man muss aber beachten tinc = verschlüsselt, VLAN = unverschlüsselt
klar es ist nur im NetCup Netz unverschlüsselt sollte man aber dennoch beachten.
man muss aber beachten tinc = verschlüsselt, VLAN = unverschlüsselt
klar es ist nur im NetCup Netz unverschlüsselt sollte man aber dennoch beachten.
naja Overkill würde ich nicht sagen, das vorhaben kann ich an sich schon verstehen.
Es wird einfacher die Fehler / Sicherheitsrisiko durch die Restriktion verkleinert.
Sprich Sicherheitslücken Patchen etc.
klar geht durch Docker und co vieles einfacher als vorher, aber man kann so für extra Sicherheit sorgen.
Komfort steht ja immer im Konflikt mit Sicherheit
bezüglich "Updates und VLAN", du kannst doch nen Proxy welcher im Netz is installieren und die Updates über diesen ziehen?
Parallels ist da auch nicht besser, hatten zum testen bei einem Anbieter nen Server geholt, und zum installieren war da nur Debian Jessie (8).
Ok haben wir so Debian Stretch (9) drauf gehauen, CD bootet nicht. hmm okay. Jessie CD auch nicht
andere Live CDs haben sich ebenso geweigert.
Ok dann Jessie installieren lassen, upgrade auf "Stretch", System startet nicht.
Die Treiber mussten erst gepatcht werden, damit das System damit läuft -.-
https://www.heise.de/security/…er-Datenleck-4210282.html
So wird es vermutlich gerade bei Intel laufen?
Zitat99 little bugs in the code
99 little bugs
Take one down, patch it around
117 little bugs in the code
Welche Meldung wird angezeigt und was für Geräte sind es?
hab zuhause ne Bigfoot von Quantum liegen, glaube 500 MB oder so müsste die haben.
was anderes:
was ist in diesem Skript hier die besserer Variante,
um zu erkennen, daß Internet-connectivity besteht?
BashAlles anzeigen#!/bin/sh IP=1.1.1.1 URL=http://www.google.com/ if [[ "$(ping -c 1 $IP | grep '100% packet loss' )" != "" ]] then echo "Internet isn't present" else echo "Internet is present" fi if curl --silent --head $URL | egrep "20[0-9] Found|30[0-9] Found" >/dev/null then echo "Internet isn't present" else echo "Internet is present" fi
Finde es zwar nicht, aber hatte mal nen Script gebaut, welches es erkennt. hatte ping auf die DNS von Google und co drin, dann noch nen paar Große Newsseiten.
Damit man die Fehlerquote eingrenzen kann, ob es wirklich der Fall ist.
Erst hatte ich nen ping auf Seiten / Dienste von mir und dann auf andere, wie Google so dass man nicht "Fehlalarme" bekommt.
weiss einer ob die Verbindung von NetCup/Anexia zu EWE-Tel über einen Peering Point geht, oder direkt ist?
ja.
Aber zwischen Hart Ablehnen und Annehmen gibt es ein Softstate: könnte Spam sein, könnte aber auch legitim sein. Und in diesem Bereich wird dann evtl. ein Greylisting durchgeführt. Du musst natürlich auch an False Positives denken.
ist denke ich auch das Beste. müsste ich nochmal überarbeiten bei mir dann.
Häufig fällt mir auf, dass einige Firmen es nicht schaffen die Mail Server geschaut zu verwalten, da sind manche Spammer sogar besser.
Geht vom Fehlenden PTR über andere Themen, wie kein TLS usw.
Beliebt sind vor allem:
Zumindest laut Log:
Auch ich habe extra Mail Addis für einige Läden, die ich abschalten musste, weil dort Spam bis zum geht nicht mehr rein kommt.
um das Problem mit dem Greylist aus dem Weg zu gehen, habe ich mir ne eigen rbldnsd whitelist gebaut, wie auch Blacklist
mit 3D Secure oder Verify by VISA liegt die Verantwortung mehr beim Kunden, also Besitzer der Kreditkarte
ohne ist der Händler mehr Verantwortlich und bekommt beim Betrug ggf. kein Cent.
hast du die route mal statisch gesetzte was dann passiert?
wie voja sagt. ggf. auch mit iptables nachhelfen
iptables -t nat -A POSTROUTING -o tunDeviceWelchesSourceIstALsoTincd -j MASQUERADE
Naja, ein eigenes VLAN pro Kunde wird als Preisbrecher nicht drinnen sein. Aber kein Routing ins öffentliche Netz, nur RZ intern würde gut klingen. Vielleicht hast Du es eh so gemeint, das kam mit dem Begriff VLAN nicht ganz durch.
Das wird nicht funktionieren, da zumindest ein Uplink Richtung unseren Installationsservern, Rettungssystem etc. gegeben sein muss. Der zugriff darauf läuft nur über die öffentlichen IP-Adressen.
yep es war nur Intern im NetCup Netz gemeint.
Edit: IPv6-Only wäre natürlich auch eine nette Sache. Dem Vorschlag schließe ich mich gerne an. Ob das aus Kundensicht schon massentauglich ist, ist eine andere Frage...
Oder halt VLAN Only, sodass die Server untereinander erreichbar wäre?
war am Sonntag gegen 3 Uhr was mit dem Netzwerk?
Monitoring hat wegen hoher Latenz auf mehreren Geräte angeschlagen.
Alles anzeigenanderes Thema:
hatte dieser Tage festgestellt, daß logrotate mir ins Handwerk pfuscht;
er rotiert am Sonntag in der Nacht den Logfile so zwischen 03:00 und 04:00;
und am Montag, fehlt genau der Teil im Logfile welcher von 00:00 bis zum Zeitpunkt von logrotate wegrotiert wurde;
wie bekommt man das am besten hin?
stell einfach logroate auf delaycompress, da scheinbar einen aktuellen Schreibzugriff gibt.
So landet es zumindest noch in der Zeit in "log.1".
Wichtig ist auch, dass du irgendwie durch logrorate veranlasst wird, dass die Datei geschlossen wird.
Sonst wird fleißig weiter in log.1 geschrieben.