четверг, 23 августа 2012
17:56

Грабельное

Поднимаю я на тестовом сервачке в тестовом vlan'чике тестовый же апачик, вгоняю свою машинку в vlan'чик, прописываю маршрутик, запускаю браузер - и вижу фигу. Вернее, не вижу. Ничего.
Гм. Прокси в браузере? Отключен. Гм. Запускаю telnet server 80 - та же фига. Гм-2.
Запускаю ping - работает, маршрут прописан правильно.
tcpdump -i em0 host ... на сервере - пинги видно, пинги идут, а вот на 80м порту тишина.
Гм-3. Ладно. Ставлю wireshark на клиентскую машину, дергаюсь к апачику - а в wireshark'е тоже тихо. Сложный случай в медицинской практике.
Беру nmap, начинаю сканить порты - и wireshark, и tcpdump показывают подергушки, в том числе и на 80м, тут все правильно (Src addr nmap правда не с того сетевого интерфейса берет, но это старая бага, обходится). Выбираю "помощь друга" - но консилиум узких специалистов по решению широких вопросов смог только зафиксировать проблему.
Гмм.... ну так же не бывает, да?! Нажимаю ctrl+f5 еще раз... и вижу мессагу с ошибкой от ISA-сервера. Стооооп! Какой-такой ISA-сервер? У меня прокси к чертям собачачьим отключен, а маршрут до vlan'чика прописан отдельно в обход шлюза, и маршрут этот работает!!!
А вотфиг. ISA-клиент стоит? Стоит. Ну, он и заворачивает весь трафик на 80м порту на 3128 прокси. Молча. Щщщщщучье племя, повбывал бы!!!

Впрочем, не успел я облегченно вздохнуть, как выяснилось, что проблемы с ISA'ой !внезапно возникли не у меня одного. DNS-dns'ит, ping'и ping'уются, telnet-telnet'ится на всех портах... кроме 80го. Как так? А вот... ISA? Неее, isa для разнообразия не при делах, походу какая-то сиська постаралась. До 5510 на 80й порт пролазим, после - тоже, кто виноват? А вот сама ASA'ка так не считает - хиты на правилах исправно применяются, all from any to any не помогает, переключение канала на резервный эффекта недает, родная тулза по анализу говорит, что пакеты отсюда-туда pass, ребут? Ребут. Все одно, полшестого. Так может это не она? Может это следующий за ней роутер дропает, но молчит? Цепляем вместо аски ноутбук - не-а, пашет. Менять? Нуууу... что там еще есть? TrendMicro'вский модуль, но он только входящий трафик сканит... Пофиг, смотрим! Ууупс! Лицензии кончились, гаденыш накрылся и трафик тихо дропает, ббббычье семя! Минута-в-минуту в конце рабочего дня интернет таки заинтернетил. Аминь.
Завтра с утра оформлять инцидент - оно конечно СОВСЕМ не моя сфера ответственности, но гумагу соорудить надо ).

А в это время... спидометр показал круглую цифру в 2000 км, накатанных за лето :)

@темы: Жизнь, Работа

URL
пятница, 17 августа 2012
06:21

Размышлизм

Тов. Столлман все еще боится, что г-н Брин или там камрад Шаттлворт злобно зажилит написанный код и никому-никому не отдаст.
А зря. Бояться надо другого - вместо того, чтобы прятать код под копирайтом гипотетический бизнесмен наймет какого-нибудь де Иказу или (Не к ночи будь помянут!) Поттеринга, который напишет совершенно открытое, насквозь свободное, GPL-поизделие, кривое до полной непереносимости.
Free? Free! As speech? Ага! А вот про то, что спич этот будет на русском или там английском языке, а не на диалекте каких-нибудь ацтеков - "на берегу" уговора не было.
И вреда от этого obfuscated-by-design кода куда больше, чем от честного бинарника без сырцов. Потенциально-то оно переносимо! Вот и тратят ресурс на адаптацию-поддержку того, что лучше бы закопать, как страшный сон.
Dixi.

@темы: Вендекапец!, Жизнь

URL
понедельник, 13 августа 2012
05:52

Мир становится с головы на ноги

У знакомой сын не прошел по конкурсу на автослесаря в ПТУ, пардон, в _коллэдж_ - бывает, чО уж там. Пришлось идти туда же на программиста :)

@темы: Жизнь

URL
суббота, 11 августа 2012
18:45

Гендерное

Стоишь ты ненакрашенная грязный, как собака, уставший после работы рыбалки, у плиты раковины, борщ готовишь мамонта свежуешь свежевыловленных судачков потрошишь-чистишь, а эта ... небритая скотина тунеядствующая особа к тебе со своими глупостями с оральным сексом пристает!
Повбывав бы!!!!

