Problema: come fare in modo che Windows 2000 non generi pacchetti ICMP di unreachable port?
Mah...se fossimo su Linux useremmo iptables. Poche righe e via, sotto windows non è facile senza programmi di terze parti. Invece no! Esiste un tool chiamato ipsecpol.exe (scaricabile dal sito di Microsoft all'indirizzo: http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp) che permette di gestire il packet filtering sulle interfaccie di rete. Il tool è parte del Resource Kit di Microsoft.
Si può configurare attraverso lo snap-in della MMC del pannello di controllo oppure con riga di comando: ipsectol.exe. Un esempio:
ipsectol.exe -w REG -p "Filtro HOST" -r "Filtro traffico entrante" -f $SRCHOST+$DSTHOST -n PASS
Ora se vogliamo bloccare il traffico in arrivo da 192.168.1.0/24 e il nostro ip è 192.168.2.77 scriviamo
ipsectol.exe -w REG -p "Filtro HOST" -r "Filtro Traffico da 192.168.1.0" -f 192.168.1.0/255.255.255.0+192.168.2.77 -n BLOCK
Sicuramente rispetto al firewalling a livello kernel di Linux è una tecnologia primordiale, ma di certo efficace.
Friday, 31 March 2006
Tuesday, 28 March 2006
OpManager MSP Edition
Finalmente è stata rilasciata una delle versioni più importanti di OpManager. Si tratta della versione MSP dedicata a tutte quelle infrastrutture enterprise che avevano notevoli limitazione nell'utilizzo di un prodotto singolo standalone. La versione MSP permette infatti una maggiore personalizzazione e un deploy su più larga scala.
La struttura infatti prevede la centralizzazione della gestione dei dati su di un unico server ma una raccolta distribuita che può quindi avvenire in diversi modi. Le probe remote si occupano della raccolta dei dati delle reti a loro assegnate e su un canale dedicato trasmettono questi dati al server di OpManager che gestisce tutto il resto.
Sono disponibili tutte le normali funzionalità di OpManager inoltre è stata creata una maggiore gestione e personalizzazione degli utenti, la possibilità di rebranding del prodotto (per coloro che forniscono OpManager in Outsourcing), maggiore personalizzazione nei report e nel portale.
La creazione della versione MSP di OpManager permette finalmente a questo prodotto di abbracciare l'intero mercato enterprise attualmente nelle solide mani di HP OpenView, IBM Tivoli e BMC.
La struttura infatti prevede la centralizzazione della gestione dei dati su di un unico server ma una raccolta distribuita che può quindi avvenire in diversi modi. Le probe remote si occupano della raccolta dei dati delle reti a loro assegnate e su un canale dedicato trasmettono questi dati al server di OpManager che gestisce tutto il resto.
Sono disponibili tutte le normali funzionalità di OpManager inoltre è stata creata una maggiore gestione e personalizzazione degli utenti, la possibilità di rebranding del prodotto (per coloro che forniscono OpManager in Outsourcing), maggiore personalizzazione nei report e nel portale.
La creazione della versione MSP di OpManager permette finalmente a questo prodotto di abbracciare l'intero mercato enterprise attualmente nelle solide mani di HP OpenView, IBM Tivoli e BMC.
Monday, 27 March 2006
VMWare any-to-any patch
VMWare any-to-any è una interessantissima patch per chi usa vmware sotto Linux. Di base VMWare, come molte altre applicazione, è creato per essere usato con RedHat. Esiste comunque una versione raw che parte usando un installer in perl. VMWare any-to-any risolve alcuni piccoli problemi relativi all'installazione su sistemi x64_86, su sistemi Fedora, su distro non supportate nativamente e così via.
E' scaricabile dal sito: http://knihovny.cvut.cz/ftp/pub/vmware/ e consiglio come sempre la lettura del readme disponibile nel sito.
La patch funziona su VMWare Workstation e gli altri prodotti VMWare come GSX Server, ESX Server, VMWare Server, ecc.
E' scaricabile dal sito: http://knihovny.cvut.cz/ftp/pub/vmware/ e consiglio come sempre la lettura del readme disponibile nel sito.
La patch funziona su VMWare Workstation e gli altri prodotti VMWare come GSX Server, ESX Server, VMWare Server, ecc.
Friday, 17 March 2006
OpManager e IPv6
Non so ancora se il problema sia di OpManager o di Fedora o di entrambi. Fatto sta che la mia configurazione è questa:
- OpManager 6.0.3
- Fedora Core 4
Non so perchè ma con 800 macchine monitorate un po' di traffico si forma. Ho scoperto nei log de dns che veniva fatta una query per host in IPv4 e diversissime query IPv6 per ogni host tanto da apparire quasi come un attacco DoS.
Fatto sta che ho dovuto disabilitare il support IPv6 sulla Fedora. Così:
Reboot. E tutto si risolve.
