Tales from the Machine Room |
Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Set language to:en it | Login/Register
E cosi', quando l'altro ieri SL ha chiamato per una serie di problemi con una delle applicazioni in testing, io avevo gia' capito quale era il problema, avendo penato per svariate ore per spiegare il problema ad SL un sei o sette anni fa. In effetti, fu una spiegazione molto lunga, con disegnini e frecce che occupo' la buona parte della prima riunione che feci con SL quando assunsi l'incarico di Sysadmin.
Spiego rapidamente la situazione: $brancodipaguri ha una soluzione classica con un firewall che protegge la LAN ed una DMZ. I server in DMZ hanno il loro IP "reale" come 10.x.y.z, mentre l'IP pubblico viene nattato dal firewall all'occorrenza. In concomitanza con cio', alcuni PC della LAN sono "esposti" ad internet tramite NAT dal firewall stesso. Non domandatemi il perche', e' una storia molto lunga e molto complessa. Io ho cercato molte volte di rettificare la situazione ma per vari motivi (SL per lo piu') non mi e' mai riuscito. Il risultato e' che se si cerca di contattare uno di questi 'server' usando il suo indirizzo IP pubblico dalla LAN, la connessione cade nel vuoto perche' il firewall non fa' SNAT per connessioni verso la LAN.
Io cercai piu' volte di spiegare il problema (la lezione prodotta si intitolava "the big bad internet") ad SL, ma l'unica cosa che ottenni fu un core-dump del cervello di SL. No, non e' stato un bello spettacolo.
Adesso sono di nuovo qui. Il problema stavolta e' che qualche pisquanone ha deciso di "provare" una qualche applicazione di CRM installandola sul suo lapdog e qualcuno di $immensasocieta vorrebbe provare tale applicazione dagli uffici principali. UL (no, non lo stesso UL) che mi ha sostituito, ha applicato il NAT, ma si e' ritrovato a corto di parole quando tutti gli hanno fatto notare che dalla LAN adesso l'applicazione non funziona piu'. La mia spiegazione telefonica non e' stata sufficiente e la mia soluzione (aggiungere l'IP interno nel DNS interno) non e' stata capita. Ragion per cui, mi ritrovo qui. Stesso ufficio, stessa sala riunioni, stesso SL e stesse domande idiote.
SL - Ma se io sono a casa e provo a collegarmi funziona tutto, perche' non
puo' funzionare uguale da qui?
IO - Mi pare di averlo gia' spiegato almeno 3 volte, di cui una per iscritto.
E' il modo come internet funziona. E le soluzioni (due) sono scritte nella
stessa mail.
SL - Ma io non voglio mettere il portatile nella DMZ.
IO - E allora si tratta di cambiare il DNS interno.
SL - Hemmm... Non possiamo cambiare il DNS interno.
IO - Oh bella, e perche' no?
SL - Perche'.... e' una roba che dipende da $immensasocieta.
IO - ? E da quando? L'ultima volta che abbiamo discusso di networking
(ok che era un sei-sette anni fa) quelli non distinguevano una scheda di rete
da un cannolo alla crema.
SL - Si bhe'...
IO - Con chi bisogna parlare ad $immensasocieta per quella roba?
UL - No, lascia perdere... e' che... hemmmm...
IO - Hemmm?
UL - Non lo abbiamo piu' il DNS interno.
IO - ?? Come sarebbe a dire che non lo avete piu? Il DNS era parte integrante
del DC che il precedente UL spese diversi giorni per installare.
UL - Si bhe hemmm... diciamo che abbiamo avuto una serie di problemi e...
insomma non si puo' fare.
Tiro ad indovinare qui. Qualcuno (un UL a caso) ha perso la password di Administrator, cosi' ha provato ad installare un nuovo DC ed ha fatto un gran casino. Ringraziando Santa Genoveffa, io mi devo gestire solo la parte relativa a Linux, quindi una scrollata di spalle e' tutto cio' che mi serve per dimenticarmi del problema.
IO - In tal caso o sposti il swerver in DMZ o te lo scordi.
SL - Ma senti, questa storia dello swat...
IO - SNAT
SL - ...si, quel che e'... perche' non lo aggiungiamo al firewall?