@настроение: Чувствую себя очень, очень, ОЧЕНЬ! странно.

@темы: Жизнь

URL
суббота, 04 августа 2012
17:30

И еще немного о...

... production-ready системах.

Сижу я, примуса починяю обертку-wrapper к куче legacy-скриптов для мониторинга всякого пишу. Скрипты действительно legacy - писаны как бы не во времена Очакова и покоренья Крыма 2k если не NT 4.0 в чистом cmd не пойми кем, но поскольку они jast works, то ревизией кода никто не занимался до тех пор, пока не началось внедрение централизованной системы мониторинга.
Впрочем, это все присказка, сказка начинается дальше. Пишу я на python'е, отлаживаю на рабочей машинке под управлением х...64 топора а.к.а. win 7, один скрипт отрабатывает, второй... а третий ругается на отсутствие telnet'а (Чума на голову Гейтса и головку Балмера за вынос инструмента из базовой системы!), ну да ладно - надо - поставим! Пуск-панель управления- компоненты цштвщцы-включение и отключение компонент, telnet. Проверяем из cmd - нормально. Запускаем скрипт... ни-ху-а. Гм. А! Походу ставится телнет в какую-то задницу, а PATH в скрипте не прописан! Ща...
Хм. Ставится он конечно в задницу, но не в какую-то, а в c:\windows\system32, в PATH он есть. Гм. Да. Прописываю на всякий случай полный путь к. Не работает. Проверяю права доступа (Ну чиста на всякий случАй) - ок. Гм.
Запускаю из скрипта голый шелл, делаю
cd c:\windows\system32\
dir - и НЕ НАХОЖУ в листинге telnet.exe!!!
Проверяю через гуй - есть. В консоли нет. Запускаю через пуск-выполнить cmd.exe, перехожу, смотрю - dir telnet.exe показывает. Шо за @%@$#^$%?!!!
Туплю.
Туплю.
Туплю.
....
А. Должно быть, в системе завелся Страшный Траян, который под видом cmd.exe лежит где-то там и запускается из скрипта раньше... Открываю диспетчер задач - так и есть, в системе два cmd.exe*32 и cmd.exe - лезу в свойства, проверяю цифровую подпись - сходится! Оба наджамшутены мелкомягкими, "родной-системный" 64х разрядный запускается из SYSWOW64 (Ей-ктулху, не вру! Так они папку и назвали ))) по умолчанию и работает нормально, а 32х разрядный python рожает 32х разрядный cmd.exe в котором даже lsdir глючит.
"Пользуйтесь резинками фирмы абидас"(Ц), в общем.
И я еще на Святых Рассеянских Бузинесс-Программиздов бочку качу! Ениальные же люди! Ну, подумаешь, ректально - но ведь работает!

@настроение: Повбывав бы!!!

@темы: Вендекапец!, Работа

URL
четверг, 19 июля 2012
19:36

И снова - садовый инвентарь.

Грабли, в смысле. Разнообразные.

Сижу себе, никого не трогаю, примуса починяю враппер для кучи чужих костылей скриптов для мониторинга всякого-разного рожаю. Скрипты - доисторические батники времен Очакова и покоренья Крыма, пара павершельных поизделий, самописный (Гы-гы!!!) grep на сях (Ну, ладно, до grep'а ЭТОМУ - как до .... - "лог парсер" с претензией на юниверссальность, не более) - всякой твари по паре. Система для отладки - 64х разрядный топор. Запускаю очередную итерацию скрипта, та со скрежетом добирается до очередного же батника - и вываливается. Не может найти telnet, ога.
Не, ну ясен пень, что telnet из default install'а в 7-ке выпилили - но я ж его лично, ручками ставил! Проверяю из консольки - ну да, есть такая буква. Хм. А! Наверное ставится он куды подальше, а $PATH в поизделиях не прописан, или прописан левый. Проверяю. Да нет, один и тот же. Нигде не переопределяется. telnet поставлен в c:\windows\system32.
Гм. Запускаю из враппера cmd.exe, думаю посмотреть ручаками - консолька стартует. Запускаю telnet - нет ответа. c:\windows\system32\telnet.exe - нет ответа. Делаю dir c:\windows\system32 - НЕТУ! Запускаю cmd.exe через пуск-выполнить, делаю то же самое - ЕСТЬ! WTF?!!!
Туплю.
Туплю.
Туплю.
Туплю.
Может кто-то страслый и ужаслый подменил cmd.exe на коварный руткит, и бедные винды запускают не то файло? Смотрю через диспетчер задач - ууупс! Запущенный из скрипта cmd.exe*32, а "штатный" - просто, лежат они в разных папОчках - *32 в system32, default x64 - в SysWOW64 (Не я это придумал!!! Оно так и названо!). Проверяю цифровые подписи - обе живые.
Так какого же МПХ, а? Встроенные команды оболочки по разному действуют? Production-ready система, в которой ls не работает, ога. Я еще на отечественных бусинесс-программиздов бочку качу - святые, натурально, люди.

