Netwerk tips
Hier staan netwerk tips.- debug smtp
- cisco acl tbv windows domain member in DMZ
- Snelle mailtest
- Lookup outgoing IP adres
- arp-scan (linux) Laag 2 test om te zien of een device reageert op een ip adres
- unix shell op internet
- Grepcidr (linux) grep voor subnetten
- whatmask (linux) Tool om snel subnet/maskers te weten in alle formaten
- SPF Sender Policy Framework Een korte uitleg
debug smtp
Soms lukt het niet om mail te versturen naar een bepaald adres of domein. Het kan dan zin hebben om de mail via losse commando's direct bij de tegenpartij af te leveren om zo misschien te kunnen zien wat er mis gaat.Via het commando "dig mx domain.nl" of "nslookup -type=mx domain.nl" krijgen we de mailserver(2) te zien.
telnet [mailserver.ext] 25 helo sjaak MAIL FROM:[boven]RCPT TO: DATA Subject: testbericht via telnet Dit is een testbericht via telnet om te zien of de mail werkt en zo nee waarom niet. . quit
cisco acl tbv windows domain member in DMZ
Om een windows domain member server in een DMZ te laten praten met zijn domein moet er een reeks poorten opengezet worden naar de servers. In onderstaand voorveeld heeft de DMZ server ip adres 192.168.4.5 en de servers zitten in de reeks 10.10.10.0/24.Hier moet wel eventueel verkeer naar buiten aan toegevoegd worden als dat nodig is.
In dit geval gaat het niet zozeer om de cisco acl als wel om de poorten die open moeten. Vergeet niet te letten op udp of tcp.
access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq nameserver access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq domain access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq domain access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 88 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 88 access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq ntp access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 135 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 135 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 137 access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq netbios-ns access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq netbios-dgm access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq netbios-ssn access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq imap4 access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 389 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq ldap access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq https access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 445 access-list DMZ_access_in permit udp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 445 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 686 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 691 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 993 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 1025 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 1026 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 1027 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 1028 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 3050 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 3268 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 5632 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 8085 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 8192 access-list DMZ_access_in permit tcp host 192.168.4.5 10.10.10.0 255.255.255.0 eq 8194[boven]
Snelle mailtest
Om, bijvoorbeeld na wat akties of een storing, snel de mailfunctionaliteit te testen kun je natuurlijk een email sturen naar een los mailaccount en dat via de webmail checken en weer terugsturen maar er is een handig en zeer snel alernatief.Stuur een email naar echo@tu-berlin.de en je krijgt een antwoord terug. Zet wel de prioriteit hoog dan heb je binnen een minuut het antwoord terug.
Update: Deze server is niet meer actief. Gebruik het volgende adres: echo@univie.ac.at
[boven]
Lookup outgoing IP adres
Hieronder enkele voorbeelden van websites waar je snel even je uitgaande ip adres kunt opzoeken. Dit geldt dan alleen voor poort 80; het kan zijn als policy based routing is toegepast dat andere protocollen op een ander uitgaand ip adres of zelfs reeks naar buiten gaan.www.myipaddress.com werkt ook goed met elinks textbrowser. myip.dnsomatic.com geeft alleen ip adres als uitvoer www.watismijnip.nl nederlandse site met tevens overzicht van browser en plugins
Met name de middelste is handig als je je outside ip adres wilt gebruiken in shell scripts. Deze heeft namelijk al als enige uitvoer het ip adres zodat je dat niet zelf hoeft te filteren.
wget myip.dnsomatic.com -q -O -[boven]
arp-scan
Onder linux is er het programma arp-scan, te vinden in de meeste repositories. Het scant een subnet door arp requests te sturen en te zien wat er terug komt. Het voordeel hiervan is dat er geen poorten hoeven open te staan en de host niet hoeft te reageren op ping. Het nadeel is dat het alleen op aangesloten subnetten werkt en niet over een router omdat arp alleen voor de lokale link is.Installeren gebeurt, afhankelijk van de distributie, bijvoorbeeld met: "sudo apt-get install arp-scan".
Het programma moet gedraaid worden als root (sudo).
