God bless SSH port forwarding

Tuesday, January 18th, 2011 12:46
kastaneda: (Default)
[personal profile] kastaneda
Вторая серия ненависти. Мы с коллегами совершенно случайно выяснили, как именно блокируется «плохой» трафик в нашем офисе.

Делаем telnet example.com 80,
HEAD / HTTP/1.0 — работает как надо,
HEAD /?arg=youtube.com HTTP/1.0 — не работает (бесконечно ждём ответа, не получая ни отлупа, ни закрытия соединения).

Если где угодно в http-запросе (в том числе в значениях параметров) присутствует подстрока «youtube.com», то запрос накрывается медным тазом. Заодно мы обнаружили, что весь наш веб-трафик «завёрнут» в transparent proxy.

Коллеги люто, бешено матерятся: они три часа не могли отдебажить подземный стук в своём проекте.
Tags:
Flat | Top-Level Comments Only

Date: Tuesday, January 18th, 2011 10:49 am (UTC)
From: [identity profile] pali-ka.livejournal.com
А что за проект, в котором присутствует строка youtube.com?

Date: Tuesday, January 18th, 2011 10:52 am (UTC)
kastaneda: (Default)
From: [personal profile] kastaneda
Что-то вебдванольное, деталей не знаю (да и NDA). Достаточно сказать, что в некой форме там есть то ли чекбоксы, то ли выпадающие списки с названиями каких-то популярных сайтов типа YouTube, Google, Twitter и Bing.

Date: Tuesday, January 18th, 2011 10:54 am (UTC)
From: [identity profile] pali-ka.livejournal.com
Сетевой админ что-то намудрил. Пора его кое-как стимулировать?
Или админ один на кучу организаций?
Контактег тоже забанен?

Date: Tuesday, January 18th, 2011 10:59 am (UTC)
kastaneda: (Default)
From: [personal profile] kastaneda
Админ считает себя очень важной птицей, вот и творит что хочет.

В предыдущем посте по этой теме один камрад высказался так: «в программистской конторе админ — дух бесплотный и пыль подножная». Пожалуй, я поддерживаю эту точку зрения.

Date: Tuesday, January 18th, 2011 11:23 am (UTC)
From: [identity profile] warunlock.livejournal.com
официально служебной запиской требуете от начальства переложить затраты на ЗП 4 часов группы разработчиков на админа потому что.

Date: Tuesday, January 18th, 2011 01:35 pm (UTC)
From: [identity profile] bes-ucher.livejournal.com
присоединяюсь насчет служебной записки - прямой вред работе надо пресекать.

Date: Wednesday, January 19th, 2011 01:46 am (UTC)
wizzard: (Default)
From: [personal profile] wizzard
Служебную записку за (умышленно-неумышленно) причиненный вред, да. И требование документировать отличия от RFC в поведении протоколов.

А вообще неплохо бы с ним кооперироваться, раз уж он такой безопасный.

А также, god bless HTTPS & VPN.

Date: Tuesday, January 18th, 2011 11:31 am (UTC)
From: [identity profile] dimich-dmb.livejournal.com
На одной из бывших работ как-то целый день пытались зарегистрироваться на определенном сайте, нужном для рабочего процесса. Прокси постоянно давал отлуп. Как впоследствии оказалось, в регистрационной форме наряду с полями "name", "age" и т.п. было поле с именем "sex", что очень не нравилось проксевому фильтру.
Повбывав бы.

Date: Tuesday, January 18th, 2011 11:38 am (UTC)
From: [identity profile] 0ld.livejournal.com
ssh -D домой - первое, что я запускаю, прийдя на работу

Date: Tuesday, January 18th, 2011 11:44 am (UTC)
From: [identity profile] 0ld.livejournal.com
на прошлой это было даже ssh -D -p443 чз транспарент прокси.
а у некоторых клиентов вообще приходилось извращаться еще и с аутентификацией на проксе.
самый жир был однажды в офисе TIM Brasil, где прокся хотела ntlm auth, при этом на ней резалось все по ключевым словам ntlm, auth, proxy и богзнаетчоеще. ничо, с нтлмапсом пробились

Date: Tuesday, January 18th, 2011 12:01 pm (UTC)
From: [identity profile] andymickey.livejournal.com
в программистской конторе админ — дух бесплотный и пыль подножная

Вот только это понимают очень малое количество админов. ;) А когда понимают они уже обычно не админы. :D

Date: Tuesday, January 18th, 2011 01:50 pm (UTC)
From: [identity profile] lopius-arius.livejournal.com
админить толпу программистов? это стрёмно. програмисты зачастую знают что делают.

хотя бывают такие исключения, что хочется блокировать всё...

Date: Tuesday, January 18th, 2011 01:54 pm (UTC)
From: [identity profile] andymickey.livejournal.com
Я даже не столько про толпу программистов. ;) Вообще и глобально немногие соглашаются с тем, что они обслуживают бизнес и не зарабатывают конторе бабла. ;)

Date: Tuesday, January 18th, 2011 11:03 pm (UTC)
From: [identity profile] lopius-arius.livejournal.com
Я знаю что я не зарабатываю конторе бабла. Лично моя позиция - не даю баблу утекать по доступным каналам.
Ну а это, в принципе, и можно назвать обслуживанием...

Date: Tuesday, January 18th, 2011 12:12 pm (UTC)
From: [identity profile] egorfine.livejournal.com
у вас там что, идиоты? Блокировать программистам веб на прокси - это же анекдот из прошлого века. :-\

Date: Tuesday, January 18th, 2011 03:09 pm (UTC)
From: [identity profile] nec-p1us-u1tra.livejournal.com
Welcome to Oracle. Причем по всему миру.
Естественно, рабочий день начинается с ssh -D.

Date: Tuesday, January 18th, 2011 04:23 pm (UTC)
From: [identity profile] egorfine.livejournal.com
Ораклу можно.

Date: Thursday, January 20th, 2011 08:31 pm (UTC)
netch: (Default)
From: [personal profile] netch
Почему? Чтобы быстрее развалились? ;)

Date: Tuesday, January 18th, 2011 04:24 pm (UTC)
kastaneda: (Default)
From: [personal profile] kastaneda
Мой рабочий день начинается с cryptsetup luksOpen, а потом уже сабж.

Date: Tuesday, January 18th, 2011 01:45 pm (UTC)
From: [identity profile] the-petrovich.livejournal.com
Посему, сисадмин должен участвовать в проекте наравне с разработчиками. Более того, на него можно и нужно взвалить часть работы по проектированию и реализации интерфейсов взаимодействия, обеспечение безопасности этих интерфейсов, и еще много чего.
Flat | Top-Level Comments Only

Profile

kastaneda: (Default)
Карлос
kastaneda.kiev.ua

Navigation

September 2025

M T W T F S S
12345 67
891011121314
15161718192021
22232425262728
2930     

Links