Today, while I was trying to keep my students awake during a CCNA1 presentation, I noticed that two of them were looking at 9Gag and they ignored me. Not that I was saying something so deep and meaningful but it was a little bit frustrating for me. So, as soon I finished my presentation, I opened a console to the local router (a Cisco 2821 ) and began to filter 9gag. Obviously you cannot do that with ACLs when you want to filter a website running on multiple addresses like 9gag. Even if you use hostname instead of an IP address, that hostname is resolved once using dns servers defined in your configuration and that’s it. So I used a policy and five minutes later those two were the frustrated ones. This is how I did it : ! class-map match-any URLFILTER match protocol http host *9gag.com ! policy-map DROPURL class URLFILTER drop ! ! interface FastEthernet 0/1 desc Internal service-policy input DROPURL ! And that was it. Next time, facebook, prepare your url, I wanna filter you. Or, using CBAC (Context-Based Access Control) : ! ip inspect name WEBFILTER http urlfilter ip urlfilter allow-mode on ip urlfilter exclusive-domain deny…
Split-view DNS
Deja configurez al 3-lea split-view DNS folosind BIND în ultimile 2 săptămâni. Așa c-o iau ca pe un semn că ar trebui să explic și altora care-i șmecheria. Întâi trebuie explicat motivul pentru care am vrea să avem un split-view dns. Păi presupunem că avem un server DNS local care ne rezolvă un domeniu (să zicem example.com). Stațiile din rețeaua locală sunt cu adrese IP private (192.168.x.x, 10.x.x.x, 172.[16-31].x.x ). În rețeaua locală mai avem și un server de mail (tot cu IP privat dar scos în extern folosind port forwarding). Să zicem că nu avem chef să schimbam numele/ip-ul mail serverului în clientul de mail de fiecare data cand ajungem în reteaua locala cu laptopul. Și-atunci cum facem ? Ar fi util un server dns care să servească IP-urilor locale un anumit răspuns pentru o cerere. Și celor din extern alt răspuns. Astfel, mail.example.com poate să fie 192.168.1.2 pentru stațiile din rețeaua locală și 88.78.68.58 pentru cererile venite din exterior. (este doar un exemplu, e util și în alte cazuri). Cum facem ? Toată șmecheria se face în named.conf. Dacă folosiți deja acl-uri în DNS atunci poate că aveți deja adăugată o intrare pentru rețeaua locală. Dacă nu, adăugați…
Avem timp
Avem timp pentru toate. Sa dormim, sa alergam in dreapta si-n stanga, sa regretam c-am gresit si sa gresim din nou, sa-i judecam pe altii si sa ne absolvim pe noi insine, avem timp sa citim si sa scriem, sa corectam ce-am scris, sa regretam ce-am scris, avem timp sa facem proiecte si sa nu le respectam, avem timp sa ne facem iluzii si sa rascolim prin cenusa lor mai tarziu.Avem timp pentru ambitii si boli, sa invinovatim destinul si amanuntele, avem timp sa privim norii, reclamele sau un accident oarecare, avem timp sa ne-alungam intrebarile, sa amanam raspunsurile, avem timp sa sfaramam un vis si sa-l reinventam, avem timp sa ne facem prieteni, sa-i pierdem, avem timp sa primim lectii si sa le uitam dupa-aceea, avem timp sa primim daruri si sa nu le-ntelegem. Avem timp pentru toate.Nu e timp doar pentru putina tandrete. Cand sa facem si asta, murim. Am invatat unele lucruri in viata pe care vi le impartasesc si voua !! Am invatat ca nu poti face pe cineva sa te iubeasca. Tot ce poti face este sa fii o persoana iubita. Restul … depinde de ceilalti. Am invatat ca oricat mi-ar pasa mie Altora s-ar…
OpenVPN gateway (tutorial)
După o mică sesiune de ARP Poisoning m-am hotărât să trag repede un OpenVPN ca să n-am probleme. Mă jucam azi cu Cain-ul împreună cu un student și am rămas uimit când a agățat parolele de pe https. Practic, jucăria genera certificate ssl fake și “păcălea” victima. Dacă o să am ocazia să fac o sesiune de ARP Poisoning undeva într-o sală mai plină și să urmăresc mai multe IP-uri o să pun un post cu poze pe aici. Revenind la OpenVPN, am zis că-i cea mai bună soluție să evit probleme de genul ăsta în medii mai “nesigure”. Serverul pe care aveam de gând să-l folosesc pentru conectare rulează Feisty Fawn (de pe vremea când era beta chiar) iar clientul avea să fie laptopul propriu cu Windoze.
Cei de la Pasărea Colibri aveau o melodie numită “Puterea obișnuinței” care se aplică perfect pe ideea că trebuie să…