3,14ец на 3,14еце, а не работа. Запускаю rdp-коннект к серверу БД, ухожу по делам - возвращаюсь - система лежит в лежку, на мои подергивания отзывается но мэдлээээнько-мэдлэээээнько. Хто виноват? mstsc.exe. Rdp-клиент, если кто не знает. Скушал 2+ гига памяти и захотел еще. После примерно часа плясок с бубнами удалось выяснить причину - на локальной консоли Тимур закопипастил в буфер over 9k логов - и отошел. Я цепанулся через rdp с console - и эта... production-ready попыталась подгрузить содержимое clipboard'а. Нуачо? Вдруг мне он ну-прям-позарез нужен будет? ля! ля! ля-ля-ля!!!

По сетке ползает очередная итерация конфикера. ДырВеб-дырВебом, а конфикер-кидой, ага. SP2'шный букварь, выделенный для конфигурежки сисек сдох за десять минут после подключения к сети. Хрюша-такая-хрюша, ага. Есть мнение, что smb/cifs надо от греха запилить на уровне win-firewall'а через групповухи, оставив доступ только к dfs-серверам, но учитывая имеющийся зоопарк ОС - как-то боязно. Жужель говорит, что были прецеденты. Похоже, правильней будет зарЭзать где-нибудь на сиськах, но где конкретно - консенсуса нет. Гм.

В добавок после грозы сдох порт на домашнем неттопе - у-вы, я зря два дня трахал моск провЁдерскому суппорту, проблема оказалась на моей стороне. Порт успешно определяет linkup/linkdown, но и только. Подключенный букварь в тырнет вполне выходит, а вот неттопный tcpdump кажет вечные полшестого. Обидно, вай.

@темы: Жизнь, Работа

URL
вторник, 10 июля 2012
18:37

Если вдруг кому интересно...

... Мой ежедневный commute или если быть точным - его половина :)

@темы: Жизнь

URL
среда, 04 июля 2012
22:38

Роиссянские бусинесс-программизды...

