From eichler at cs.fau.de Fri Apr 1 15:54:07 2022 From: eichler at cs.fau.de (Christian Eichler) Date: Fri, 1 Apr 2022 15:54:07 +0200 Subject: ACLs im VLAN 40 anpassen In-Reply-To: <20220331104430.gcom2ihqlgvifu6c@legio.informatik.uni-erlangen.de> References: <20220330131016.zy6yf7fyndmljond@legio.informatik.uni-erlangen.de> <20220331122335.76179283@wizo.rrze.uni-erlangen.de> <20220331104430.gcom2ihqlgvifu6c@legio.informatik.uni-erlangen.de> Message-ID: <20220401135407.dy65t4wj5yfrd2q7@legio.informatik.uni-erlangen.de> Hallo nochmals, sorry, dass ich nochmal mit einer Bitte um ?nderung bei euch auf- schlage, allerdings br?uchten wir die ACL entgegen der initialen Mail f?r die IP 131.188.40.79 (und nicht f?r 131.188.40.84). Die 131.188.40.84 geh?rt zu einem nicht mehr existierenden System, das dann bei Zeiten auch aus dem DNS entfernt wird ;) Ich w?rde daher bitten die ACL vom 30.03. durch folgende ACL zu ERSETZEN: > OUT: > > permit tcp 213.178.77.170 131.188.40.79 22 > permit tcp 213.178.77.178 131.188.40.79 22 > deny ip any 131.188.40.79 Bitte auch nochmals die aktualisierte Policy exportieren und zur lokalen Speicherung an mich senden. Vielen Dank nochmals und entschuldigt den zus?tzlichen Aufwand, chris On Thu, Mar 31, 2022 at 12:44:33PM +0200, Christian Eichler wrote: > Hi Simon, > > vielen Dank :) > > -chris > > On Thu, Mar 31, 2022 at 12:23:35PM +0200, Simon Ruderich wrote: > > On Wed, 30 Mar 2022 15:10:16 +0200 > > Christian Eichler wrote: > > > > > Hallo liebe Admins, > > > > > > bitte passt die die ACLs von VLAN 40 so an, dass die 131.188.40.84 nur > > > noch von den IPs 213.178.77.170 und 213.178.77.178 per ssh erreicht > > > werden kann: > > > > > > OUT: > > > > > > permit tcp 213.178.77.170 131.188.40.84 22 > > > permit tcp 213.178.77.178 131.188.40.84 22 > > > deny ip any 131.188.40.84 > > > > Hallo Chris, > > > > ist erledigt. > > > > Viele Gruesse > > Simon > > -- > > Simon Ruderich, Kommunikationssysteme > > Friedrich-Alexander-Universit?t Erlangen-N?rnberg > > Regionales Rechenzentrum Erlangen (RRZE) > > Martensstra?e 1, 91058 Erlangen, Germany > > Tel. +49 9131 85-61046, Fax +49 9131 302941 > > simon.ruderich at fau.de > > https://www.rrze.fau.de/ > -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: not available URL: From eichler at cs.fau.de Fri Apr 1 16:31:16 2022 From: eichler at cs.fau.de (Christian Eichler) Date: Fri, 1 Apr 2022 16:31:16 +0200 Subject: ACLs im VLAN 40 anpassen In-Reply-To: <20220401161035.57f16cb8@wizo.rrze.uni-erlangen.de> References: <20220330131016.zy6yf7fyndmljond@legio.informatik.uni-erlangen.de> <20220331122335.76179283@wizo.rrze.uni-erlangen.de> <20220331104430.gcom2ihqlgvifu6c@legio.informatik.uni-erlangen.de> <20220401135407.dy65t4wj5yfrd2q7@legio.informatik.uni-erlangen.de> <20220401161035.57f16cb8@wizo.rrze.uni-erlangen.de> Message-ID: <20220401143116.2mapyupd6opcmsv2@legio.informatik.uni-erlangen.de> Hi Simon, vielen Dank nochmals :) -chris On Fri, Apr 01, 2022 at 04:10:35PM +0200, Simon Ruderich wrote: > On Fri, 1 Apr 2022 15:54:07 +0200 > Christian Eichler wrote: > > > Hallo nochmals, > > > > sorry, dass ich nochmal mit einer Bitte um ?nderung bei euch auf- > > schlage, allerdings