Kategori Netzwerk

speedport.ip 403 permission to get this page

Mittwoch, Dezember 12th, 2012

Heute mussten wir bei einem Kunden das WLAN auf seinem neuen DSL Router einstellen. Hierfür habe ich den Port auf meinen Rechner durch leiten wollen:

ssh -L 8080:192.168.2.1:443 hostname-client

Dann haben wir aber eine 403 Error bekommen:
403 Forbidden
Your client does not have permission to get this page.(code=41193) from this server.

Also habe ich in der /etc/hosts auf meinem localen Rechner den Namen des Routers Nachgetragen:
127.0.0.1 speedport.ip

Dann habe ich den SSH Befehl noch um sudo erweitert um den Port 443 (SSL) bei mir auch local zu binden.
sudo -i ./id_rsa ssh -L 443:192.168.2.1:443 hostname-client

Veröffentlicht am: 12.12.2012 von: CHR | Tags: | publiziert in: Linux, Netzwerk, Security

disable ipv6 aus Sicherheitsgründen

Donnerstag, Juli 26th, 2012

Da wir in unserem Wohnheims-Netz eh kein IPv6 bekommen werden, habe ich kurzerhand entschlossen alle Server von der Automatischen Beziehung von IPv6 Adressen, aus Sicherheitsgründen, auszuschließen.

Das Problem was dabei entsteht ist das IPv6 Verbindungen grundsätzlich priorisiert werden. Wenn jetzt jemand „sagt“ hier hast du eine IPv6 Address und eine Route ins Internet. Dann wird der IPv6 Traffig über diesen Gateway transportiert. So hat ein Angreifer eine wunderbare „man in the middle“ Position.

Eine schlechte Idee ist es IPv6 im Kernel ganz auszuschalten, das führt unter aktuellen Systemen dazu das einige Dienste die mit ::1 kommunizieren nicht mehr funktionieren. (ein Beispiel dafür ist ssh -X)

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo "net.ipv6.conf.all.disable_ipv6 = 1" > /etc/sysctl.d/01-disable-ipv6.conf

Was man aber machen will ist die reine autoconf (der dhcp Ersatz) Funktion abzuschalten. Das geht mit:

echo "net.ipv6.conf.all.autoconf=0" > /etc/sysctl.d/01-disable-ipv6-autoconf.conf
echo "net.ipv6.conf.all.accept_ra=0" >> /etc/sysctl.d/01-disable-ipv6-autoconf.conf

Veröffentlicht am: 26.07.2012 von: CHR | Tags: | publiziert in: Bayernallee, Linux, Netzwerk, Security

multicast auf CISCO 200 series dropen

Mittwoch, Mai 16th, 2012

Da Multicast Parkete in größenen Netzerken, z.b. WLANs zu Problemen fürhren können, habe ich mich eben damit beschäftige diese Pakete zu Droppen.

Zunächst muss Unter Multicast -> Eigenschaften -> Bridge-Multcast-Filterstatus aktiviert werden.

Dann kann man unter Multicast -> Alle weiterleiten die einzelne Ports definieren die erlaubt sind (Statisch) und die denen das Routing Verboten ist.

Veröffentlicht am: 16.05.2012 von: CHR | publiziert in: CISCO

BA Gigabit

Sonntag, April 29th, 2012

Heute haben wir in der BA zwei weite 48 Port Gigabit Einschübe in unseren Cisco 4006 nachgerüstet. 

switch>show module 
Chassis Type : WS-C4006

Power consumed by backplane : 0 Watts

Mod Ports Card Type                              Model              Serial No.
---+-----+--------------------------------------+------------------+-----------
 1     2  Supervisor III 1000BaseX (GBIC)        WS-X4014           
 2    48  10/100/1000BaseT (RJ45)                WS-X4548-GB-RJ45   
 3    48  10/100/1000BaseT (RJ45)                WS-X4548-GB-RJ45   
 4    48  10/100/1000BaseT (RJ45)                WS-X4548-GB-RJ45   
 5    48  10/100BaseTX (RJ45)                    WS-X4148-RJ        
 6    48  10/100BaseTX (RJ45)V                   WS-X4148-RJ45V

Veröffentlicht am: 29.04.2012 von: CHR | publiziert in: Bayernallee, CISCO

Tolle Zahl: 65535

Donnerstag, April 26th, 2012

64 bytes from 10.0.0.1: icmp_seq=65533 ttl=64 time=0.349 ms
64 bytes from 10.0.0.1: icmp_seq=65534 ttl=64 time=0.312 ms
64 bytes from 10.0.0.1: icmp_seq=65535 ttl=64 time=0.318 ms
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=0.325 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.308 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.312 ms

Dabei fängt der erste ping bei 1 an und nicht bei 0.

Veröffentlicht am: 26.04.2012 von: CHR | publiziert in: Netzwerk

« ältere einträge
neuere einträge »