... местами просто удивительно рукожопы. Вот все еще удивительно. Они же, блин, за это деньги берут!!!
Типовая задача - организовать обмен данными между 1Цэ 8+ и собственной рукожопой софтиной. Софтина на МыСы Сыкуель, 1Ца, ессно, тоже - бери и радуйся, создавай пользователя, коннектись к 1Цешной базе и выбирай, что нужно - но нет, мы легких путей не ищем, "не секурно" и ваааще. Будем меняться через ХМЛя-файлы. Ладно, будем - мне не жалко. Вот тя папОчка, клади свою дребедень сюда, отсюда же забирать будешь - ок? Ок, ок.
Стоп. А как забирать? Хмм... а вот есть у нас вот такая аппликуха гуёвая, мы её запустим, и она каженные ... минут будет содержимое папОчки читать и ХМЛи в базу загружать - ок?
Гуевая? Аппликуха? На сервере? Мужики, вы ё..., или как? Ах, на "опытно-промышленную", потом переделаете? Ну ладно...
Опытно-промышленная закончилась. Переделали, конечно - но КАК?! Вместо одной гуевой апликухи сделали другую. Гуевую. Которая, вместо того, чтобы читать содержимое папОчки и писать его в базу, инсталлит СЕРВИС, который это самое содержимое с вкомпиленной (!!!) частотой в базу пишет. Сервис, ага. Нет, я понимаю, что cron'ом винды обижены, но планировщик задач-то там есть! Точно есть, я сам видел!!!
Ладно, хрен с вами - сервис, так сервис, лишь бы работало. Запускаем, кладем в папОчку файло - не-а, не пашет. В логах сиквеля ошибки, не хватает прав. Ну, да, ну да - аутентификация интегрированная, а сервис стартует от имени того, кто эту самую гуевую управлялку сервисом запускал, т.е. локального администратора, ибо из под обычной учетки службу того-этого не поставишь. Гм.
Ладно, меняем пользователя на доменного с правами bulkadmin на сиквеле, кладем файлы... авотхрен.
Ну чего тебе еще надо? Эммм... права sa на базу. Локи, а НАХРЕНА?! Ну, видите ли, наша служба передает имя ХМЛ-файла хранимой процедуре на сервере БД, а единственный (!) способ прочитать данные из хранимки - cmdshell, который доступен - правильно, администратору БД. ...ля! Точно единственный! Точно, точно, мы уж и так, и эдак, и с подвыподвертом, и в МыСы писали - никак-никак.
А если взять и загрузить содержимое файлов во временную таблицу и передать её имя в хранимку?
....
....
....
А давайте вы все же дадите пользователю админские права, а ваш вариант мы как-нибудь потом попробуем...
Ы!тить! Создаем доменного пользователя для загрузки данных. Даем ему права администратора на БД. Делаем его администратором системы. Запускаем гуевенькую утилитку, которая ставит сервис. Отбираем права администратора обратно (Простая смена имени пользователя, от которого стартует служба не прокатила - что-то там у них опять "не той системы") - и все это для того, чтобы загнать пару байт в БД.
А, да - совокупная стоимость решения не два и даже не три миллиона рублей. А-фи-геть.

@темы: Работа

URL
пятница, 25 мая 2012
16:53

По запросу маминой подруги...

... полчаса искал книгу Фреда Брауна "Шифровальщик или как-то так"(С). Что удивительно - нашел, под несколько менее известным отечественному читателю названием - "Код да Винчи" Дена Брауна (Мальчик, девочка - какая в ...гугль, разница?).
С содроганием жду предложения найти в сети мемуары аса Пушкина за авторством товарища Учпедгиздата.

@настроение: Лошадиная, блин, фамилия!

@темы: Жизнь

URL
вторник, 22 мая 2012
21:06

Обновление версии шкафа(ТМ)...

... на пионЭрском ноутбуке с archlinux'ом доставило особенно сильно.
Перво-наперво, /lib/udev зачем-то перехал в /usr/lib/udev, а поскольку пакет linux (Ядро) по алфавиту ставится до пакета mkinitcpio (Автоматический сборщик initrd), то сборка прошла без учета проделанных изменений и на initramfs lvm не оказалось, а я глупейшим образом не проследил - поставил на обновление с ребутом и ушел - конечный вариант вы себе представляете ).
Судя по всему, повторная установка ядра должна была помочь, нно... в общем, пришлось собирать initrd из chroot'а. Собсссна, оно бы и хрен с ним - один фейл на апдейт, тащем-та, норма для этого дистрибутива ), нно! Одним, увы, не ограничилось - xdm отказался пускать в систему. Попытка зайти в консоль под основным юзером тоже не увенчалась успехом, но под рутом залогиниться удалось - просмотр auth.log'а показал, что проблема в pam_ssh - краткое расследование позволило установить, что де-я-те-ли по какой-то причине переместили pam_ssh.so из /usr/lib/security в /lib/security. Не иначе, как лавры Владимира Владимировича с Дмитрием Анатольевичем покоя не дают - товарищам тоже захотелось какую-нибудь рокировку замутить. Указание полного пути в pam.d/xdm к успеху не привело - оказалось, что не находя libffi.so.5 рушится consolekit. libffi.so в системе есть, но! .6. ln -s проблему запорешал и шкаф таки развернулся дверью к пользователю ). Из видимых улучшений - ми-ни-а-тюр-ки окон в fvwm pager'е. Текстовое представление opera'ы в окошке 25*25 пикселей - афффигеть, полезная штука, полностью окупающая все эти танцы!

Неееет, кто-как, а на рабочей машине - только винды фрибсды debian только хардкор!