br?uchten wir die ACL entgegen der initialen > > Mail f?r die IP 131.188.40.79 (und nicht f?r 131.188.40.84). > > Die 131.188.40.84 geh?rt zu einem nicht mehr existierenden System, > > das dann bei Zeiten auch aus dem DNS entfernt wird ;) > > > > Ich w?rde daher bitten die ACL vom 30.03. durch folgende > > ACL zu ERSETZEN: > > > > > OUT: > > > > > > permit tcp 213.178.77.170 131.188.40.79 22 > > > permit tcp 213.178.77.178 131.188.40.79 22 > > > deny ip any 131.188.40.79 > > > > > > Bitte auch nochmals die aktualisierte Policy exportieren und zur lokalen > > Speicherung an mich senden. > > Done > > Viele Gruesse > Simon > -- > Simon Ruderich, Kommunikationssysteme > Friedrich-Alexander-Universit?t Erlangen-N?rnberg > Regionales Rechenzentrum Erlangen (RRZE) > Martensstra?e 1, 91058 Erlangen, Germany > Tel. +49 9131 85-61046, Fax +49 9131 302941 > simon.ruderich at fau.de > https://www.rrze.fau.de/ -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: not available URL: From simon.ruderich at fau.de Fri Apr 1 16:10:35 2022 From: simon.ruderich at fau.de (Simon Ruderich) Date: Fri, 1 Apr 2022 16:10:35 +0200 Subject: ACLs im VLAN 40 anpassen In-Reply-To: <20220401135407.dy65t4wj5yfrd2q7@legio.informatik.uni-erlangen.de> References: <20220330131016.zy6yf7fyndmljond@legio.informatik.uni-erlangen.de> <20220331122335.76179283@wizo.rrze.uni-erlangen.de> <20220331104430.gcom2ihqlgvifu6c@legio.informatik.uni-erlangen.de> <20220401135407.dy65t4wj5yfrd2q7@legio.informatik.uni-erlangen.de> Message-ID: <20220401161035.57f16cb8@wizo.rrze.uni-erlangen.de> On Fri, 1 Apr 2022 15:54:07 +0200 Christian Eichler wrote: > Hallo nochmals, > > sorry, dass ich nochmal mit einer Bitte um ?nderung bei euch auf- > schlage, allerdings br?uchten wir die ACL entgegen der initialen > Mail f?r die IP 131.188.40.79 (und nicht f?r 131.188.40.84). > Die 131.188.40.84 geh?rt zu einem nicht mehr existierenden System, > das dann bei Zeiten auch aus dem DNS entfernt wird ;) > > Ich w?rde daher bitten die ACL vom 30.03. durch folgende > ACL zu ERSETZEN: > > > OUT: > > > > permit tcp 213.178.77.170 131.188.40.79 22 > > permit tcp 213.178.77.178 131.188.40.79 22 > > deny ip any 131.188.40.79 > > > Bitte auch nochmals die aktualisierte Policy exportieren und zur lokalen > Speicherung an mich senden. Done Viele Gruesse Simon -- Simon Ruderich, Kommunikationssysteme Friedrich-Alexander-Universit?t Erlangen-N?rnberg Regionales Rechenzentrum Erlangen (RRZE) Martensstra?e 1, 91058 Erlangen, Germany Tel. +49 9131 85-61046, Fax +49 9131 302941 simon.ruderich at fau.de https://www.rrze.fau.de/ From eichler at cs.fau.de Fri Apr 1 17:36:06 2022 From: eichler at cs.fau.de (Christian Eichler) Date: Fri, 1 Apr 2022 17:36:06 +0200 Subject: [aods] T5220 - mirror.opencsw.org In-Reply-To: <3AB1D4D5-9809-4827-90CF-1BCDE7E673B4@baltic-online.de> References: <20220330054954.b2dpx7wrxiwwshc7@legio.informatik.uni-erlangen.de> <06786B9A-EC8C-40B4-A1B6-D12F36E61DCE@baltic-online.de> <20220330120954.xvltpkvbwx7j5bbg@legio.informatik.uni-erlangen.de> <20220330125059.7jedxzedklx2fi5x@legio.informatik.uni-erlangen.de> <20220331110617.okjh2yg26757jqxx@legio.informatik.uni-erlangen.de> <20220331115329.aldxs6xybx2oiz5l@legio.informatik.uni-erlangen.de> <3AB1D4D5-9809-4827-90CF-1BCDE7E673B4@baltic-online.de> Message-ID: <20220401153606.7lthphux3tlhcpjh@legio.informatik.uni-erlangen.de> Hey Dago, ich hab die Platte wie besprochen mal in einen anderen Server geschoben; scheinbar ist wirklich auch die neue Platte defekt - siehe Bild im Anhang. Die ACLs fuer 131.188.40.79 sind unterdessen auch eingerichtet; die ACLs fuer 131.188.40.84 sind wieder rausgenommen. Es spricht daher vmtl. nicht mehr allzuviel dagegen, dass wir das LOM wieder online nehmen. Um kuenftig Verwechselungen zu vermeiden, wuerde ich gerne ein paar Eintraege bei uns im DNS rausnehmen, da einige der IPs/Hosts wohl seit einiger Zeit nicht mehr existieren. Wenn du willst, dann koennte ich auch die '2' aus den verbleibenden Hostnamen rausnehmen - natuerlich mit dem Resetrisiko, dass sich jemand auf die alten Hostnamen verlaesst. Ich wuerde dich daher gerne bitten dass du mal schaust welche der Eintraege in der nachfolgenden Liste noch benoetigt werden - das sind alles Eintraege die nicht per ping erreichbar sind. > opencsw2-rsync IN HINFO Sun Solaris > IN A 131.188.40.76 > IN AAAA 2001:638:a000:4140::ffff:76 > > opencsw2-mirror IN HINFO Sun Solaris > IN A 131.188.40.77 > IN AAAA 2001:638:a000:4140::ffff:77 > > opencsw2-pkg IN HINFO Sun Solaris > IN A 131.188.40.78 > IN AAAA 2001:638:a000:4140::ffff:78 > > blaster IN CNAME opencsw-rsync > opencsw-rsync IN HINFO Ultra-60 Solaris > IN A 131.188.40.80 > > opencsw-new IN HINFO Sun Solaris > IN A 131.188.40.81 > IN AAAA 2001:638:a000:4140::ff10:e458 > > > opencsw-pkg IN HINFO Sun Solaris > IN A 131.188.40.83 > > opencsw-lom IN HINFO Sun Solaris > IN A 131.188.40.84 @aods: Falls Teile der Mail zufaellig wirken: Ich hab zwischenzeitlich mit Dago telefoniert. Schoene Gruese, chris On Thu, Mar 31, 2022 at 06:22:04PM +0200, Dagobert Michelsen wrote: > Hi Chris, > > Am 31.03.2022 um 13:53 schrieb Christian Eichler via buildfarm : > > ich bin mir jetzt nicht ganz sicher ob ich deinen Vorschlag richtig > > verstanden hab - wenn du moechtest kann ich die .79 eben ohne ACL > > online nehmen und du stellst die IP vom LOM auf die .84 um, oder > > alternativ bitte ich das RZ die IP in der ACL auf 131.188.40.84 > > umzustellen. > > > > Oder waers sinnvoller, die Zugriffsbeschraenkung per ACL fuer beide > > IPs eingetragen zu haben? > > statt der .84 ist ja nur die .79 hochgekommen, also haben wir wohl damals die > IPs des LOM-Interfaces ge?ndert. Kann ich irgendwie noch testen, ob die .79 so geht > bevor Du die ?nderung nochmal an das RZ schickst? > > Ich brauche auf jeden Fall nur eine IP. > Eventuell k?nnte man Port 22 auf 131.188.40.75 auch nur f?r die beiden IPs von > OpenCSW freigeben. > > > Besten Dank > > ? Dago > > > > > > -chris > > > > On Thu, Mar 31, 2022 at 01:14:19PM +0200, Dagobert Michelsen wrote: > >> Hallo Chris, > >> > >> Am 31.03.2022 um 13:06 schrieb Christian Eichler : > >>> die ACLs sind eingetragen, entgegen meiner Erwartung ist aber nicht > >>> opencsw-lom.informatik.uni-erlangen.de (131.188.40.84) online gekommen, > >>> sondern opencsw2-lom.informatik.uni-erlangen.de (131.188.40.79). > >>> Ich hab den Port daher