Storie dalla Sala Macchine

ecco perchè la democrazia non funziona...

Io ho aggirato il problema usando il netmap di iptables.

cosa che mi sarebbe piaciuta, se non fosse che quella parte della rete usa un firewall-appliance dove o fai le cose tramite la sua web-interfaccia o picche.

Viva via SL che con la sua scelta ci da la possibilità di avere storie da qui ai prossimi "anche cinquantanni"...perché avere un server con outside, dmz e inside quando puoi appiattire tutto con lo SWAT...mi sa che non si era confuso SWAT con SNAT mi sa che voleva dire proprio quello...adesso avranno simpatici amici che gli faranno irruzione dentro e fuori dagli swerver, blinda la linux e logga ciò che è possibile da essa del resto della rete.

Cerca di organizzare le vacanze per il KA-BUMM-DAY

Ma LOL!

Per curiosita'.. dopo quanto millisecondi e' arrivata la prima mail che ti avvertiva di "ka-boom in svolgimento"?

non li ho contati, ma non molti.

Non ti senti tanto carismatico in quel ufficio vero?

Definisci "carismatico".

> La storia si ripete sempre: non mi danno mai retta.

E che ti meravigli pure? Ormai dovresti aver imparato, almeno tu...

ah! adoro le storie su $brancodipaguri! in quel posto si che ci sono veri CL!

anche troppi...

Da come viene descritta la rete sembra uguale a quella utilizzata da noi ma sicuramente ho capito male visto che tale problema non si presenta nella nostra soluzione.

DMZ to Internet effettuato con static translation

Lan to Internet effettuato con NAT su singolo IP Pubblico

Verissimo che se chiami un server dalla lan con il suo IP Pubblico ti manda a cagare ma non capisco la difficoltà nel pubblicare un pc dalla lan su internet con un'ip pubblico.

Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet? Cosi' nel malaugurato caso in cui il pistola comincia a far funzionare un bel serverino SMTP improvvisamente non solo ti impiastra tutta la lan ma ti inchiuma anche i server interni? Ah, be... tu ed SL potreste mettervi insieme ed inventarvi qualche bella soluzione.

Ieri mattina ti ho pensato... in senso buono! riavvio il pc in dual boot per vedere di salvare i dati sotto win. controllo cosa c'e' nelle varie partizioni quando "CLANG!!!" e il pc si blocca!!!

riavvio ma dopo il bios appare un bel "DISK ERROR. SYSTEM FAILURE..."

"il backup e' bello, il backup e' buono, il backup mi fa dormire bene la notte"

meno male che dopo dieci minuti di riposo forzato ed assoluto il sistema si e' ripreso ed ho potuto fare quello che volevo...

Tipo cambiare il disco fisso?

è troppo scontato citare quella frase famosa di Einstein?

@Definisci "carismatico".

Colui che tutti seguono e ammirano

Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.

Bhe dai... tutto sommato i danni collaterali sono rimasti contenuti se hai ricevuto solo poche email di lamentela.

Cmq anche da me il "te l'avevo detto" non attecchisce: sai quante volte la gente nonostante gli avvertimenti continua a fare di testa sua?

i fantasmi del passato... brutta cosa...

Comunque sei un genio

"Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet?"

E' quello che mi han fatto fate dove lavoravo fino a qualche mese fa, solo che non ci girava smtp, ci girava vnc, senza password, perchè era complicato per il boss... (avevo la richiesta scritta...)

> Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet? Cosi' nel malaugurato caso [..]

Tuttavia per contenere i rischi si potrebbe evitare di sbracarsi completamente ... solo la porta necessaria e filtrare in ingresso solo il range di IP ammessi.

Spero almeno tu abbia ricevuto la mail, stampata e messa sulla parete modello "quale parte di <<questa é una cattiva idea>> ti sfugge?"

Quando si chiede una consulenza, in genere, e' perche' non si sa risolvere un certo problema e si chiede aiuto a chi si ritiene ne sappia di piu'. Non capisco perche' questi tipi si ostinino a chiedere aiuto per poi continuare a voler fare di testa loro. In bocca al lupo!