IO - Gia' te lo spiegai diverse volte. Tu non vuoi che il firewall
faccia SNAT sulle connessioni verso la LAN, perche' se lo fai, il server
in questione non e' piu' in grado di distinguere da dove arriva la
connessione. Tutte sono dal firewall. E dato che sono sicuro che avete una
caterva di cagate in giro per la rete che sono malconfigurate, avere tali
cagate che non sanno piu' da che parte arrivano le connessioni e' sicuramente
una bruttissima idea.
SL - Ma...
IO - Per fare dei test su una applicazione che quasi sicuramente non funziona
poi, non mi sembra proprio una soluzione, mi sembra un preludio al disastro.
UL - Come fai a dire che non funziona?
IO - L'ha scelta UL2 giusto? Eccotelo dimostrato.
UL - Ma no, in generale funziona... ci sono un paio di problemi pero'...
IO - (scuotendo la testa) No guarda, le cose sono in digitale,
(contando sulle dita) funziona oppure non funziona. Dove
"funziona" si definisce come "fa quello che voglio, come lo voglio, quando lo
voglio ed ogni volta che lo voglio", e "non funziona" e' tutto il resto. Questo
coso fa quello che vuoi, come lo vuoi, quando lo vuoi ed ogni volta che lo vuoi?
UL - Bhe, non proprio pero'...
IO - E allora e' un "non funziona".
SL ed UL rimunginano per un po'. Tanto lo so gia' che cosa arriva dopo.
SL - Senti, mettiamo questo Swat o Squat o come diavolo si chiama sul firewall.
IO - Mandami una mail quotandomi la mia, cosi' quando le cose andranno ka-bumm,
almeno potro' dirti che 'te lo avevo detto'.
UL - Quanto ci mettiamo a fare questa cosa?
IO - A fare la modifica sul firewall? Cinque minuti. A ripulire i casini che
succederanno dopo? Possiamo anche metterci cinquant'anni.
La modifica sul firewall e' fatta alle 13.45, adesso vediamo quanto ci mette qualche cosa a fare ka-bumm... Sigh. La storia si ripete sempre: non mi danno mai retta.
Davide
13/10/2008 00:00
Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.
retto By retto posted 13/10/2008 08:44
Jack By Jack posted 13/10/2008 08:46
cosa che mi sarebbe piaciuta, se non fosse che quella parte della rete usa un firewall-appliance dove o fai le cose tramite la sua web-interfaccia o picche.
Sacripant By Sacripant posted 13/10/2008 09:22
Gas By Gas posted 13/10/2008 08:46
non li ho contati, ma non molti.
Cyber By Cyber posted 13/10/2008 08:45
Definisci "carismatico".
Tommaso By Tommaso posted 13/10/2008 09:22
Ferretti S. By Ferretti S. posted 13/10/2008 09:22
anche troppi...
Daniele By Daniele posted 13/10/2008 09:24
Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet? Cosi' nel malaugurato caso in cui il pistola comincia a far funzionare un bel serverino SMTP improvvisamente non solo ti impiastra tutta la lan ma ti inchiuma anche i server interni? Ah, be... tu ed SL potreste mettervi insieme ed inventarvi qualche bella soluzione.
WM By WM posted 13/10/2008 09:26
Tipo cambiare il disco fisso?
Giepi By Giepi posted 13/10/2008 09:24
Cyber By Cyber posted 13/10/2008 09:25
Colui che tutti seguono e ammirano
Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.
Gohan By Gohan posted 13/10/2008 09:25
yogurt By yogurt posted 13/10/2008 09:25
NetWorm By NetWorm posted 13/10/2008 09:49
Andrea B. By Andrea B. posted 13/10/2008 10:17
Davide Inglima - limaCAT By Davide Inglima - limaCAT posted 13/10/2008 10:17
Giuseppe By Giuseppe posted 13/10/2008 11:39
Ferretti S. By Ferretti S. posted 13/10/2008 10:17
Daniele By Daniele posted 13/10/2008 10:17
Nik By Nik posted 13/10/2008 10:17
sini By sini posted 13/10/2008 10:18
roberto By roberto posted 13/10/2008 10:18
Luca Barba By Luca Barba posted 13/10/2008 10:18
Rigongia By Rigongia posted 13/10/2008 11:40
E' per questo che la chiamano AccaDemenzia no?
