[rlug] centos7 :: connection refused dupa un timp

Adrian Sevcenco Adrian.Sevcenco at cern.ch
Sat Jul 21 12:07:02 EEST 2018 

On 07/21/2018 01:55 AM, wolfy at prolinux.ro wrote:
> On July 20, 2018 10:50:59 PM GMT+03:00, Adrian Sevcenco
> <Adrian.Sevcenco at cern.ch> wrote:
>> 
>> noi avem un /25 si un /26 , iesirea se face prin rutare statica in 
>> switchul de edge (echipament propriu) totul e o balta comuna (nu
>> avem ip-based sau mac-based vlans)
> Asta ar fi primul lucru pe care eu l-as modifica. In primul si primul
> rind as separa traficul in vlanuri. Separarea domeniilor de coliziune
> nu se pune ca masura de securitate dar usureaza mult viata celor care
> se ocupa de partea de network administration.
ok

> […]
>> trebuie sa fie o solutie ce sa se preteze si pentru ipv6
> 
> Fara sa pot acum sa ma uit sa vad ce stie exact HPul vostru si
> vorbind strict de problema initiala, m-as baza cred pe o solutie
> bricolata in jurul lui arpwatch care, cind vede o schimbare a MACului
> asociat unui IP - fie sa iti dea o alerta (chestie pe care o face
aha, asa e o chestie minimala, poate fi folosita fara modificari
merci!

> implicit) si, ca admin, vezi tu ce si cum -  fie sa interactioneze
> direct cu switchul (lde ex la o adica poti discuta cu el prin ssh cu
> ceva dialog scriptat in expect si pornind de la outputul lui "sh int
> mac dead.beaf") si tot ca exemplu sa dea shutdown  portului unde a
> aparut "offender"ul. Ca alternativa sint sigur ca poti prelua prin
aha.. da, prin ssh merge sigur, dar mai degraba as folosi un snmpv3 set

> SNMP MACurile si sa prelucrezi extern informatia dupa care tot prin
> SNMP sa comanzi portul afectat. Sau pur si simplu sa afli
da, aveam un script ce stringea macurile de pe swithuri :) trebuie sa il 
scutur de praf :)))

> cine/ce/unde face modificari in adresarea IP
> 
> Eu am niste modele (tot HP, seria 2600) mai chioare si am ales sa dau
> shutdown din port-security daca apare pe vreunul dintre porturile de
> interes un MAC necunoscut. Am avantajul ca pe acele porturi chiar imi
> pot permite sa dau shutdown pt ca, evident, in fct de ce e conectat
> acolo uneori nu poti...
aha .. eh chiar port shutdown nu as folosi .. dar pot sa pun OID-ul cu 
comanda de set comentat in script :)) just in case :))

maparile ip-mac valide unde le tii? baza de date, sqlite, txt, /etc/ethers?

Multumesc mult!
Adrian

More information about the RLUG mailing list