NetHuman - Сетевик-затейник Голосов: 1 Адрес блога: http://nethuman.blogspot.com/ Добавлен: 2008-02-19 12:41:56 блограйдером Lurk

AACSource - сорс клиент для IceCast2

2010-08-25 10:14:00 (читать в оригинале)

Более двух лет назад, работал на местном радио.
Директор поставил задачу транслировать эфир радио в интернет в формате AAC.

После долгих поисков бесплатного свободного сервера транслирующего поток в формате AAC, решено было самостоятельно написать сорс-клиент для IceCast2.

За основу был взят собственный сорс-клиент IceCast в части формата взаимодействия с сервером.
Поскольку на тот момент у меня небыло опыта компилирования Си-кода под линукс, а также опыта написания системных утилит, пришлось писать на Shell.

Итак, по просьбам некоторых коллег, представляю исходники моего "безобразия" по имени AACSource:
Срипт запуска
Конфигурационный файл
Собственно сам AACSource

---

OpenNHRP

2010-08-09 10:06:00 (читать в оригинале)

Обнаружил в сети проект OpenNHRP - открытая реализация протокола OpenNHRP.
Заявляют что "It makes it possible to create dynamic multipoint VPN Linux router using NHRP, GRE and IPsec. It aims to be Cisco DMVPN compatible." :)

Нужно найти время на попробовать.

---

Пишем анти-спуфинг ACL

2010-08-08 13:47:00 (читать в оригинале)

_{Написано дабы самому не забыть и товарищам почитать.}


Итак, задача укрепить защиту маршрутизатора напрямую подключенного в Интернет.

Первым делом защитимся от спуфинга - исключим из обработки (попросту отбросим) все пакеты идущие от серых (частных) сетей. Серые сети это сети предназначенные для частного использования и не маршрутизируемые в сети Интернет. Данные сети описаны в RFC1918, это префиксы 10/8, 172.16/12, 192.168/16.

В сети Интернет имеется еще несколько диапазонов адресов, появление которых на интерфейсе подключенном к сети интернет, в нормальных условиях будет по меньшей мере необычным. Данные сети описаны в RFC3330.

Следует понимать, что RFC3330 описывает сети специального назначения. Некоторые из этих сетей успели поменять свое назначение на "Reserved but subject to allocation", т.е. зарезервированы, но могут быть предоставленны в пользование. В общем случае такие сети блокировать не стоит, так как в случае передачи этих сетей в пользование, вы не сможете обмениваться с этой сетью данными.

Итак, составим список сетей которые мы будем блокировать на внешнем интерфейсе:

• 10.0.0.0/8 - описана в RFC1918;
  
• 172.16.0.0/12 - описана в RFC1918;
  
• 192.168.0.0/16 - описана в RFC1918;
  
• 224.0.0.0/4 - RFC3330, Мультикастовые сети;
  
• 127.0.0.0/8 - RFC3330, Лупбэк сеть;
  
• 169.254.0.0/8 - RFC3330, RFC3927, Zeroconf адреса;
  
• 192.0.2.0/24 - RFC3330, Сеть для тестирования и использования в публикациях;
  
• 240.0.0.0/4 - RFC3330, Зарезервировано для будущего использования.
  

Также, тем кто получил собственный диапазон адресов, рекомендуется добавить собственную сеть в данный список на граничных маршрутизаторах.

На основе полученного списка сетей, составим ACL.
В данном случае я буду использовать extended acl, просто для возможности в будущем фильтровать еще и по адресу назначения.

У меня получился такой список доступа:

#sho ip access-list
Extended IP access list AntiSpoof
    10 deny ip host 0.0.0.0 any
    20 deny ip 10.0.0.0 0.255.255.255 any
    30 deny ip 172.16.0.0 0.15.255.255 any
    40 deny ip 192.168.0.0 0.0.255.255 any
    50 deny ip host 255.255.255.255 any
    60 deny ip 224.0.0.0 15.255.255.255 any
    70 deny ip 127.0.0.0 0.255.255.255 any
    80 deny ip 169.254.0.0 0.0.255.255 any
    90 deny ip 192.0.2.0 0.0.0.255 any
    100 deny ip 240.0.0.0 15.255.255.255 any
    110 permit ip any any

В данном списке доступа, кроме перечиленных выше префиксов, добавлено еще два хостовых адреса:

• 0.0.0.0;


• 255.255.255.255;

Также следует помнить, что на интерфейсах с настроенными туннелями IPSec, ACL повешенный на вход интерфейса проверяет сначала заголовок пакета IPSec, а затем этот же ACL проверяет заголовок шифрованного пакета. Таким образом упоминание в данном ACL частных сетей может нарушить функционирование туннеля.

После написания списка доступа, применяем его на вход на всех интерфейсах подключенных в сеть Интернет или в другие не безопасные сети:

#conf t
#int f0/0
#ip access-group AntiSpoof
#end

Такая настройка внешних интерфейсов поможет избежать атаки с подделаных адресов.


Источники:

1. Cisco Systems: Infrastructure Protection Access Control Lists;
   
   
2. Материалы сайта AntiCisco.ru
   
   

---

Еще один шаг к CCNP

2010-07-29 12:10:00 (читать в оригинале)

Сегодня сдал BSCI.

Остается еще TSHOOT и можно ждать письмо с сертификатом :)
Теперь коплю на экз.

---

Citrix Reciever for Linux in non-English envinronments

2010-07-22 15:41:00 (читать в оригинале)

Нет, я не стал писать на английском :)
Всего лишь получилось так что заголовок состоит только из терминов.

Тестируем Citrix Reciever for Linux и Citrix XenDesktop Evaluation.

Сегодня пользователь пожаловался что символы "S" и "Ы" набираются только большими буквами.
Долго искал инфу, копался во внутреннностях этой поделки. Даже собрал волю в кулак и написал на их форум на ломаном аглицком.

А потом уже нашел вот этот документ:
http://support.citrix.com/article/CTX103576

Получается они не транслируют нажатия клавишь, а пытаются передать уже готовые символы.. оченно интересный подход... Появляется ощущение, что индусы в цитриксе никогда не пользовались отличными от En-Us раскладками.