M0n0wall Goodie

Posted on May 5, 2009 by markus

Als zusätzliches Goodie: M0n0wall kann auch zwischen den Interfacen einTraffic Shapping durchführen. Dabei geht es nicht nur um ein Quality of Service (QoS), sondern es ist auch möglich Paketverluste und eine geringe Bandbreite zu simulieren. Wer also immer mal Replikation über WAN-Strecken oder ähnliches simulieren wollte, hat damit gleich ein kostenloses Tool zu Hand.

Dazu wird eine Pipe zwischen LAN und LAN2 eingerichtet. Auf diese wirkt eine Traffic Shape Regel:

z.B.

  • Bandwidth: 10 KBit/s
  • Delay: 100ms
  • PLR  0.1     (also ca.  jedes 10 Paket geht verloren)

Daraus ergibt sich folgender Ping (man kann ziemlich genau erkennen, wann ich die Regel aktiviert habe):

Antwort von 192.168.58.3: Bytes=1000 Zeit<1ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=910ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=930ms TTL=127

Zeitüberschreitung der Anforderung.

Antwort von 192.168.58.3: Bytes=1000 Zeit=922ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=922ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=921ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=927ms TTL=127

Antwort von 192.168.58.3: Bytes=1000 Zeit=924ms TTL=127

Zeitüberschreitung der Anforderung.

Wirklich nettes Feature!


Related posts

Posted in VMWare | Tagged , | Leave a comment

Firewalltests in VMWare

Posted on May 4, 2009 by markus

Um genaue Portangaben bei einer AD Replikation machen zu können, habe ich innerhalb eines VMWare Servers 2.0 eine Testumgebung mit zwei Domänencontroller und einer Firewall dazwischen aufgebaut. Leider ermöglicht VMWare dort nur sehr eingeschränkte Netzwerkeinstellungen (im ESX wäre es einfacher).

Als einfache Firewall nutzte ich M0n0wall: Eine sehr kleiner Linuxfirewall mit vielen netten Features.  Bei VMWare existiert eine fertige Appliance zum herunterladen.

Da ich nur eine interne Netzwerkkarte zur Verfügung hatte, habe ich Monowall drei Netzwerkkarten ins gleiche “Host-Only” Netz gegeben. Eine davon wurde als externes Interface definiert und nicht weiter verwendet – die nächste als internes Interface (LAN) und die letzte als optionales Interface.

Über die Weboberfläche habe ich dann das optionale Interface als LAN2 umbenannt.

LAN hat eine Adresse im Subnetz 192.168.58.0/24 erhalten. LAN2 eine Adresse im Netzwerk 192.168.59.0/24. Die DCs wurden ebenfalls jeweils in unterschiedliche Subnetze gepackt und als Gateway die jeweilige Adresse der Netzwerkkarte von M0n0wall angegeben.

Um die beiden Netzwerkkarten zu verbinden müssen statische Routen in der Firewall hinterlegt werden:

Statische Routen:

Interface Network Gateway Description

LAN2 192.168.58.0/24 192.168.58.15

LAN 192.168.59.0/24 192.168.59.1
Normalerweise gehen Pakete auf diesen internen Routen nicht über die Firewall. Um diese doch zu filtern, ist ein Einstellung zu ändern:

Filtering bridge Enable filtering bridge
This will cause bridged packets to pass through the packet filter in the same way as routed packets do (by default bridged packets are always passed). If you enable this option, you’ll have to add filter rules to selectively permit traffic from bridged interfaces.

Danach gelten auch die Firewallregeln für den Verkehr zwischen LAN und LAN2.

Mit diesem Setup konnte ich dann genau die notwendigen Ports für die Replikation inklusive der festgelegten dynamischen RPC Ports für die AD Replikation und dem FRS ermitteln.


Related posts

Posted in VMWare | Tagged , , , , , | Leave a comment

User und OUs für ADDS Test

Posted on April 15, 2009 by markus

Ein kleines Skript um 2000 User und 20 OUs mit jeweils weiteren 10 OUs anzulegen:

setlocal ENABLEDELAYEDEXPANSION
set basedn=OU=Test-OUs,dc=bktest,dc=intern

dsadd ou %basedn%

for /L %%i in (1,1,20) DO (
dsadd ou “OU=Test%%i,%basedn%”
FOR /L %%a in (1,1,10) do (
dsadd ou “OU=Test%%a,OU=Test%%i,%basedn%”
for /L %%e in (1,1,10) do (
dsadd user “CN=User%%i-%%a-%%e,OU=Test%%a,OU=Test%%i,%basedn%” -samid User%%i-%%a-%%e -fn Test%%a -ln User%%i%%e -pwd T%%i-%%a-%%eest
)
)
)
endlocal

Die Variable BaseDN muss entsprechend des eigenen ADDS Aufbaus angepasst werden.

Related posts

Posted in Uncategorized | Tagged , | Leave a comment

Security: VM kann Code in ESX ausführen

Posted on April 10, 2009 by markus

Ich habe gerade einen interessanten KB Artikel bei VMWare gefunden: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009852

Darin wird ein Update vorgestellt, dass eine Sicherheitslücke schließt, die es ermöglicht aus einer Virtuellen Maschine (VM) Code auf dem Host System (in diesem Fall ESX 3.5) auszuführen. Leider stehen auch im CVE Eintrag keine Details.

Viele Virtualisierungsgegner haben immer genau davor gewarnt. Aber es hieß immer, dass VMWare ESX so sicher ist, dass so was nicht vorkommen kann.  Der Artikel zeigt jetzt etwas anderes. Wie riskant die Lücke ist, kann ich nicht einschätzen. Aber allein die Existenz ist natürlich Wasser auf die Mühlen der Virtualisierungsskeptiker.

Related posts

Posted in VMWare | Tagged , , , , | Leave a comment

Erste Version des SCOM2Nagios Connectors

Posted on April 10, 2009 by markus

Achtung: Neue Version http://www.mbaeker.de/2009/07/scom2nagios-version-1-1/

Does anyone need an english version of the instruction? Then just post a comment.

In Absprache mit meinem früheren Chef habe ich den bereits vor längerer Zeit versprochenen SCOM2Nagios Connector aufgeräumt und in eine releasefähige Version verpackt.

Ich stelle ihn hiermit unter die GPL. Lizenzinformationen sind mit im Zip File enthalten.

Ein Wort der Warnung:  Obwohl diese Version des Programms bei meinem früheren Arbeitgeber bereits im produktiven Umfeld lief, sollte er natürlich vorher ausgiebig in einer Testumgebung ausprobiert werden.

Die aktuell vorliegende Dokumentation ist sehr rudimentär und beschreibt hauptsächlich die (relative komplexe) Installation. Voraussetzung ist ein aktuelles .Net Framework, dass auch für den OpsMgr notwendig ist. Detailiertere Informationen müssen momentan noch aus dem mitgelieferten Quellcode entnommen werden.

Bei Rückfragen stehe ich natürlich über diese Webseite zur Verfügung (ohne Anspruch auf eine schnelle Reaktion).

Die Zip-Datei mit allen Informationen ist unter scc-scom2nagios_v10 zu finden.

Related posts

Posted in Operations Manager, System Center | Tagged , , , , , | 4 Comments