Из наблюдений за мирозданием ;) - насколько дисковая гидравлика лучше вибряков, настолько слики на мокрой дороге хуже хотя бы даже полу-сликов - в результате прямой угол прошел с контролируемым заносом (Читай - заблокированным задним колесом )))) на 20+ км/ч. Было весело, но повторять... спасибо, нинада!

@темы: Жизнь

URL
вторник, 15 мая 2012
18:35

Самое поганое в хронических болезнях...

... не разнообразные неприятные симптомы, не необходимость дорогостоящего лечения, не сам факт их наличия даже - хуже всего постоянно сужающееся окно возможностей. "Мы это не лечим, можем только замедлить развитие", рекомендуем ограничить нагрузки, изменить их тип - и тебе теперь с этим жить. "Принимать во внимание", ага. То, что раньше было (потенциально) возможно - теперь запрещено. Навсегда.
Обидно, досадно, ну да черт с ним - не в первый раз - ладно.

@темы: Жизнь

URL
понедельник, 14 мая 2012
21:06

Детский. Танцевальный. Лагерь.

"Заводной апельсин". Да. Так и вижу очами своего сердца ангелоподобных малшиков, танцующих под Людвига ван Бетховена.
Осталось где-нибудь поблизости открыть санаторий "Буколесье", ЕВПОЧЯ.

@настроение: Мир положительно сошел с ума.

@темы: Жизнь

URL
вторник, 17 апреля 2012
23:38

Открыл новый велосезон.

56км по городу - как с куста. Пожалуй, совмещать открытие с первой нормальной поездкой на контактах было ошибкой - просто ехать более, чем удобно, но!
а) Встегиваться сложнее, чем спрыгивать
б) Выстегиваться легко, пока об этом помнишь, при выполнении сколько-нибудь Сложных Технических Элементов(ТМ) об этом вспомнить как-то не успеваешь (В час ночи я таки "убрался" на бордюре - в точности по классикам, на скорости 3км/ч ;))
в) На длииинной "вгорке" чуть не свело (Не "чуть" - за ней) левую ногу
С другой стороны, без контактов я бы лег несколько раньше - чует мое сердце, что на песочке в темном парке спасли меня именно они ;)
В общем, удачненько все вышло, да и компания подобралась более, чем приличная.
Эйфелева башня. Пермь. Культурная столица европы.

@темы: Жизнь

URL
воскресенье, 15 апреля 2012
16:32

Весна, однако!

Переобул зимнюю шиповку на слики, теперь думаю, а не зря ли? Народишко у нас того-этого... быдловаст, в пятницу ехал - асфальт чистый, убрано, а в субботу вечером - пять битых бутылок на километр тротуара. С зимней шиповкой оно в ощем-таа и пофиг, а вот тоненькие слики... на тротуар можно не выезжать, ага.
С понедельника - новая жизнь, перехожу на контакты (M160 туфли + 540 педальки) - для облегчения процесса приобрел "защиту бестолковки" а.к.а. шлем и перчатки (Не люблю, но хрен его...) - будем посмотреть.
Как-то незаметно перевалил за 500 км в зимне-весеннем сезоне. Думаю, 1к до начала лета накрутить не успею - хотя кто его знает? :)

Да, лед еще есть, но под нашим ветром сидеть категорически некомфортно. Четыре часа - и алга. Такое ощущение, что поверх льда уже волны гуляют, ветром сдуло коробку с блеснами - в общем, ну его нафик.

@темы: Жизнь

URL
четверг, 12 апреля 2012
14:08

Давно не брал я в руки шашек...

