Příspěvky

1

Sítě / Re:Jak funguje překlad ICMP přes NAT?

« kdy: 13. 12. 2024, 18:08:38 »

Filtrování ICMP u IPv4 je též špatný nápad kvůli hledání síťových problémů a zejména kvůli PMTUD. Také se dost často filtruje UDP traceroute (ano sám mám občas máslo na hlavě).

Zafiltrovat ICMPv6 je stejné, jako zafiltrovat ethertype 0x0806 (ARP) u IPv4. U IPv6 je to ještě pikantnější o ICMP ve ztřetězené hlavičce - což dokáže poměrně pěkně zatopit firewallům. Také se dost často stává, že u ACL se zapomene na local-link IPv6 aresy.

Nicméně to jsme trochu odbočili od původního tématu ... 

2

Sítě / Re:Jak funguje překlad ICMP přes NAT?

« kdy: 13. 12. 2024, 17:01:55 »

Při odmítnutí spojení se zpět posílá ICMP Type-3 (unreachable), jež obsahuje informace o původním paketu v payloadu. Parsováním ICMP odpovědi (zde Type-3 unreachable) - obsahu - zjistí NATující router ke kterému spojení odpověď patří a díky povolenému "RELATED" zprávu správně přepošle. Viz packet capture.

Zdroje ke čtení:
https://networklessons.com/cisco/ccie-routing-switching-written/icmp-internet-control-message-protocol
https://linux.die.net/man/8/iptables

RELATED -- meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

3

Sítě / Re:Získání aktuálního firmware Cisco

« kdy: 20. 08. 2024, 16:20:23 »

Kontaktujte distributora, NXOS vám dodá. Pokud máte validní podporu a nebo subscribční licenci na NXOS, pak si nechte vás kontrakt nahrát do support portálu a NXOS si stahněte.

Mimochodem např. Fortigate od verze 7.4 bez zaplacené podpory již neupgradujete i přesto že FW máte k dispozici.

4

Studium a uplatnění / Re:Požadavky teamleadra na cíle každý rok

« kdy: 14. 02. 2024, 09:52:47 »

Jako každý nástroj se i tento dá využít a zneužít. Velmi dlouho jsem jej v korporátním prostředí považoval na nástroj pomsty HR oddělení. Poté jsem se ale sám ocitl v roli nadřízeného a zjistil jsem, že je to nástroj užitečný. Ovšem musí se správně uchopit.

Ve vašem případě je uchopen špatně na obou koncích. Váš teamleader velmi pravděpodobně celý proces dodržuje pouze proto, aby si mohl odškrtnout splněný úkol, který mu korporát nařizuje. Vy zase lžete o tom, co je pro vás důležité a celá situace vede k tomu, že vy jste frustrovaný a váš teamleader vůbec netuší, že jste jednou nohou na odchodu. Celé to také vypovídá o nevšímavosti a nedostatku empatice vašeho teamledera, který nejspíš ani netuší, že je něco špatně. To povede k trvalému rozkladu vztahů.

Dle mého názoru by se tyto "1:1" setkání měla zakládat na naprosté důvěře a neměla by se brát osobně (ano i ostrá výměna názorů může být prospěšná). Představuji si, že vy sdělíte teamleaderovi, že vaším hlavním cílem je vyvážený poměr "práce/osobní život" (work-life balance) a on vám zkusí (pokud je to v jeho silách) vyjít natolik vstříc, aby jste byl spokojený. V důsledku toho se budete citít v práci lépe, možná více uvelněně a vaše "shrábnout prachy a vypadnout" se změní na "mám čas na děti/rodinu/koníčky a odpočinu si, nevyhořím a jsem rád, že mám práci, kde mě respektují". To povede k lepšímu (netoxickému) pracovnímu prostředí.

V loňském roce jsem "1:1" jednání vynechal a kolegové sami letos přišli s tím, kdy budou. Ano jsme malá firma, ale i tak si všech vážím a naslouchám jim (snažím se).

5

Sítě / Re:CGNAT - počet domácností za jednou IP

« kdy: 03. 08. 2023, 06:49:29 »

V roce 2009, kdy jsem něco podobného měl na starosti, se běžně na 1 IPv4 veřejnou adresu (tenkrát to byl NAT na clusteru linux serverů) překládalo kolem 1 tisíce domácích uživatelů. Hlavním problémem tehdejší doby byl spíš počet paketů za sekundu než počet připojených zákazníků.

Dnes bych čekal, že se usilí bude směřovat do IPv6….