- OpManager 6.0.3
- Fedora Core 4
Non so perchè ma con 800 macchine monitorate un po' di traffico si forma. Ho scoperto nei log de dns che veniva fatta una query per host in IPv4 e diversissime query IPv6 per ogni host tanto da apparire quasi come un attacco DoS.
Fatto sta che ho dovuto disabilitare il support IPv6 sulla Fedora. Così:
echo "alias net-pf-10 off" >> /etc/modprobe.conf
Reboot. E tutto si risolve.
Wednesday, 15 March 2006
Monitoring Enterprise e Monitoring OpenSource
Dopo un po' di tempo che mi occupo di queste cose, ho iniziato a pensare che dei diversi sistemi di monitoring siano realmente poche i software validi. Ho spesso sentito parlare di Nagios, l'ho anche usato, ma devo dire che non mi sembra molto valido, anzi mi ha deluso molto. Intanto nel 2006, nella versione 2 di questo software, non è ancora possibile configurare via web il sistema, e bisogna fare tutto a mano in diversi file di configurazione. Una configurazione automatica è disponibile usando una contrib, che però rimane sempre uan contrib e non una parte del sistema stesso. Mancherebbe inoltre tutto un sistema di tracing che normalmente viene svolto da altri sistemi. Ho letto qua e là che esiste la possibilità di integrare Cacti con Nagios ma non sono riuscito a raggiungere il sito dello sviluppare (DNS Dinamico non attivo). Una valida alternativa a Nagios è OpManager il quale però rientra già nei software commerciali. OpManager è un software paragonabile a Network Node Manager di HP OpenView o al modulo NetView di Tivoli. Ha dei costi ovviamente più contenuti rispetto a Tivoli e OpenView ma risulta molto potente. E' chiaro che qualcuno potrebbe preferire Nagios, per via del suo essere OpenSource ma il TCO (Total Cost of Ownership - per chi non l'ha ancora imparato). OpManager gira anche sotto Linux ed è molto potente. Il sistema è composto da una sonda Java per il polling / trapping e da un database MySQL per l'archiviazione dei dati. E' allo studio anche una versione distribuita per poter avere maggiorni performance in ambito Enterprise.
Tivoli e OpenView sono invece i due software Enterprise per definizione. Sicuramente in questo ambito HP è più avanti di IBM. OpenView di compone di diversi moduli tra cui il più famoso è NNM - Network Node Manager che si occupa della gestione, discovery e polling dati via SNMP. OpenView Operations si può paragonare alla Tivoli Enterprise Console di IBM. Tivoli in realtà è precostituito in modo di verso. Di fatto è una FrameWork sulla quale possono vivere diversi servizi, dal backup al monitor. OpenView invece è una suite sconfinata per il monitoring della realtà aziendale.
Tivoli e OpenView sono invece i due software Enterprise per definizione. Sicuramente in questo ambito HP è più avanti di IBM. OpenView di compone di diversi moduli tra cui il più famoso è NNM - Network Node Manager che si occupa della gestione, discovery e polling dati via SNMP. OpenView Operations si può paragonare alla Tivoli Enterprise Console di IBM. Tivoli in realtà è precostituito in modo di verso. Di fatto è una FrameWork sulla quale possono vivere diversi servizi, dal backup al monitor. OpenView invece è una suite sconfinata per il monitoring della realtà aziendale.
Thursday, 9 March 2006
Acctinfo.dll - Un modo per esplorare gli account su Windows Server System
Acctinfo.dll è una DLL inclusa nel Resource Kit di Windows 2003. Questa DLL abilita una tab in più nelle proprietà degli account in Active Directory normalmente non presente. In questa tab è possibile visualizzare dati aggiuntivi quali la data di setup della password, la sua scadenza, il last logon nel dominio, ecc.
Se non avete già installato il Resource Kit fatelo ora. Dopo lanciate:
regsvr32 %systemroot%system32acctinfo.dll
La tab si chiama Additional Account Info in Active Directory Users and Computers.
Praticamente tutte le informazioni sono chiare e non hanno bisogno di spiegazioni. Con il pulsante Domain PW Info si accede a una finestra che mostra la policy della password all'interno del dominio.
Inoltre, con il bottone Set PW on PDC è possibile resettare la password sul Domain Controller. Questa funzione è utile soprattutto qualora il PDC Emulator non è raggiungibile (ripassiamo i ruoli di Active Directory!).
Se non avete già installato il Resource Kit fatelo ora. Dopo lanciate:
regsvr32 %systemroot%system32acctinfo.dll
La tab si chiama Additional Account Info in Active Directory Users and Computers.
Praticamente tutte le informazioni sono chiare e non hanno bisogno di spiegazioni. Con il pulsante Domain PW Info si accede a una finestra che mostra la policy della password all'interno del dominio.
