Comincia la lotta: archlinux vs proxy.

[>|HaRRyFocKer|]

Allora ragazzi, ho un problema abbastanza serio con il proxy dell'azienda nella quale lavoro.
Vi spiego la situazione:

Per connettersi verso l'esterno bisogna autenticarsi mediante questo proxy. Per di più abbiamo il piccolo problemino che TUTTE LE PORTE (non solo all'esterno eh) che non siano la porta 80 e 443. E all'interno almeno funziona l'icmp.
Ciò comporta svariati problemi al sottoscritto:

1) (giusto per lamentarmi) Brutti coglioni come li faccio gli aggiornamenti degli IOS se mi bloccate le porte del tftp??? Coglioni!!!

2) Il mio portatile ha problemi con l'orologio. Perde parecchi minuti al giorno e grazie a queste regole super-restrittive non mi funziona l'ntp.

3) Spesso e volentieri mi trovo a dover scaricare da siti esterni mediante ftp degli aggiornamenti per apparati di rete. E' una barzelletta: dobbiamo fare la richiesta per avere temporaneamente una chiavetta umts per collegarci ad internet e scaricare gli aggiornamenti.

4) Considerando che sono un consulente esterno, il mio portatile non fa parte del dominio e quindi non posso accedere ai fs creati appositamente per lo scambio dei dati. Dato che mi rompo abbastanza di dover salire anche sette piani per portare una penna usb ai colleghi, avevamo deciso di usare tra noi dropbox (che scambia dati anche nella lan, visto che i pc dei dipendenti it fanno tutti parte della stessa subnet). Ma il fatto è che utilizza una porta ovviamente bloccata.

6) Non mi funzica manco pacman. Ovviamente. Nonostante imposti il proxy con il comando export ecc. ecc. E considerando che sto lottando per tenere linux anche sul posto di lavoro, mi deprime il fatto che ogni tanto devo switchare verso windows perchè non ho questo pacchetto o quell'altro.

5) Non mi interessa emule torrent cazzi e mazzi perchè tanto la banda è limitata... A ben 8 kB/s! Quindi non pensate che lo faccio perchè mi voglio mettere a scaricare da lavoro.

Ora, avrei bisogno di un modo per far passare TUTTO il mio traffico sulla porta 80... Che voi sappiate, ho qualche speranza? Oppure devo buttare il sangue e continuare a lottare contro i mulini a vento...?

Spero possa nascere una discussione costruttiva...
Grazie a tutti
m!

[Hilinus]

http://wiki.archlinux.org/index.php/HTTP_Tunneling

Una cosa del genere può essere d'aiuto?

[>|HaRRyFocKer|]

Quote:

Originariamente inviato da Hilinus

http://wiki.archlinux.org/index.php/HTTP_Tunneling

Una cosa del genere può essere d'aiuto?

Si infatti alludevo all'http tunneling. E' solo che volevo evitare l'utilizzo di un web server, anche perchè non ce l'ho...
Se poi sarà indispensabile, chiederò a qualche amico se ha un pc acceso quanto meno nelle ore lavorative... Quello che mi chiedo però è come farlo funzionare con il proxy aziendale...

[HexDEF6]

nemmeno https??
allora piu' o meno scordati di far passare traffico "strambo" sulla porta 80 attraverso un proxy...
se il proxy facesse passare la 443 te la caveresti con una vpn... ma rimane sempre il problema di doversi appoggiare su un server esterno...

comunque fai i complimenti a chi gestisce la rete con una configurazione del genere e' veramente facile lavorare

[!fazz]

se ti può consolare nell'ultima consulenza non potevo neanche inviare mail ai miei (temporanei) colleghi visto che tutte le mail esterne all'azienda venivano scartate

[Cobra78]

Beh non c'è male.

Anche da me ci sono regole restrittive, ma non così tanto!

Il problema è che chi non è davvero capace di fare sicurezza seriamente blocca tutto alla bruta e via.....e magari crede pure di fare un buon lavoro!!!

[>|HaRRyFocKer|]

Quote:

Originariamente inviato da HexDEF6

nemmeno https??
allora piu' o meno scordati di far passare traffico "strambo" sulla porta 80 attraverso un proxy...
se il proxy facesse passare la 443 te la caveresti con una vpn... ma rimane sempre il problema di doversi appoggiare su un server esterno...