@NetWorm: le richieste del boss non si discutono, è lui che paga la pagnotta!

fortunatamente per me i miei 5 boss di $noicuociamoimaiali non fanno grandi richieste informatiche, anzi direi proprio nessuna anche se ogni tanto ti piombano in ufficio con plichi di cd musicali per riempire i loro I-prot

Beh, mettiamola così...il firewall è configurato per permettere solo ai server autorizzati ad effettuare operazioni ad alto rischio DNS, SMTP etc.

Se si pubblica un server su internet lo si fa solo per brevi periodi di tempo e si accettano solo connessioni dai rispettivi IP Pubblici dei clienti che hanno bisogno di vedere l'applicazione.

@ NetWorm: e lì il "ka-bum" come si è manifestato?

>@Definisci "carismatico".

>Colui che tutti seguono e ammirano

>Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.

No, quella e' Cassandra. Ma tanto a noi cassandre va male comunque: quando prevediamo il disastro nessuno ci ascolta, dopo il disastro e' sicuramente colpa nostra

piu' che "carismatico", con tutto il fiato che deve sprecare con $banda_di_pirla, direi "cariAsmatico"....

Data la tua situazione attuale, direi che devi sostenere questo tipo di idee.

E' lavoro assicurato, l'importante e' fatturare gli interventi avvenuti a seguito di modifiche richieste ma sconsigliate.

Devo dire che in genere dopo QUALCHE DECINA di volte che pagano anche le menti piu' tarde iniziano a comprendere il concetto che se paghi qualcuno piu' esperto per certi servizi poi devi anche ascoltarlo.

Cit. "Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet?"

Beh, considerato che nella mia facoltà ci sono un circa 250 pc (dei laboratori) tutti con ip pubblici...

E' per questo che la chiamano AccaDemenzia no?

Di' la verita', sei tu che trami nell'ombra per farti assegnare clienti cosi', che se no non hai abbastanza materiale per scrivere le storie ...

:-)

Sì sì... un po(chino) ci spiace per te (ma in fondo mi sa che ti ci diverti pure tu) ma $brancodipaguri risolverà alla grande il problema del calo del materiale per le Storie d.S.M. del lunedì per taaaaaaanti lunedì.

>> Tipo cambiare il disco fisso?

no! tipo fare un backup

@Definisci "carismatico".

Colui che tutti seguono e ammirano

Allora no. Se intendevi "quello che tutti scornano finche' non salta fuori che aveva ragione fin dal principio" allora si'.

inventati il ballo del "te l avevo detto", con tutte le volte che succede secondo me diventeresti anoressico

Io ho capito ben presto che il Sysadmin non è ascoltato anche se dice "dopo di questo succederà un disastro"...

poi a disastro avvenuto tu con faccia giuliva perché avevi ragione ma con una lacrima che corre sul viso (perché sarai tu a mettere a posto)sarai additato da tutti come IL PORTA SFIGA...non avevi ragione, non avevi fatto tutti i ragionamenti giusti, non è stata la tua esperienza...NO tu hai portato sfiga perché sei uno smanettone secchione nerd sfigato coi BBrufoli che ci piace stare a giocare coi compIuter tutta la notte...

---> "Cioe', tu metteresti un PC che si trova nella LAN direttamente disponibile da Internet?"

Non sai quante volte l'han chiesto anche a me...

Finora però son riuscito a terrorizzare abbastanza i richiedenti, infarcendo il tutto con "possibili conseguenze" e "sotto la tua responsabilità".

Unica deroga ammessa: ACL su OUT per singolo IP esterno, su singola porta (22) di server in DMZ e port-forward su altra singola porta di server in LAN (classicamente via putty) e log delle connessioni.

Faccio bene a dormir sonni tranquilli?

Vedila positivamente:

1) storie assicurate per anni

2) fatture inversamente proporzionali al QI del cliente...

:)

$brancodipaguri e' la prima azienda dove hai lavorato (tra quelle citate nelle "storie")? La stessa che ti sposto' in piccionaia?