erstmal wieder ausgemacht ;) > >>> > >>> Ich vermute mal, dass ich/wir da gerade ueber Altbestaende im DNS > >>> stolpern - daher nachfolgend ein kurzer Auszug der OpenCSW-bezogenen > >>> DNS-Eintraege. > >>> > >>> Der T5220 beantwortet unter den Adressen opencsw2, opencsw-mirror und > >>> opencsw2-pkg - ich vermute daher mal, dass die anderen Eintraege > >>> veraltet sind (von vmtl. opencsw2-lom abgesehen)? > >> > >> Hmmm, wir haben vor ein paar Jahren die alte V440 mal durch die neue T5220 ausgetauscht. > >> Vermutlich sind die opencsw-Adressen die von der V440 gewesen und die neue T5220 hat > >> die opencsw2-Adressen. Das w?rde auch erkl?ren, warum die .79 hochkommt. > >> K?nnen wir das mit der .79 mal ausprobieren ohne das wir die RZ-Leute zuviel > >> nerven? > >> > >> > >> Besten Dank > >> > >> ? Dago > >> > >>> > >>> > >>>> opencsw2 IN HINFO Sun Solaris > >>>> IN A 131.188.40.75 > >>>> IN AAAA 2001:638:a000:4140::ffff:75 > >>>> > >>>> opencsw2-rsync IN HINFO Sun Solaris > >>>> IN A 131.188.40.76 > >>>> IN AAAA 2001:638:a000:4140::ffff:76 > >>>> > >>>> opencsw2-mirror IN HINFO Sun Solaris > >>>> IN A 131.188.40.77 > >>>> IN AAAA 2001:638:a000:4140::ffff:77 > >>>> > >>>> opencsw2-pkg IN HINFO Sun Solaris > >>>> IN A 131.188.40.78 > >>>> IN AAAA 2001:638:a000:4140::ffff:78 > >>>> > >>>> opencsw2-lom IN HINFO Sun Solaris > >>>> IN A 131.188.40.79 > >>>> > >>>> blaster IN CNAME opencsw-rsync > >>>> opencsw-rsync IN HINFO Ultra-60 Solaris > >>>> IN A 131.188.40.80 > >>>> > >>>> opencsw-new IN HINFO Sun Solaris > >>>> IN A 131.188.40.81 > >>>> IN AAAA 2001:638:a000:4140::ff10:e458 > >>>> > >>>> opencsw-mirror IN HINFO Sun Solaris > >>>> IN A 131.188.40.82 > >>>> IN AAAA 2001:638:a000:4140::ffff:82 > >>>> > >>>> opencsw-pkg IN HINFO Sun Solaris > >>>> IN A 131.188.40.83 > >>>> > >>>> opencsw-lom IN HINFO Sun Solaris > >>>> IN A 131.188.40.84 > >>> > >>> > >>> > >>> Schoene Gruesse, > >>> chris > >>> > >>> > >>> > >>> On Wed, Mar 30, 2022 at 02:55:16PM +0200, Dagobert Michelsen wrote: > >>>> Hallo Christian, > >>>> > >>>> Am 30.03.2022 um 14:50 schrieb Christian Eichler via buildfarm : > >>>>> ACLs brauchen einen Umlauf uebers Rechenzentrum; wenn ich dich richtig > >>>>> verstanden hab, dann brauchst du fuers Mgmt-Interface "nur" ssh (tcp/22)? > >>>>> > >>>>> Falls dem so ist, dann wuerde ich folgendes Snippet ans RRZE schicken: > >>>>> > >>>>> permit tcp 213.178.77.170 131.188.40.84 22 > >>>>> permit tcp 213.178.77.178 131.188.40.84 22 > >>>>> deny ip any 131.188.40.84 > >>>> > >>>> Ja, das sieht gut aus. > >>>> > >>>> > >>>> Besten Dank > >>>> > >>>> ? Dago > >>>> > >>>>> > >>>>> > >>>>> Schoene Gruesse, > >>>>> chris > >>>>> > >>>>> > >>>>> On Wed, Mar 30, 2022 at 02:14:43PM +0200, Dagobert Michelsen wrote: > >>>>>> Moin Chris, > >>>>>> > >>>>>> Am 30.03.2022 um 14:09 schrieb Christian Eichler : > >>>>>>> da ich dich telefonisch grad nicht erreicht hab doch kurz per Mail: > >>>>>> > >>>>>> Sorry, bin gerade in unserer w?chentlichen Telko, die den ganzen Nachmittag dauert :-/ > >>>>>> > >>>>>>> Der Switchport an dem opencsw-lom haengt ist aktuell auf shutdown; wenn > >>>>>>> du willst kann ich den Port wieder anschalten - dann haengt das