Tullio By Tullio posted 13/10/2008 11:40
Sky By Sky posted 13/10/2008 11:40
WM By WM posted 13/10/2008 11:40
Cyber By Cyber posted 13/10/2008 11:40
Sacripant By Sacripant posted 13/10/2008 11:42
PAP400 By PAP400 posted 13/10/2008 11:42
Jurghen By Jurghen posted 13/10/2008 11:42
Antonio By Antonio posted 13/10/2008 11:42
Proprio loro. E' il posto dove le "storie" sono nate.
alessio By alessio posted 13/10/2008 11:42
Blueyes™ By Blueyes™ posted 13/10/2008 11:43
Antonio Pennino By Antonio Pennino posted 13/10/2008 11:43
Eugenio D. By Eugenio D. posted 13/10/2008 12:32
Te l'avevo detto, te l'avevo detto, te l'avevo detto...
Kurgan By Kurgan posted 13/10/2008 12:33
Sky By Sky posted 13/10/2008 12:33
Dom By Dom posted 13/10/2008 13:37
Kerio By Kerio posted 13/10/2008 14:50
Eugenio C. By Eugenio C. posted 13/10/2008 18:28
yum install pagure
Dom By Dom posted 13/10/2008 18:28
Massimo M. By Massimo M. posted 13/10/2008 18:29
Andrea By Andrea posted 13/10/2008 18:29
ma tu mi vuoi proprio male eh?
Mike By Mike posted 14/10/2008 08:46
Mauro Ansaloni By Mauro Ansaloni posted 14/10/2008 08:46
Ronzellor Il Semo By Ronzellor Il Semo posted 14/10/2008 08:46
Cio' mi ricorda il mio vecchio SL:
Mi si e' scassato il disco, fammi un backup ! Nonche' CL qualche tempo dopo: Mi e' partito il disco, dici che e' tardi per fare un backup ?
Filippo By Filippo posted 14/10/2008 08:47
Quel punto interrogativo... Poteri divinatori o sfiga immane???
io voto "sfiga"
Nik By Nik posted 14/10/2008 08:47
no grazie, been there, done that, got the t-shirt
Ferretti S. By Ferretti S. posted 14/10/2008 11:13
questa è fortuna invece, chissà quante belle storie per noi
Scussa???
okok voto anche io "sfiga"
ah, ecco, dicevo io...
Federico By Federico posted 14/10/2008 18:28
no, a te non ti piacerebbe vederlo, credimi
Leonardo By Leonardo posted 14/10/2008 20:30
quale parte di "appliance con solo la sua web-gui" non hai capito?
Andrea By Andrea posted 15/10/2008 08:47
mbeh hanno buttato nel cesso 30 keuro per un firewall mai usato...per chesso' 60keuro (SOLO 5k al mese!) non lo faresti?
se calcoli le tasse, adesso prendo di piu'
filsysadmin By filsysadmin posted 15/10/2008 10:09
Filippo By Filippo posted 15/10/2008 16:45
Facciamo a chi ce l'ha piu' lungo? (...Il log del firewall)
No, il senso era, se vuoi veramente fare il conslutante allora devi veramente chiedere tanti soldi. Ed in questo periodo economico non so quanto sia una buona idea. Perche' fare il conslutante per prendere meno soldi di quanto prendo adesso, rimango dove sono.
Andrea By Andrea posted 16/10/2008 08:36
Gabriele By Gabriele posted 16/10/2008 14:51
Un solo accesso=massima sicurezza!!Bisognerebbe erigere un monumento a chi fa queste appliance così blindate: non mi stupirei se il case è composto di acciaio da 40mm di spessore a prova di lancia termica!!Un vero CENTRO DI SICUREZZA!!!! :LOL
Ciao
Daniele Levi By Daniele Levi posted 16/10/2008 12:42
Ma che razza di appliance è?
Con Endian (quello che uso di più), ma anche con SME anche se la webgui non prevede certe cose puoi comunque fargliele fare via shell ssh editando i files di configurazione.
Una chiavica, praticamente l'unico accesso possibile e' tramite la sua webgui, niente ssh, niente telnet. Un fico secco. E' anche per quello che io volevo eliminarli e mettere su dei firewall seri.
tore By tore posted 24/10/2008 10:17
dissento. XMMS funziona secondo la mia definizione, ed un altro tot di programmi. Certo, a volte il problema non e' il programma ma cosa esattamente vuoi fare
This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.
This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.
This site isn't optimized for vision with any specific browser, nor
it requires special fonts or resolution.
You're free to see it as you wish.