Proprio loro. E' il posto dove le "storie" sono nate.

io ce lo avrei messo davvero uno sWat... ma di quelli in tenuta antisommossa!

AAAAAHHHH.... che soddisfazioni!!!! Vuol dire che ancora ti rimpiangono..... Doppio-AAAAAHHHH....!!!!!

Sai che non sono convinto? Io ho gestito la mia rete in modo similare, solo che il traffico WAN e il traffico LAN arrivavano al firewall da eth separate e comunque esisteva un firewall di LAN che aveva un IP nella subnet della DMZ. In questo modo sono i pacchetti che provenivano da Internet venivano nattati.

Ma che bello vedere che il frutto della tua fatica è andato a puttane e quella gente troppo intelligente non ha fiuto per le catastrofi.

Quando l'intera rete interna sarà completamente sputtanata, cosa pensi di dirgli?

Te l'avevo detto, te l'avevo detto, te l'avevo detto...

Luca Barba, sarebbe bello che i clienti che ti pagano come consulente poi ascoltassero quello che gli dici. Spesso non vogliono essere consigliati (come il cocetto di consulente vorrebbe implicare) ma vogliono qualcuno che metta in pratica le loro idee balzane, anche se sono balzane.

Purtroppo e` molto difficile mettere loro in testa questa semplice idea che se mi pagano magari e` perche` io so fare il mio lavoro meglio di quanto lo sappiano fare loro.

@Sacripant: tutto chiaro e limpido come il sole di mezziogiorno... il trucco (esperienza mia) sta nell'arrivare con aria innocente e dire "ma come... ero convinto che la VOSTRA soluzione avrebbe retto "... e solo a QUEL punto far la faccia giuliva.

Cit:

- $brancodipaguri e' la prima azienda dove hai lavorato (tra quelle citate nelle "storie")? La stessa che ti sposto' in piccionaia?

- Proprio loro. E' il posto dove le "storie" sono nate.

La vita ha uno strano senso dell'umorismo.

SL senza speranza: sono 10 anni che cerco di spiegare a mio padre perchè non può inviare mail con l'account di $provider-italiano dal vietnam. E ogni volta sbatto contro l'immancabile: "ma in italia funziona". Fanculo ai Lapdog

@Dom:

scusa, perchè?

usa la mail di $free_as_in_speech? no perchè un freepops si può pure installare residente sul portatile, eh

Ehm... oggi i paguri del mio acquario hanno indetto una manifestazone di protesta per l'accostamento al branco di umani su descritto... consigli per calmarli?

yum install pagure

@ Kerio

... Si poi c'è google e n-mila servizi di mail, ma lui vuole la sua mail sul suo portatile con $guardafoera con la sua casella di posta a zero sbattimento capisci.. è un SL mica per altro.. andare su internet e usare la web-application.. ? miiii troppo complesso..

Quelli di $brancodipaguri sono degli *****.

Quando eri' la' che facevi, oltre a gestire la rete, un sacco di altre cose (mi ricordo ancora la storia dove tu hai elencato i tuoi clue, e i vari SL e SUSL ti stavano a guardare con gli occhi fuori dalla testa), ti pagavano poco.

Adesso, per farti gestire SOLO la rete, di sicuro con il contratto che hanno con $networkgestapo, gli costerai di sicuro minimo il triplo.

Senza contare che tu di sicuro non avresti buttato nel cesso 30000 euro per dei cisco Pix. O, se li avessi comprati, almeno li avresti usati.

Gli sta bene.

bhe guarda il lato positivo, se ora tutto fa kaboom puoi proporre di prendere in mano la gestine di TUTTO tu come consulente esterno per $cifrapazzesca , visto i manager che ci sono forse approvano

ma tu mi vuoi proprio male eh?

@Rigongia

Avere un IP pubblico è molto utile, se se ne hanno si utilizzino. Dopodiché usare il port forwarding come misura di sicurezza e` una emerita cavolata. Usi un IP pubblico e seghi le connessioni sul firewall. Oppure se non ti fidi degli utenti, per connetterti con il resto del mondo usi un (trasparent) proxy. Ma come chiunque abbia provato ad usare SIP e STUN il port forwarding è un bel problema.