No fortunatamente la 443 è aperta... Avevo sbagliato a scrivere sorry
Quindi mi dici un po', che devo fà (oltre a trovare un server... ) ?

In ogni caso la cosa più triste è che non lavoro nell'azienda dietro il vicolo... Lavoro in una grande azienda (ex statale) e vedo che le cose sono davvero gestite una chiavica...

Consideriamo indicativamente come è fatta la rete dentro il palazzo:

Postazione -> Apparati Wind -> Core CED --> Firewall -> Router
Ebbene, io gestisco anche il core ced ma non posso entrare negli apparati di piano. Quindi praticamente ho una black box in cui succede di tutto e di più.

Non vi dico, un giorno per puro sfizio attaccai un'analizzatore della fluke alla mia postazione (uno di quelli da 10000 € e dispari, che ti fa anche il caffè ) e ho trovato una rincuorante percentuale, circa il 10%, di IPX ( Notabene, non abbiamo macchine che lavorano con ipx, teoricamente), con tracce si spanning tree (essì abilitiamo lo spanning tree pure sulle interfacce attaccate alle workstation!!!) e altri protocolli che mai avevo sentito...
Inutile dire che Wind non se ne può fregare di meno...

Insomma ci sarebbe da piangere...

[HexDEF6]

Quote:

Originariamente inviato da >|HaRRyFocKer|

No fortunatamente la 443 è aperta... Avevo sbagliato a scrivere sorry
Quindi mi dici un po', che devo fà (oltre a trovare un server... ) ?

senza un server esterno tuo a cui appoggiarti rimane comunque impossibile (a meno che qualcuno non offra servizi simili... ma non ho mai cercato... )
tipo ti puo' bastare una openvpn (che puo' passare attraverso il proxy)... magari per sicurezza sul server esterno che gestisci tu (dove metti il server di openvpn) fallo ascoltare sulla 443 visto che di solito i proxy aziendali permettono la connect solo su quella porta

Quote:

Originariamente inviato da >|HaRRyFocKer|

In ogni caso la cosa più triste è che non lavoro nell'azienda dietro il vicolo... Lavoro in una grande azienda (ex statale) e vedo che le cose sono davvero gestite una chiavica...

normalissimo... anzi mi stupirei del contrario

Quote:

Originariamente inviato da >|HaRRyFocKer|

Consideriamo indicativamente come è fatta la rete dentro il palazzo:

Postazione -> Apparati Wind -> Core CED --> Firewall -> Router
Ebbene, io gestisco anche il core ced ma non posso entrare negli apparati di piano. Quindi praticamente ho una black box in cui succede di tutto e di più.

Non vi dico, un giorno per puro sfizio attaccai un'analizzatore della fluke alla mia postazione (uno di quelli da 10000 € e dispari, che ti fa anche il caffè ) e ho trovato una rincuorante percentuale, circa il 10%, di IPX ( Notabene, non abbiamo macchine che lavorano con ipx, teoricamente),

anch'io mi sono messo a sniffare un po di traffico in rete... e pure io ho trovato dei pacchetti IPX (forse un 1%)... di solito dovuto alle stampanti che di default hanno pure ipx attivo (e non capisco perche')

Quote:

Originariamente inviato da >|HaRRyFocKer|

con tracce si spanning tree (essì abilitiamo lo spanning tree pure sulle interfacce attaccate alle workstation!!!)

questo non e' insolito anzi...
pure noi abilitiamo lo spanning tree portfast sulle interfacce attaccate "in teoria" alle WS... cosi se qualcuno ci attacca qualcosa che butta fuori qualche BDPU (come uno switch) la porta viene disabilitata...

Quote:

Originariamente inviato da >|HaRRyFocKer|

e altri protocolli che mai avevo sentito...
Inutile dire che Wind non se ne può fregare di meno...

Insomma ci sarebbe da piangere...

normale non ti preoccupare

comunque lavorando dall'altra parte, a volte capisco perche' vengono messe certe restrizioni, visto che gli utenti di solito sono dei gran rompico....
ma per essere un sistemista "decente" basta prendere il proprio pc e sottostare alle stesse regole che si impongono agli altri e vedere se si riesce a lavorare

[eclissi83]

da me e' piu' o meno la stessa cosa...