Inoltre, con il bottone Set PW on PDC è possibile resettare la password sul Domain Controller. Questa funzione è utile soprattutto qualora il PDC Emulator non è raggiungibile (ripassiamo i ruoli di Active Directory!).
Monday, 6 March 2006
Linux clustering?
Ultimamente pare che il clustering con Linux vada di moda. Effettivamente il cluster come tecnologia enterprise sta entrando sempre più nella piccola e media impresa e soprattutto nelle realtà internet più piccole. Non è infatti alla portata di tutti avere un cluster con Sun Cluster oppure un cluster HP-UX.
Esistono diversi software in Linux per il clustering. Il più famoso forse è Beowulf. UN progetto che esiste da più di 5 anni e del quale, onestamente, non ho capito un granchè. C'è poi OpenMosix, altrettanto famoso, molto performante e con features interessanti. Rimane poi Ultramonkey, forse meno conosciuto, ma probabilmente il più veloce nel setup e sicuramente col TCO (TCO - Total Cost of Ownership, molti ho scoperto non sanno cosa sia. Banalmente il costo totale di setup e mantenumento) più basso.
Ultramonkey si installa velocemente su una Debian con un setup default. Non richiede, al contrario di altri, kernel con moduli particolari e versioni kernel dedicate. Veloce e leggero, si integra facilmente con il suo bilanciatore di traffico. Vanno da paura.
Esistono diversi software in Linux per il clustering. Il più famoso forse è Beowulf. UN progetto che esiste da più di 5 anni e del quale, onestamente, non ho capito un granchè. C'è poi OpenMosix, altrettanto famoso, molto performante e con features interessanti. Rimane poi Ultramonkey, forse meno conosciuto, ma probabilmente il più veloce nel setup e sicuramente col TCO (TCO - Total Cost of Ownership, molti ho scoperto non sanno cosa sia. Banalmente il costo totale di setup e mantenumento) più basso.
Ultramonkey si installa velocemente su una Debian con un setup default. Non richiede, al contrario di altri, kernel con moduli particolari e versioni kernel dedicate. Veloce e leggero, si integra facilmente con il suo bilanciatore di traffico. Vanno da paura.
Wednesday, 1 March 2006
Raid, Fakeraid, Software Raid - Ma le differenze?
Dunque, spesso si parla di RAID e ormai sembra una cosa a tutti i livello visto che i produttori di mainboard includono controller RAID serial-ata sulle loro schede. Però non tutti i RAID sono uguali. Molti controller id fasci bassa, primi fa tutti i famosi Promise, sono dei controller FakeRaid.
Cos'è un FAKERAID? Un Fakeraid non è altro che un RAID software fatto da una scheda hardware. Non ha benefici su un sistema. Il fakeraid è più lento di un raid software (soprattutto su sistemi UNIX), è più difficile da gestire a livello di driver e di fatto spesso non è sicuro. I controller promise entry level, in caso di fault di un disco, a volte perdono tutto... SICUREZZA = 0.
Un vero RAID hardware, che tuttora è debutato quasi esclusivamente a sistemi SCSI, non tiene dischi in mirror via software ma utilizza processi diversi. Intanto un vero controller raid è equipaggiato con BIOS, RAM, CMOS, Processore. Vengono copiati sui dischi i bit e i settori, in modo indipendente, cosa che un fakeraid o software raid non è in grado di fare. Inoltre la potenza di calcolo per i metodi XOR su RAID5 è nettamente maggiore e sicuramente più performante. Un buon controller RAID su un server spesso salva la vita. Un controller entry level diventa inutile. A quel punto è opportuno valutare se non sia meglio usare il software RAID fornito dal sistema.
Cos'è un FAKERAID? Un Fakeraid non è altro che un RAID software fatto da una scheda hardware. Non ha benefici su un sistema. Il fakeraid è più lento di un raid software (soprattutto su sistemi UNIX), è più difficile da gestire a livello di driver e di fatto spesso non è sicuro. I controller promise entry level, in caso di fault di un disco, a volte perdono tutto... SICUREZZA = 0.
Un vero RAID hardware, che tuttora è debutato quasi esclusivamente a sistemi SCSI, non tiene dischi in mirror via software ma utilizza processi diversi. Intanto un vero controller raid è equipaggiato con BIOS, RAM, CMOS, Processore. Vengono copiati sui dischi i bit e i settori, in modo indipendente, cosa che un fakeraid o software raid non è in grado di fare. Inoltre la potenza di calcolo per i metodi XOR su RAID5 è nettamente maggiore e sicuramente più performante. Un buon controller RAID su un server spesso salva la vita. Un controller entry level diventa inutile. A quel punto è opportuno valutare se non sia meglio usare il software RAID fornito dal sistema.