@Andrea:

No, dovrebbe proporsi come $io_vi_dico_come_le_cose_devono_essere_fatte per "$cifrapazzesca x 4" e poi consigliare al $brancodipaguri di sentire $networkghestapo perche' e' l'azienda piu' competente. Tanto D. sai benissimo che non ti hanno mai ascoltato e quindi faranno di testa loro affidandosi al primo branco di disperti che troveranno in giro.

WM dice il 13/10/2008 10:50:

>> Tipo cambiare il disco fisso?

>no! tipo fare un backup

Cio' mi ricorda il mio vecchio SL:

Mi si e' scassato il disco, fammi un backup ! Nonche' CL qualche tempo dopo: Mi e' partito il disco, dici che e' tardi per fare un backup ?

>Rewind...

>E detto questo mi chiudo alle spalle la porta per l'ultima >volta, salto sulla moto e galoppo via verso il tramonto.

>The End (?)

Quel punto interrogativo... Poteri divinatori o sfiga immane???

io voto "sfiga"

@ Andrea: quindi stai suggerendo a D di proporsi come conslutante? LOL

no grazie, been there, done that, got the t-shirt

>io voto "sfiga"

questa è fortuna invece, chissà quante belle storie per noi

Scussa???

okok voto anche io "sfiga"

ah, ecco, dicevo io...

mi piacerebbe vedere il kernel panic del cervello di SL!!!

no, a te non ti piacerebbe vederlo, credimi

Come mai non hai assegnato alle machcine interen un secondo indirizzo, guarda caso coincidente con quello esterno, e istruito il firewall che faccia un semplice routing quando dall'interno vede una connessione verso questi indirizzi?

quale parte di "appliance con solo la sua web-gui" non hai capito?

"ma tu mi vuoi proprio male eh?"

mbeh hanno buttato nel cesso 30 keuro per un firewall mai usato...per chesso' 60keuro (SOLO 5k al mese!) non lo faresti?

se calcoli le tasse, adesso prendo di piu'

Direi che ti pagano il giusto per quello che sai fare.

Ecco perchè in Olanda non è quasi mai bel tempo?

Peggio e quando fai/cevi di tutto anche di più ma con paga che neanche arriva 1keuro.

> se calcoli le tasse, adesso prendo di piu'

Facciamo a chi ce l'ha piu' lungo? (...Il log del firewall)

No, il senso era, se vuoi veramente fare il conslutante allora devi veramente chiedere tanti soldi. Ed in questo periodo economico non so quanto sia una buona idea. Perche' fare il conslutante per prendere meno soldi di quanto prendo adesso, rimango dove sono.

"se calcoli le tasse, adesso prendo di piu' "

Ah allora ritiro tutto beato te, c'e' posto in olanda?

>>Una chiavica, praticamente l'unico accesso possibile e' tramite la sua webgui, niente ssh, niente telnet. Un fico secco.

Un solo accesso=massima sicurezza!!Bisognerebbe erigere un monumento a chi fa queste appliance così blindate: non mi stupirei se il case è composto di acciaio da 40mm di spessore a prova di lancia termica!!Un vero CENTRO DI SICUREZZA!!!! :LOL

Ciao

>> quale parte di "appliance con solo la sua web-gui" non hai capito?

Ma che razza di appliance è?

Con Endian (quello che uso di più), ma anche con SME anche se la webgui non prevede certe cose puoi comunque fargliele fare via shell ssh editando i files di configurazione.

Una chiavica, praticamente l'unico accesso possibile e' tramite la sua webgui, niente ssh, niente telnet. Un fico secco. E' anche per quello che io volevo eliminarli e mettere su dei firewall seri.

Con la definiziona "fa quello che voglio, come lo voglio, quando lo voglio ed ogni volta che lo voglio" direi che nulla funziona mai... ma in effetti e` cosi`.

dissento. XMMS funziona secondo la mia definizione, ed un altro tot di programmi. Certo, a volte il problema non e' il programma ma cosa esattamente vuoi fare