Собственно, мои впечатления от книги "Плохая война" А.В. Зубкова ПОЛНОСТЬЮ описываются нижеследующим клипом:
читать дальше
Три аккорда, паршивенькая "лирика", не профессиональное исполнение, статические мультяшные задники, м-мммм... специфические ;) визуальные образы, своеобразная лексика дают на выходе просто великолепный результат.
Примерно так же и с книгой: как становится ясно из авторского предисловия - писалась эта "проба пера" в качестве сценария-к-фильму, причем без всякой надежды на экранизацию, но "умище-то куда девать!" - в процессе написания вещь явно переросла поставленные задачи, увы, сохранив при этом весь первоначальный набор "детских болезней" - фоны-задники, персонажи второготретьего-четвертого плана - функции, диалоги-наброски под "актерское исполнение", авторские пояснения по делу и не очень, "реконструкторская" (Точно не знаю, но _подозреваю_ ;)) душа автора с её любовью-к-заклепкам (Опять-таки по делу и без) и так далее. В общем, в прочитанном мною на "флибусте" виде - не издаваемо, но - читаемо, причем с огромным удовольствием.
Во-1 - несмотря на "голливудскую" ;) направленность автор может и умеет работать с сюжетом. Очень качественная игра с "масскультурными" штампами, причем штампами, характерными для различных поколений - от Героического Противостояния Сил Добра и Зла в Решающем Поединке до Борьбы Иуного Пролетария с Нарождающейся Буржуазией )))
Во-2. Автор умеет создавать даже не "персонажей", а ГЕРОЕВ. Обычных таких, без примеси навязшей в зубах "плакатности" сверхчеловеков в количестве если не 12 на дюжину, то десятка на сотню - точно. И нет, ощущения "перебора" не возникает именно из-за отсутствия "картона" - люди, они люди и есть. Пусть даже местами и "сверхчеловеки" )).
Во-3 - похоже автор _действительно_ знает (Лучше, чем я - точно!) о чем пишет. Пара мимоходом развенчанных "исторических мифов", пяток "абсолютно невозможных" с точки зрения учебника по истории за 6ой класс событий (С реальными историческими прецедентами, ага), куча заклепок, "живое" описание быта ландскнехтов - и все это без (Ну-уууу... почти) "перегруза" "антуражными" деталями.
С одной стороны - латыни практически нет, герои выражаются совершенно современным штилем, а вот гляди-ж ты! Психологически у автора получились именно _средневековые_ люди (Читай - набор на всю голову отмороженных в некоторых местах долбанашек), а не "студенты МГУ на "Каникулах-в-Простоквашино" - тут вам и спесссфиски проявляемая религиозность, и взаимоотношения между сословиями, и отношение к жизни-и-смерти, и многое, многое другое.
Во-4. Никаких "попаданцев". Более того, никаких реально действовавших личностей. И реальных событий - тоже нет! Обычная, типичная, "карликовая европейская война". "Плохая" война, заметим. Можно сказать, эталонная ;).
Во-5. Мастерски переданная атмосфера многажды воспетого "пожара-в-борделе", помноженная на уже помянутых "сверхчеловеков" дает гремучую смесь оглушительной силы ;).

В общем, если просмотренный клип не напугал - милости прошу к нашему шалашу!

URL
среда, 11 апреля 2012
19:44

Экспириенс дня

Дитятко 22х лет отроду агитирует "за МММ". 2011, вестимо. Или 12? Фиг его знает.
"Его же специально в 94ом повязали!"(С) враги трудового народа
Чувствую себя динозаврием.

@темы: Жизнь

URL
вторник, 10 апреля 2012
21:39

Прошло полтора года...

... и мудрый вождь Быстрые Грабли понял, что проблемы со скоростью вайфуя в квартире вызваны не hostapd, не if_run/runfw драйвером, не Dlink'овской железкой, не Ralink'овским чипестом и не настройкой клиентских адаптеров даже, нет - виновата похоже подсистема USB во FreeBSD, ибо замеренная с помощью dd скорость записи на USB Mass-storage подозрительно похожа на скорость вайфуя в квартире. Казалось бы, чего стоило методом исключения допетрить, что если с вайфуем per se проблем нет, то искать их надо в другом месте - но нет! Мы лучше 8-stable поставим, или там 9-current, hostapd из сырцов соберем, дрова с SVN-разрабочтика стянем, ага, ага. Тьфуй, в общем.

@темы: Жизнь, FreeBSD

URL
суббота, 07 апреля 2012
20:07

Назло погоде

'А мы такие загораем!'

P.S. Поймал не много, килограмма четыре (Самый заметный трофей - подъязок под триста грамм), но отдохнул просто великолепно!

@темы: Жизнь

URL
среда, 28 марта 2012
13:39

Ты всегда думаешь о нас!

Ну и за нас, куда же без этого? Решил очередной провЁдер и забанил 25 порт клиентам со статическими IP. MX запись есть, PTR запись есть, а "почту слать" нету - ну кому же в голову придет, что при наличии вышеперечисленного клиент решит собственный почтовик поднять? Не провайдеру точно.
И добро (Нет, все-таки зло!) бы просто заблочили попытки установления соединения fwall'ом - таки нет! Соединение Вполне себе устанавливается, живет полтора байта и дропается. С клиентской стороны - "соединение закрыто удаленным сервером", с серверной - blah-blah-blah did not issue MAIL/EXPN/VRFY/ETRN during connection to ipv4. Полное офигение, одним словом. С обеих сторон, ага. Спам почту слать ни-ззя, а вот почтовики ddos'ить - почему нет?

