[aods] T5220 - mirror.opencsw.org

Dagobert Michelsen dam at baltic-online.de
Thu Mar 31 18:22:04 CEST 2022


Hi Chris,

Am 31.03.2022 um 13:53 schrieb Christian Eichler via buildfarm <buildfarm at lists.opencsw.org>:
> ich bin mir jetzt nicht ganz sicher ob ich deinen Vorschlag richtig
> verstanden hab - wenn du moechtest kann ich die .79 eben ohne ACL
> online nehmen und du stellst die IP vom LOM auf die .84 um, oder
> alternativ bitte ich das RZ die IP in der ACL auf 131.188.40.84
> umzustellen.
> 
> Oder waers sinnvoller, die Zugriffsbeschraenkung per ACL fuer beide
> IPs eingetragen zu haben?

statt der .84 ist ja nur die .79 hochgekommen, also haben wir wohl damals die
IPs des LOM-Interfaces geändert. Kann ich irgendwie noch testen, ob die .79 so geht
bevor Du die Änderung nochmal an das RZ schickst?

Ich brauche auf jeden Fall nur eine IP.
Eventuell könnte man Port 22 auf 131.188.40.75 auch nur für die beiden IPs von
OpenCSW freigeben.


Besten Dank

  — Dago

> 

> -chris
> 
> On Thu, Mar 31, 2022 at 01:14:19PM +0200, Dagobert Michelsen wrote:
>> Hallo Chris,
>> 
>> Am 31.03.2022 um 13:06 schrieb Christian Eichler <eichler at cs.fau.de>:
>>> die ACLs sind eingetragen, entgegen meiner Erwartung ist aber nicht
>>> opencsw-lom.informatik.uni-erlangen.de (131.188.40.84) online gekommen,
>>> sondern opencsw2-lom.informatik.uni-erlangen.de (131.188.40.79).
>>> Ich hab den Port daher erstmal wieder ausgemacht ;)
>>> 
>>> Ich vermute mal, dass ich/wir da gerade ueber Altbestaende im DNS
>>> stolpern - daher nachfolgend ein kurzer Auszug der OpenCSW-bezogenen
>>> DNS-Eintraege.
>>> 
>>> Der T5220 beantwortet unter den Adressen opencsw2, opencsw-mirror und
>>> opencsw2-pkg - ich vermute daher mal, dass die anderen Eintraege
>>> veraltet sind (von vmtl. opencsw2-lom abgesehen)?
>> 
>> Hmmm, wir haben vor ein paar Jahren die alte V440 mal durch die neue T5220 ausgetauscht.
>> Vermutlich sind die opencsw-Adressen die von der V440 gewesen und die neue T5220 hat
>> die opencsw2-Adressen. Das würde auch erklären, warum die .79 hochkommt.
>> Können wir das mit der .79 mal ausprobieren ohne das wir die RZ-Leute zuviel
>> nerven?
>> 
>> 
>> Besten Dank
>> 
>>  — Dago
>> 
>>> 
>>> 
>>>> opencsw2        IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.75
>>>>               IN      AAAA    2001:638:a000:4140::ffff:75
>>>> 
>>>> opencsw2-rsync  IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.76
>>>>               IN      AAAA    2001:638:a000:4140::ffff:76
>>>> 
>>>> opencsw2-mirror IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.77
>>>>               IN      AAAA    2001:638:a000:4140::ffff:77
>>>> 
>>>> opencsw2-pkg    IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.78
>>>>               IN      AAAA    2001:638:a000:4140::ffff:78
>>>> 
>>>> opencsw2-lom    IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.79
>>>> 
>>>> blaster         IN      CNAME   opencsw-rsync
>>>> opencsw-rsync   IN      HINFO   Ultra-60 Solaris
>>>>               IN      A       131.188.40.80
>>>> 
>>>> opencsw-new     IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.81
>>>>               IN      AAAA    2001:638:a000:4140::ff10:e458
>>>> 
>>>> opencsw-mirror  IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.82
>>>>               IN      AAAA    2001:638:a000:4140::ffff:82
>>>> 
>>>> opencsw-pkg     IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.83
>>>> 
>>>> opencsw-lom     IN      HINFO   Sun Solaris
>>>>               IN      A       131.188.40.84
>>> 
>>> 
>>> 
>>> Schoene Gruesse,
>>> chris
>>> 
>>> 
>>> 
>>> On Wed, Mar 30, 2022 at 02:55:16PM +0200, Dagobert Michelsen wrote:
>>>> Hallo Christian,
>>>> 
>>>> Am 30.03.2022 um 14:50 schrieb Christian Eichler via buildfarm <buildfarm at lists.opencsw.org>:
>>>>> ACLs brauchen einen Umlauf uebers Rechenzentrum; wenn ich dich richtig
>>>>> verstanden hab, dann brauchst du fuers Mgmt-Interface "nur" ssh (tcp/22)?
>>>>> 
>>>>> Falls dem so ist, dann wuerde ich folgendes Snippet ans RRZE schicken:
>>>>> 
>>>>> permit tcp 213.178.77.170 131.188.40.84 22
>>>>> permit tcp 213.178.77.178 131.188.40.84 22
>>>>> deny ip any 131.188.40.84
>>>> 
>>>> Ja, das sieht gut aus.
>>>> 
>>>> 
>>>> Besten Dank
>>>> 
>>>> — Dago
>>>> 
>>>>> 
>>>>> 
>>>>> Schoene Gruesse,
>>>>> chris
>>>>> 
>>>>> 
>>>>> On Wed, Mar 30, 2022 at 02:14:43PM +0200, Dagobert Michelsen wrote:
>>>>>> Moin Chris,
>>>>>> 
>>>>>> Am 30.03.2022 um 14:09 schrieb Christian Eichler <eichler at cs.fau.de>:
>>>>>>> da ich dich telefonisch grad nicht erreicht hab doch kurz per Mail:
>>>>>> 
>>>>>> Sorry, bin gerade in unserer wöchentlichen Telko, die den ganzen Nachmittag dauert :-/
>>>>>> 
>>>>>>> Der Switchport an dem opencsw-lom haengt ist aktuell auf shutdown; wenn
>>>>>>> du willst kann ich den Port wieder anschalten - dann haengt das Mgmt-
>>>>>>> Interface aber halt "unsicher" im Internet (in den ACLs sehe ich auf den
>>>>>>> ersten Blick keinen Eintrag der einen ssh-Zugriff verhindern sollte).
>>>>>>> 
>>>>>>> Deswegen waere mein Vorschlag gewesen das synchron zu machen, um das
>>>>>>> Interface moeglichst kurz im Netz zu haben :)
>>>>>> 
>>>>>> Verstehe. Das bräuchte ich wirklich, wenn ich demnächst mal einen Boot-Test mache.
>>>>>> Wäre es sonst möglich, da eine ACL draufzusetzen auf die beiden abgehenden IPs?
>>>>>> 213.178.77.170	status.opencsw.org
>>>>>> 213.178.77.178	login.bo.opencsw.org
>>>>>> 
>>>>>> Besten Dank
>>>>>> 
>>>>>> — Dago
>>>>>> 
>>>>> 
>>>> 
>>> 
>> 
> 

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 873 bytes
Desc: Message signed with OpenPGP
URL: <https://lists.opencsw.org/pipermail/buildfarm/attachments/20220331/d9dbf690/attachment.asc>


More information about the buildfarm mailing list