieste informatiche, anzi direi proprio nessuna anche se ogni tanto ti piombano in ufficio con plichi di cd musicali per riempire i loro I-prot
Daniele
By Daniele - posted 13/10/2008 10:17
- reply
Se si pubblica un server su internet lo si fa solo per brevi periodi di tempo e si accettano solo connessioni dai rispettivi IP Pubblici dei clienti che hanno bisogno di vedere l'applicazione.
Nik
By Nik - posted 13/10/2008 10:17
- reply
sini
By sini - posted 13/10/2008 10:18
- reply
>Colui che tutti seguono e ammirano
>Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.
No, quella e' Cassandra. Ma tanto a noi cassandre va male comunque: quando prevediamo il disastro nessuno ci ascolta, dopo il disastro e' sicuramente colpa nostra
roberto
By roberto - posted 13/10/2008 10:18
- reply
Luca Barba
By Luca Barba - posted 13/10/2008 10:18
- reply
E' lavoro assicurato, l'importante e' fatturare gli interventi avvenuti a seguito di modifiche richieste ma sconsigliate.
Devo dire che in genere dopo QUALCHE DECINA di volte che pagano anche le menti piu' tarde iniziano a comprendere il concetto che se paghi qualcuno piu' esperto per certi servizi poi devi anche ascoltarlo.
Rigongia
By Rigongia - posted 13/10/2008 11:40
- reply
Beh, considerato che nella mia facoltà ci sono un circa 250 pc (dei laboratori) tutti con ip pubblici...
E' per questo che la chiamano AccaDemenzia no?
Tullio
By Tullio - posted 13/10/2008 11:40
- reply
:-)
Sky
By Sky - posted 13/10/2008 11:40
- reply
WM
By WM - posted 13/10/2008 11:40
- reply
no! tipo fare un backup :-D
Cyber
By Cyber - posted 13/10/2008 11:40
- reply
Colui che tutti seguono e ammirano
Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.
inventati il ballo del "te l avevo detto", con tutte le volte che succede secondo me diventeresti anoressico
Sacripant
By Sacripant - posted 13/10/2008 11:42
- reply
poi a disastro avvenuto tu con faccia giuliva perché avevi ragione ma con una lacrima che corre sul viso (perché sarai tu a mettere a posto)sarai additato da tutti come IL PORTA SFIGA...non avevi ragione, non avevi fatto tutti i ragionamenti giusti, non è stata la tua esperienza...NO tu hai portato sfiga perché sei uno smanettone secchione nerd sfigato coi BBrufoli che ci piace stare a giocare coi compIuter tutta la notte...
PAP400
By PAP400 - posted 13/10/2008 11:42
- reply
Non sai quante volte l'han chiesto anche a me...
Finora però son riuscito a terrorizzare abbastanza i richiedenti, infarcendo il tutto con "possibili conseguenze" e "sotto la tua responsabilità".
Unica deroga ammessa: ACL su OUT per singolo IP esterno, su singola porta (22) di server in DMZ e port-forward su altra singola porta di server in LAN (classicamente via putty) e log delle connessioni.
Faccio bene a dormir sonni tranquilli?
Jurghen
By Jurghen - posted 13/10/2008 11:42
- reply
1) storie assicurate per anni
2) fatture inversamente proporzionali al QI del cliente...
:)
Antonio
By Antonio - posted 13/10/2008 11:42
- reply
Proprio loro. E' il posto dove le "storie" sono nate.
alessio
By alessio - posted 13/10/2008 11:42
- reply
Blueyes™
By Blueyes™ - posted 13/10/2008 11:43
- reply
Antonio Pennino
By Antonio Pennino - posted 13/10/2008 11:43
- reply
Eugenio D.
By Eugenio D. - posted 13/10/2008 12:32
- reply
Quando l'intera rete interna sarà completamente sputtanata, cosa pensi di dirgli?
Te l'avevo detto, te l'avevo detto, te l'avevo detto...
Kurgan
By Kurgan - posted 13/10/2008 12:33
- reply
Purtroppo e` molto difficile mettere loro in testa questa semplice idea che se mi pagano magari e` perche` io so fare il mio lavoro meglio di quanto lo sappiano fare loro.
Sky
By Sky - posted 13/10/2008 12:33
- reply
Dom
By Dom - posted 13/10/2008 13:37
- reply
- $brancodipaguri e' la prima azienda dove hai lavorato (tra quelle citate nelle "storie")? La stessa che ti sposto' in piccionaia?
- Proprio loro. E' il posto dove le "storie" sono nate.
La vita ha uno strano senso dell'umorismo.
SL senza speranza: sono 10 anni che cerco di spiegare a mio padre perchè non può inviare mail con l'account di $provider-italiano dal vietnam. E ogni volta sbatto contro l'immancabile: "ma in italia funziona". Fanculo ai Lapdog
Kerio
By Kerio - posted 13/10/2008 14:50
- reply
scusa, perchè?
usa la mail di $free_as_in_speech? no perchè un freepops si può pure installare residente sul portatile, eh
Eugenio C.
By Eugenio C. - posted 13/10/2008 18:28
- reply
yum install pagure
Dom
By Dom - posted 13/10/2008 18:28
- reply
... Si poi c'è google e n-mila servizi di mail, ma lui vuole la sua mail sul suo portatile con $guardafoera con la sua casella di posta a zero sbattimento capisci.. è un SL mica per altro.. andare su internet e usare la web-application.. ? miiii troppo complesso..