ISA Server + filtro sui contenuti, 80 e 443 aperte, mail server exchange interni. pero' la banda non e' limitata (anzi e' fin troppa ).
io fondamentalmente uso sempre la vpn, sia che la navigazione sia libera, sia quando ho i filtri come in questo caso, quindi mi preoccupo solo che ci sia la 443 aperta.

comunque per gli altri colleghi cercavo una soluzione per bypassare il proxy, ma non ho trovato cose fattibili, tanto che mi capita di fargli da NAT :P

[khelidan1980]

Quote:

Originariamente inviato da >|HaRRyFocKer|

No fortunatamente la 443 è aperta... Avevo sbagliato a scrivere sorry
Quindi mi dici un po', che devo fà (oltre a trovare un server... ) ?

In ogni caso la cosa più triste è che non lavoro nell'azienda dietro il vicolo... Lavoro in una grande azienda (ex statale) e vedo che le cose sono davvero gestite una chiavica...

Se lavoravi nell'azienda dietro il vicolo probabilmente era molto meglio...io sono passato da una super azienda(nel senso di grandezza) ad una software house di " gestione familiare" e le cose sono immensamente migliori, siamo come tecnologia usate sia come competenza generale

FINE OT

[>|HaRRyFocKer|]

Quote:

Originariamente inviato da HexDEF6

senza un server esterno tuo a cui appoggiarti rimane comunque impossibile (a meno che qualcuno non offra servizi simili... ma non ho mai cercato... )
tipo ti puo' bastare una openvpn (che puo' passare attraverso il proxy)... magari per sicurezza sul server esterno che gestisci tu (dove metti il server di openvpn) fallo ascoltare sulla 443 visto che di solito i proxy aziendali permettono la connect solo su quella porta

Chiederò a qualche amico se ha un qualcosa del genere... Thanks

Quote:

Originariamente inviato da HexDEF6

anch'io mi sono messo a sniffare un po di traffico in rete... e pure io ho trovato dei pacchetti IPX (forse un 1%)... di solito dovuto alle stampanti che di default hanno pure ipx attivo (e non capisco perche')

Vero anche a me è stato detta questa cosa, però non è spiegabile il 10%.
Anche perchè le stampanti sono tutte in un'altra subnet quindi attaccando l'analizzatore sulla porta della mia scrivania non dovrei trovare le stampanti...

Quote:

Originariamente inviato da HexDEF6

questo non e' insolito anzi...
pure noi abilitiamo lo spanning tree portfast sulle interfacce attaccate "in teoria" alle WS... cosi se qualcuno ci attacca qualcosa che butta fuori qualche BDPU (come uno switch) la porta viene disabilitata...

Beh questo pure potrebbe essere, effettivamente io a volte dimentico che c'è tanta gente che fa cose molto più grandi di loro, senza averne la minima cognizione. Insomma, mi dimentico che nel mio palazzo ci sono altri 500 dipendenti di amministrazione

Quote:

Originariamente inviato da HexDEF6

comunque lavorando dall'altra parte, a volte capisco perche' vengono messe certe restrizioni, visto che gli utenti di solito sono dei gran rompico....
ma per essere un sistemista "decente" basta prendere il proprio pc e sottostare alle stesse regole che si impongono agli altri e vedere se si riesce a lavorare

Il problema è un altro. Il lavoro da noi è estremamente stratificato: Ad esempio della sicurezza se ne occupa torino, sede appunto di tutta la parte security. Il fatto è che, seppur molto simili, i nostri lavori sono diversi, con conoscenze diverse. Ad esempio, non conosco molti altri ambiti in cui si utilizza il tftp. Ma a me sistemista di rete, serve come il pane, e in generale sono l'unico che deve utilizzarlo (che poi ancora oggi non capisco perchè il tftp venga adoperato come mezzo di trasmissioni di IOS (quando era IOS e non iOS ), essendo TRIVIAL). Quindi la security permette l'utilizzo delle porte più utilizzate, cioè quelle che vengono utilizzate dai sistemisti lato macchine: chessò vmware, protocolli specifici delle macchine e cazzi vari. Il tftp che serve solo a me e altri pochissimi altri colleghi non viene permesso...