$ sudo arp-scan 192.168.2.0/24 Interface: eth0, datalink type: EN10MB (Ethernet) Starting arp-scan 1.8.1 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/) 192.168.2.105 00:24:81:f6:b4:da Hewlett Packard 192.168.2.151 00:c0:3d:02:2f:db WIESEMANN & THEIS GMBH 192.168.2.200 00:80:f0:8b:53:ff Panasonic Communications Co., Ltd. 192.168.2.251 c0:c1:c0:2b:56:6c Cisco-Linksys, LLC 192.168.2.254 00:13:c4:16:9e:27 Cisco Systems[boven]
unix shell op internet
Vaak is het handig om een nieuwe nat translatie van buitenaf te kunnen testen of de werking van binnenkomende mail om maar wat te noemen.Dds is een van de weinige providers die een shell account leveren bij een basis account (30 euro per jaar) en geen poorten blokkeren vanaf hier, zelfs poort 25 niet.
Verder is gebruik te maken van o.a. ping, traceroute en nmap.
Uiteraard is een VPS ook heel handig hierbij maar dat is alweer een stuk duurder.
[boven]
Grepcidr
Je kent het wel, je zoekt door firewall logs naar een bepaald subnet en met wat eenvoudige regexen probeer je dat subnet te greppen. Er is echter ook grepcidr, aanwezig in de meeste standaard repositories.Hiermee kun je zeer eenvoudig op een subnet greppen
cat firewall.log | grepcidr 12.34.56.0/23[boven]
Whatmask
Een onmisbare tool voor de netwerkbeheerder is whatmask van Joe Laffey, te vinden op http://www.laffeycomputer.com/whatmask.html. Je weet een IP adres en een masker maar wat valt er dan precies in dat subnetje, geef in "whatmask 64.23.12.14/27" en je hebt het antwoord. Of roep alleen een masker om te zien hoeveel hosts er ook alweer in zitten.Een ander voorbeeld is om "whatmask /28" te roepen en dan het 255 subnet mask te zien incl inverted subnetmask tbv cisco acl's. Dat zeg ik, onmisbaar.
[boven]
SPF Sender Policy Framework
SPF, Sender Policy Framework is een mechanisme om spam tegen te gaan doordat anderen niet meer namens jouw domein kunnen mailen dat wil zeggen mits zowel de ontvanger als de verzender SPF ondersteunen.Het is wel een systeem dat tot zeer veel problemen leidt. Enerzijds omdat mensen hun mail verkeerd configureren en bij grotere bedrijven omdat iedereen maar maildiensten gebruikt zonder van SPF te weten en de IT afdeling ook niet informeert.
Daar komt nog bij dat een spf record maximaal tien dns lookups mag bevatten en daarboven ongeldig wordt dus je kunt niet maar straffeloos includes toevoegen.
Daarna zul je met subdomeinen moeten werken of de echte afzender als afzender plaatsen en de naam en het reply-to adres wel van je eigen domein gebruiken.
Voor wie er niet bekend mee is een korte uitleg.
In de dns van je domein zet je een text record met daar in alle mailservers die mail mogen versturen, dat kan als ip adres maar ook via een include naar een maildienst. Die include wijst naar een FQDN die in hun beheer is dus als ze een mailserver wijzigen dan passen ze dat aan in de include. Aan het einde staat wat de ontvanger met de mail moet doen als deze vanaf een andere server komt.
"v=spf1 ip4:66.187.208.0/20 ip4:173.37.86.0/24 include:spf.protection.outlook.com -all" ip6:2abb:bac2:2334::1 -all hardfail, Drop mail van andere servers ~all neutral of softfail, de mail wordt meestal gewoon doorgelaten dus dit is voor de wassenneustrofeeHet gevaar is ook dat als een derde partij meer lookups in hun include zet jouw record ongeldig kan worden dus het is ook nog eens belangrijk om regelmatig te testen of je record nog geldig is.
In de begin periode van SPF had microsoft voor exchange online al zeven lookups dus dan was je gauw klaar, inmiddels hebben ze dat helemaal plat geslagen.
Er zijn ook diensten als autospf die de records voor je genereren op hun servers en alle lookups omzetten naar ip adressen. Met deze dienst heb ik gemerkt dat die op enkele momenten adressen mist waardoor mail gedropt wordt. Hopelijk werken ze daar nog aan en zorgen dat er tijdens aanpassingen of geen record is of een compleet record maar niet een half record.
[boven]
Website door Wouter Barendsen, 2005-2024