Massimo M.
By Massimo M. - posted 13/10/2008 18:29
- reply
Quando eri' la' che facevi, oltre a gestire la rete, un sacco di altre cose (mi ricordo ancora la storia dove tu hai elencato i tuoi clue, e i vari SL e SUSL ti stavano a guardare con gli occhi fuori dalla testa), ti pagavano poco.
Adesso, per farti gestire SOLO la rete, di sicuro con il contratto che hanno con $networkgestapo, gli costerai di sicuro minimo il triplo.
Senza contare che tu di sicuro non avresti buttato nel cesso 30000 euro per dei cisco Pix. O, se li avessi comprati, almeno li avresti usati.
Gli sta bene.
Andrea
By Andrea - posted 13/10/2008 18:29
- reply
ma tu mi vuoi proprio male eh?
Mike
By Mike - posted 14/10/2008 08:46
- reply
Avere un IP pubblico è molto utile, se se ne hanno si utilizzino. Dopodiché usare il port forwarding come misura di sicurezza e` una emerita cavolata. Usi un IP pubblico e seghi le connessioni sul firewall. Oppure se non ti fidi degli utenti, per connetterti con il resto del mondo usi un (trasparent) proxy. Ma come chiunque abbia provato ad usare SIP e STUN il port forwarding è un bel problema.
Mauro Ansaloni
By Mauro Ansaloni - posted 14/10/2008 08:46
- reply
No, dovrebbe proporsi come $io_vi_dico_come_le_cose_devono_essere_fatte per "$cifrapazzesca x 4" e poi consigliare al $brancodipaguri di sentire $networkghestapo perche' e' l'azienda piu' competente. Tanto D. sai benissimo che non ti hanno mai ascoltato e quindi faranno di testa loro affidandosi al primo branco di disperti che troveranno in giro.
Ronzellor Il Semo
By Ronzellor Il Semo - posted 14/10/2008 08:46
- reply
>> Tipo cambiare il disco fisso?
>no! tipo fare un backup :-D
Cio' mi ricorda il mio vecchio SL: Mi si e' scassato il disco, fammi un backup ! Nonche' CL qualche tempo dopo: Mi e' partito il disco, dici che e' tardi per fare un backup ?
Filippo
By Filippo - posted 14/10/2008 08:47
- reply
>E detto questo mi chiudo alle spalle la porta per l'ultima >volta, salto sulla moto e galoppo via verso il tramonto.
>The End (?)
Quel punto interrogativo... Poteri divinatori o sfiga immane???
io voto "sfiga"
Nik
By Nik - posted 14/10/2008 08:47
- reply
no grazie, been there, done that, got the t-shirt
Ferretti S.
By Ferretti S. - posted 14/10/2008 11:13
- reply
questa è fortuna invece, chissà quante belle storie per noi ;)
Scussa???
okok voto anche io "sfiga"
ah, ecco, dicevo io...
Federico
By Federico - posted 14/10/2008 18:28
- reply
no, a te non ti piacerebbe vederlo, credimi
Leonardo
By Leonardo - posted 14/10/2008 20:30
- reply
quale parte di "appliance con solo la sua web-gui" non hai capito?
Andrea
By Andrea - posted 15/10/2008 08:47
- reply
mbeh hanno buttato nel cesso 30 keuro per un firewall mai usato...per chesso' 60keuro (SOLO 5k al mese!) non lo faresti? :D
se calcoli le tasse, adesso prendo di piu'
filsysadmin
By filsysadmin - posted 15/10/2008 10:09
- reply
Filippo
By Filippo - posted 15/10/2008 16:45
- reply
Facciamo a chi ce l'ha piu' lungo? (...Il log del firewall)
No, il senso era, se vuoi veramente fare il conslutante allora devi veramente chiedere tanti soldi. Ed in questo periodo economico non so quanto sia una buona idea. Perche' fare il conslutante per prendere meno soldi di quanto prendo adesso, rimango dove sono.
Andrea
By Andrea - posted 16/10/2008 08:36
- reply
Ah allora ritiro tutto
beato te, c'e' posto in olanda?
Gabriele
By Gabriele - posted 16/10/2008 14:51
- reply
Un solo accesso=massima sicurezza!!Bisognerebbe erigere un monumento a chi fa queste appliance così blindate: non mi stupirei se il case è composto di acciaio da 40mm di spessore a prova di lancia termica!!Un vero CENTRO DI SICUREZZA!!!! :LOL
Ciao
Daniele Levi
By Daniele Levi - posted 16/10/2008 12:42
- reply
Ma che razza di appliance è? Con Endian (quello che uso di più), ma anche con SME anche se la webgui non prevede certe cose puoi comunque fargliele fare via shell ssh editando i files di configurazione. Una chiavica, praticamente l'unico accesso possibile e' tramite la sua webgui, niente ssh, niente telnet. Un fico secco. E' anche per quello che io volevo eliminarli e mettere su dei firewall seri.
tore
By tore - posted 24/10/2008 10:17
- reply
dissento. XMMS funziona secondo la mia definizione, ed un altro tot di programmi. Certo, a volte il problema non e' il programma ma cosa esattamente vuoi fare
