klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Хроники кретинов #1

... Вряд ли я когда-нибудь смогу понять тонкий философский смысл и логику работы SELinux, который мне запретили отключать.

ClamAV не хотел обновляться по крону, потому что на целевой папке, куда он должен был скачивать свежие базы, немного побились Security Context-ы. Причём, если запускаешь руками, то всё хорошо. А вот по cron-у (тоже из-под root-а) — хренушки. Казалось бы, при чём тут Лужков какая разница? Но нет. А теперь иди и отлаживай всё это...

... Почему-то все мудаки-"безопасники" считают своим долгом первым делом закрыть весь ICMP на межсетевых экранах, и совершенно искренне считают, что это сразу же поднимет уровень "безопасности" в заоблачные выси. Блин, вот когда-то давно какой-то кретин придумал закрывать ICMP, а остальные радостно подхватили. Так же как и со спецсимволами в паролях.

При этом ровно те же "безопасники" предлагают при строительстве IPSec-тоннелей использовать давным-давно устаревшие DH Group 5 и SHA-1. Ядрить-колотить, ну что у людей в голове?

... Настраивал на Juniper SRX тоннель GRE-over-IPSEC. Проклял всё. Хочется раздолбать кувалдой эту идиотскую железку. Туда не ходи, сюда не ходи, так нельзя, сяк нельзя. Вот ограничения Juniper-а на такие тоннели.


  • IPSec-тоннель должен быть route-based, а не policy-based.

  • Шифрованный (IPSec) и нешифрованный (GRE) "концы" тоннеля обязательно должны "висеть" на разных интерфейсах.

  • SRX не умеет в транспортный режим IPSec от слова "совсем".

  • Соответственно, удалённый "конец" IPSec-а и завернутого в него GRE тоже должны "висеть" на разных адресах.

Так исторически сложилось, что у меня IPSec-и терминируются на lo0.0 , и поменять это не представляется возможным по причине других дебильных аппаратных ограничений. Соответственно, GRE мне приходится привязывать на st0.X. А значит, назначать и ему, и с противоположной стороны отдельные адреса. Итого имеем три пары IP-адресов: IPSec-пиры (lo0.0), внутренние адреса для привязки GRE-тоннеля (st0.X) и адреса внутри самого GRE (gr-0/0/0.X).

Спрашивается, вот и на хрена он вообще такой красивый нужен? Не берите SRX-ы, наплачетесь.

Tags: идиотизмы, ненависть, трудовыебудни
Subscribe

  • ОколоITшный дыбр #70

    ... Вчера (9 октября) роскомпозор (чтоб его мухи съели) в очередной раз выкатил обновленную прошивку на свои ТСПУ. Судя по некоторым внешним…

  • Dehydrated + WildCard Lets Encrypt

    Возникла тут надобность по-быстрому наколдовать Wildcard X509-сертификат для одного домена. Покупать и ждать пока проплатят времени / возможности не…

  • Великое китайское #2

    Продолжение предыдущего поста. На этот раз больше про OpenVPN и немного нытья. Наткнулся в этих ваших интернетах на интересный фолиант. Некие…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 9 comments