Первая мыслЯ, помятуя вчерашнее - а ну как? Не, с этой стороны нормально. Вторая - мож это blacklisting так криво настроен (До почты у меня руки еще не дошли, так что мало ли?) - ну, да -IP в куче blacklist'ов светится, походу недавно из dial-up/dynamic в static'у вывели. Но вроде как sendmail отлуп должОн давать сильно позжА - делать ему нефиг на каждую попытку коннекта запросы к DNSBL делать! На всякий случай поднял простейшую слушалку на 25 порт (Хорошо все же иметь много разных серваков!) и проверил - blacklisting и впрямь не при чем, MTA тоже не при делах, коннект вощем тааа есть - идем на поклонЪ к провёдеру. Товарищи погоняли по чек-листу и перевели на Технического Специалиста(ТМ) тот послушал, с умным видом спросил номер договора и изрек: "Про 25 порт я ничего не знаю, мы только SMTP блокируем". Мндя. Спасибо, товарищи, за заботу - но нельзя ли? Можно! И даже без письменного заявления. Пять секунд - и вуаля! Почта почти (Спам-листы не забываем) работает.

Осталось только понять, нахрена мне все эти консультации клиентов по вопросам, не связанным напрямую с моей деятельностью, и...

@темы: Работа

URL
вторник, 27 марта 2012
17:26

В очередной раз почувствовал себя...

... провайдерским саппортом из анекдота - "От нас все патроны ушли, проблемы на вашей стороне!"(С)

Сначала пионЭр на том конце провода зарезал icmp за вычетом 0,8,11 - request/reply, dest. host unreachable, а об остальных сообщениях мы не знаем и знать не хотим, ага. Потом товарищ забыл воткнуть tcpmssfix в mpd.conf, а дальше начался цирк-с-конями ).
Приходит пакет, видит do not fragment, дропается, а ответный icmp message to big режется ipfw. В security log при этом должна валиться запись - но у нас же, блин, все секууурно! Мы заранее ограничили число однотипных сообщений 10, а сделать ipfw zero нам, пардон, членомерка не велит, мы на счетчики медитируем! Пару правил, которые вроде как за прохождение трафика отвечают - пжалста, а все счетчики целиком - никак-никак.
А виноват во всем этом, разумеется, я - так как "просто интернет" у мужика есть, а https до меня "не работает". https "вообще"? Работает, конечно! telnet на 443 порт идет нормально, так что решайте ВАШУ проблему!
Хвала Аллаху, милостивому и милосердному, что главбух с той стороны объяснила одмину, что "интернет вообще" и "telnet на 443" != "работающий банк-клиент" и товарищ осознал, что "https вообще" у НЕГО не работает и я тут не при чем. Впрочем, мне это не помогло - "Ну надо же решить проблему! Да, она не у вас, но мы вам деньги платим, а оно не работает, так что давайте как-нибудь вы там подумаете, что мне сделать, чтобы... Нет ssh-доступ я вам дать не могу, секуууурность не позволяет, так что вы уж там как-нибудь телепатически..."
Пришлось решать, ага. По tcpdump'у увидел, что на той стороне дропается от четверти до трети пакетов, предположил, что проблема в NAT'е (Т.к. на прозрачно проксируемый http товарищ не жаловася, а ходящий через nat https чудесатил во всю). Замена kernel nat на NATD вполне логично не спасла (Хотя потерь, почему-то, стало меньше), подумал, что mpd с ipfw порядок прохождения пакетов поделить не могут (Дурак, ага), предожил вынести функционал nat'а в mpd через ng_nat. Опять же не помогло. В процессе совместного ковыряния mpd.conf'а (C ng_nat'ом я, в общем-то, до этого "никак") добавил tcpmssfix из своей конфиги и вуаля! Еще полчаса копошений и проблему раскопали полностью, но день того-этого... кончился :).
Такое вот вождение-луноходов-по-граблям получилось.

Какая у этой басни мораль? А морали здесь нет никакой - по крайней мере у меня её вывести не получается, так что - "запомните дети, патамучта понять это нэвозможна! и не делайте так!"

@темы: FreeBSD, Работа

URL