Прихожу сеня в один банк по работе. Ну, туда-сюда, потусовались, а другие чуваки вокруг, гляжу — чо-то бегают. И бегают, и бегают.
— Чо, — говорю, — бегаете, чуваки?
— Да вот, — говорят, — асу траблшутим.
— Каво, бля? Нашли что траблшутить. А чо траблшутите-то?
— Да, хуйня какая-то, сами не поймем.
— Ну ладно, говорю, траблшутьте, бог в помощь.
А сам другому коллеге говорю, чо, мол, у них лица-то такие серьезные.
— Да вот, — говорит, — в одном городе есть один большой-пребольшой магазин, в котором вот уж полдня POS-терминалы не коннектятся к процессингу, и этот крупный магазин как бы терпит как бы убытки и недвусмысленно намекает нашему банку, что мы охуели.
Смеркалось.
— Чуваки, ну чо, оттраблшутили? — говорю.
— Какое там.
— Можт вы не умеете траблшутить, давайте я вас научу?
— Нахуй пошел, да?
Стали ковыряться — все такое смешное. Туда ходит, сюда — не ходит, SYN есть, SYN-ACK'а нету. То есть для всех есть, а этому конкретному магазину — хуй в ответ вместо SYN-ACK'а. Вот они и траблшутят асу.
Короче. У чуваков этот POS-трафик в L3VPN одного желто-черного провайдера ходил, для понту помазанный модным приоритетным классом. Ну и, поскольку класс важный и приоритетный, то желто-черный провайдер в некоторых городах по некоторым направлениям дропил его к херам собачьим. Сменили на BE — все заработало.
Мораль. Надо быть проще и не выпендриваться. Платить налом.
а еще черножелтые метки не попавшие в их кос-мап дропают, а не свапают в бе
Purrr
Purrr
когда несколько л3впнов понабрал, а у всех кос-мапы разные
MOXHATOE
https://supportforums.cisco.com/t5/security-management/duplicate-tcp-syn-log-entries/td-p/1989301
да, это находил, просто наши дебилы (зачеркнуто) безопы говорят что с ноутбуком юзера все ок. ну там касперский, вся фигня.
Anonymous
Нет. При чем тут по? Про баг знаю, но там не те симптомы
419002
Error Message %ASA-4-419002: Received duplicate TCP SYN from in_interface :src_address /src_port to out_interface :dest_address /dest_port with different initial sequence number.
Explanation A duplicate TCP SYN was received during the three-way-handshake that has a different initial sequence number from the SYN that opened the embryonic connection. This may indicate that SYNs are being spoofed. This message occurs in Release 7.0.4.1 and later.
in_interface—The input interface
src_address—The source IP address of the packet
src_port—The source port of the packet
out_interface—The output interface
dest_address—The destination IP address of the packet
dest_port—The destination port of the packet
Recommended Action None required.
Purrr
налетаешь на такое дерьмо и не понимаешь чо ничо не рабит
Purrr
удобный кос, хули
Anonymous
сделать no logging message 419002
Anonymous
@PbIJIO ^^^
Andrey
тут как бы сообщение ошибки предполагает очевидное решение - замена модуля памяти.
Cisco пишет: a single bit error which is self correctable...
https://quickview.cloudapps.cisco.com/quickview/bug/CSCuq09636
Anonymous
например.
MOXHATOE
сделать no logging message 419002
ладно, в общем видимо мое предположение верное. насчет syn flood или скан. спасибо
Anonymous
дак может какой клиент часть ботнета и начинает спуфить
Anonymous
и вот это вот всё.
Volodymyr
Ладно, ребята
Volodymyr
поясните мне за oxidized и Otput в git
Volodymyr
ну создал он репу : devices.git
Volodymyr
в вебочке показывает
Volodymyr
можно посмотреть содердимое
Evgeniy
я тож послушаю
Volodymyr
где сам файл там в плейнтексте ?
Volodymyr
ну типа я хочу как легаси чувак через vim его открыть
Volodymyr
где он находится?
Volodymyr
отличный ответ, но если в гит, где само содержимое конфигов, где конфиги лежат ?
Alexander
Oxy с LibreNMS хорошо интегрируется, кросиво
Volodymyr
еще один клевый ответ, спасибо
Volodymyr
где файлы лежат конфигов ?)
Alexander
в репе, очевидно же
Vladimir
и будут файлы
Evgeniy
странно. я вообще почему-то думал изначально, что output в гит это чот типа взял прописал куда
Evgeniy
и оно туда коммитит
Tema
диалог девопсов)))
Evgeniy
ну почему
Eugene
нестыковочка
Evgeniy
взять написать git log
Evgeniy
и имя файло
Anonymous
ну типа я хочу как легаси чувак через vim его открыть
не будет. oxidized создаёт bare репозиторий.
Anonymous
чтобы получить файлы в репозитории, надо этот репозиторий сделать git pull в другую директорию.
Anonymous
об этом в документации написано, между прочим.
Volodymyr
git clone /storage/oxidized/git/devices.git .
Initialized empty Git repository in /storage/oxidized/configs/.git/
Eugene
чтобы получить файлы в репозитории, надо этот репозиторий сделать git pull в другую директорию.
а может два контейнера с окси, один собирает в гит, другой в файлики?
Volodymyr
неттен топчик
Volodymyr
наверно можно хук повесить
Vladimir
еее
Volodymyr
чтобы он сам это делал потом
Vladimir
меня Володька оценил
Anonymous
ну или не очень в документации
Anonymous
https://github.com/ytti/oxidized/issues/244
Anonymous
вот здесь.
Anonymous
вообще, для таких товарищей, которые хотят смотреть через less/grep прям на коробке с oxd, приходилось делать git pull по крону раз в пять минут по каждой группе в oxd.
Anonymous
но и через хуки как бы можно, наверно, да.
Volodymyr
Volodymyr
даже я бы не пошел в кроне делать
Anonymous
это самый простой и наверняка работающий способ.
Anonymous
который не завязан на софт самого решения.
Anonymous
поэтому я и выбрал его.
Vladimir
но и через хуки как бы можно, наверно, да.
не обязательно для греп/лесс. Чтобы в обсервиуме смотреть конфиг, надо гитпуллить. И по хукам этого достаточно
Eugene
даже я бы не пошел в кроне делать
Володя, а как бы вообще, окси имхо это суровая и скучная эксплуатация... А ты как бы в /// стартапе, что не подразумевает скуки и рутины и всяких бакапов :)
Anonymous
снова observium
Pavel
а может два контейнера с окси, один собирает в гит, другой в файлики?
Ага, в одном месте бэкапы вимом правишь, из другого при аварии восстанавливаешь
Vladimir
ня
Anonymous
там завезли специальную радугу?
Eugene
Ага, в одном месте бэкапы вимом правишь, из другого при аварии восстанавливаешь
зато молодежно и современно
Volodymyr
Serge
даже я бы не пошел в кроне делать
Всё правильно, нужно на логсервере делать хук на сообщение от железки, что кто-то её сконфигурил. По хуку пусть дёргается опросник, который заберёт свежий конфиг и закоммитит его в репу!
Serge
Anonymous
Anonymous
можно даже сразу архитектором решений в red hat куда-нибудь.
Anonymous
зачем ждать.
Volodymyr
Всё правильно, нужно на логсервере делать хук на сообщение от железки, что кто-то её сконфигурил. По хуку пусть дёргается опросник, который заберёт свежий конфиг и закоммитит его в репу!
а если заменить лог на snmp trap, то сразу из хипстерского девопса превращаешься, в какого-то аэспи костылятора )
Serge
а если заменить лог на snmp trap, то сразу из хипстерского девопса превращаешься, в какого-то аэспи костылятора )
Кстати да, можно же трап отлавливать — даже проще будет
Anonymous
а если складывать в amqp куда-нибудь, то сразу смузи заносят.
Anonymous
а если в kafka, то в тырпрайз приглашают пройти
Eugene
а если складывать в amqp куда-нибудь, то сразу смузи заносят.
ты вот щас сурьезно или издеваешься над нетдевапсами 1.2?