Mgmt- > >>>>>>> Interface aber halt "unsicher" im Internet (in den ACLs sehe ich auf den > >>>>>>> ersten Blick keinen Eintrag der einen ssh-Zugriff verhindern sollte). > >>>>>>> > >>>>>>> Deswegen waere mein Vorschlag gewesen das synchron zu machen, um das > >>>>>>> Interface moeglichst kurz im Netz zu haben :) > >>>>>> > >>>>>> Verstehe. Das br?uchte ich wirklich, wenn ich demn?chst mal einen Boot-Test mache. > >>>>>> W?re es sonst m?glich, da eine ACL draufzusetzen auf die beiden abgehenden IPs? > >>>>>> 213.178.77.170 status.opencsw.org > >>>>>> 213.178.77.178 login.bo.opencsw.org > >>>>>> > >>>>>> Besten Dank > >>>>>> > >>>>>> ? Dago > >>>>>> > >>>>> > >>>> > >>> > >> > > > -------------- next part -------------- A non-text attachment was scrubbed... Name: opencsw.png Type: image/png Size: 142214 bytes Desc: not available URL: -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 833 bytes Desc: not available URL: From ihsan at opencsw.org Fri Apr 1 20:35:59 2022 From: ihsan at opencsw.org (=?utf-8?B?xLBoc2FuIERvxJ9hbg==?=) Date: Fri, 1 Apr 2022 20:35:59 +0200 Subject: [aods] T5220 - mirror.opencsw.org In-Reply-To: References: <20220325132319.5j3iomtsxvprkjuk@legio.informatik.uni-erlangen.de> <057C7843-2ED6-41A0-8934-D043434AF5CB@baltic-online.de> <20220329083003.l5cu7dovjav66rmb@legio.informatik.uni-erlangen.de> <58370B22-F116-4AC2-91BD-6257AE8E2A70@baltic-online.de> <20220330054954.b2dpx7wrxiwwshc7@legio.informatik.uni-erlangen.de> <06786B9A-EC8C-40B4-A1B6-D12F36E61DCE@baltic-online.de> <20220330120954.xvltpkvbwx7j5bbg@legio.informatik.uni-erlangen.de> <20220330125059.7jedxzedklx2fi5x@legio.informatik.uni-erlangen.de> <20220331110617.okjh2yg26757jqxx@legio.informatik.uni-erlangen.de> Message-ID: <75A3D795-E693-4F98-838B-4AF7CE84C670@opencsw.org> Hallo zusammen, > Am 31.03.2022 um 13:14 schrieb Dagobert Michelsen via buildfarm : > >> die ACLs sind eingetragen, entgegen meiner Erwartung ist aber nicht >> opencsw-lom.informatik.uni-erlangen.de (131.188.40.84) online gekommen, >> sondern opencsw2-lom.informatik.uni-erlangen.de (131.188.40.79). >> Ich hab den Port daher erstmal wieder ausgemacht ;) >> >> Ich vermute mal, dass ich/wir da gerade ueber Altbestaende im DNS >> stolpern - daher nachfolgend ein kurzer Auszug der OpenCSW-bezogenen >> DNS-Eintraege. >> >> Der T5220 beantwortet unter den Adressen opencsw2, opencsw-mirror und >> opencsw2-pkg - ich vermute daher mal, dass die anderen Eintraege >> veraltet sind (von vmtl. opencsw2-lom abgesehen)? > > Hmmm, wir haben vor ein paar Jahren die alte V440 mal durch die neue T5220 ausgetauscht. > Vermutlich sind die opencsw-Adressen die von der V440 gewesen und die neue T5220 hat > die opencsw2-Adressen. Das w?rde auch erkl?ren, warum die .79 hochkommt. > K?nnen wir das mit der .79 mal ausprobieren ohne das wir die RZ-Leute zuviel > nerven? Wenn wir schon gerade beim Thema IP Adressen sind? mirror.opencsw.org ist nur ?ber IPv4 erreichbar, nicht jedoch ?ber IPv6: $ telnet mirror.opencsw.org 443 Trying 2001:638:a000:4140::ffff:82... Connection failed: Network is unreachable Das ging mal. ? Viele Gr?sse Ihsan -------------- next part -------------- An HTML attachment was scrubbed... URL: