Ricerca in FOLBlog

Ott 272008
 
closeQuesto articolo è stato pubblicato 9 anni 1 mese 18 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

image
Stesso SL e stesse domande idiote. Sto parlando (ovviamente) dell’ufficio di $brancodipaguri, dei quali ho ri-assunto la gestione della rete data l’impossibilità (loro) di trovare qualcuno vagamente competente per gestirla, come già narrato precedentemente.

E così, quando l’altro ieri SL ha chiamato per una serie di problemi con una delle applicazioni in testing, io avevo già capito quale era il problema, avendo penato per svariate ore per spiegare il problema ad SL un sei o sette anni fa. In effetti, fu una spiegazione molto lunga, con disegnini e frecce che occupò la buona parte della prima riunione che feci con SL quando assunsi l’incarico di Sysadmin.

Spiego rapidamente la situazione: $brancodipaguri ha una soluzione classica con un firewall che protegge la LAN ed una DMZ. I server in DMZ hanno il loro IP “reale” come 10.x.y.z, mentre l’IP pubblico viene nattato dal firewall all’occorrenza. In concomitanza con ciò, alcuni PC della LAN sono “esposti” ad internet tramite NAT dal firewall stesso. Non domandatemi il perché, è una storia molto lunga e molto complessa. Io ho cercato molte volte di rettificare la situazione ma per vari motivi (SL per lo più) non mi è mai riuscito. Il risultato è che se si cerca di contattare uno di questi ‘server’ usando il suo indirizzo IP pubblico dalla LAN, la connessione cade nel vuoto perché il firewall non fa’ SNAT per connessioni verso la LAN.

Io cercai più volte di spiegare il problema (la lezione prodotta si intitolava “the big bad internet”) ad SL, ma l’unica cosa che ottenni fu un core-dump del cervello di SL. No, non è stato un bello spettacolo.

Adesso sono di nuovo qui. Il problema stavolta è che qualche pisquanone ha deciso di “provare” una qualche applicazione di CRM installandola sul suo lapdog e qualcuno di $immensasocieta vorrebbe provare tale applicazione dagli uffici principali. UL (no, non lo stesso UL) che mi ha sostituito, ha applicato il NAT, ma si è ritrovato a corto di parole quando tutti gli hanno fatto notare che dalla LAN adesso l’applicazione non funziona più. La mia spiegazione telefonica non è stata sufficiente e la mia soluzione (aggiungere l’IP interno nel DNS interno) non è stata capita. Ragion per cui, mi ritrovo qui. Stesso ufficio, stessa sala riunioni, stesso SL e stesse domande idiote.

SL – Ma se io sono a casa e provo a collegarmi funziona tutto, perché non può funzionare uguale da qui?
IO – Mi pare di averlo già spiegato almeno 3 volte, di cui una per iscritto. E’ il modo come internet funziona. E le soluzioni (due) sono scritte nella stessa mail.
SL – Ma io non voglio mettere il portatile nella DMZ.
IO – E allora si tratta di cambiare il DNS interno.
SL – Hemmm… Non possiamo cambiare il DNS interno.
IO – Oh bella, e perché no?
SL – Perché…. è una roba che dipende da $immensasocieta.
IO – ? E da quando? L’ultima volta che abbiamo discusso di networking (ok che era un sei-sette anni fa) quelli non distinguevano una scheda di rete da un cannolo alla crema.
SL – Si bhe’…
IO – Con chi bisogna parlare ad $immensasocieta per quella roba?
UL – No, lascia perdere… è che… hemmmm…
IO – Hemmm?
UL – Non lo abbiamo più il DNS interno.
IO – ?? Come sarebbe a dire che non lo avete più? Il DNS era parte integrante del DC che il precedente UL spese diversi giorni per installare.
UL – Si bhe hemmm… diciamo che abbiamo avuto una serie di problemi e… insomma non si può fare.

Tiro ad indovinare qui. Qualcuno (un UL a caso) ha perso la password di Administrator, così ha provato ad installare un nuovo DC ed ha fatto un gran casino. Ringraziando Santa Genoveffa, io mi devo gestire solo la parte relativa a Linux, quindi una scrollata di spalle è tutto ciò che mi serve per dimenticarmi del problema.

IO – In tal caso o sposti il server in DMZ o te lo scordi.
SL – Ma senti, questa storia dello swat…
IO – SNAT
SL – …si, quel che è… perché non lo aggiungiamo al firewall?
IO – Già te lo spiegai diverse volte. Tu non vuoi che il firewall faccia SNAT sulle connessioni verso la LAN, perché se lo fai, il server in questione non è più in grado di distinguere da dove arriva la connessione. Tutte sono dal firewall. E dato che sono sicuro che avete una caterva di cagate in giro per la rete che sono mal configurate, avere tali cagate che non sanno più da che parte arrivano le connessioni è sicuramente una bruttissima idea.
SL – Ma…
IO – Per fare dei test su una applicazione che quasi sicuramente non funziona poi, non mi sembra proprio una soluzione, mi sembra un preludio al disastro.
UL – Come fai a dire che non funziona?
IO – L’ha scelta UL2 giusto? Eccotelo dimostrato.
UL – Ma no, in generale funziona… ci sono un paio di problemi però…
IO – (scuotendo la testa) No guarda, le cose sono in digitale, (contando sulle dita) funziona oppure non funziona. Dove “funziona” si definisce come “fa quello che voglio, come lo voglio, quando lo voglio ed ogni volta che lo voglio”, e “non funziona” è tutto il resto. Questo coso fa quello che vuoi, come lo vuoi, quando lo vuoi ed ogni volta che lo vuoi?
UL – Bhe, non proprio però…
IO – E allora è un “non funziona”.

SL ed UL rimuginano per un po’. Tanto lo so già che cosa arriva dopo.

SL – Senti, mettiamo questo Swat o Squat o come diavolo si chiama sul firewall.
IO – Mandami una mail quotandomi la mia, così quando le cose andranno ka-bumm, almeno potrò dirti che ‘te lo avevo detto’.
UL – Quanto ci mettiamo a fare questa cosa?
IO – A fare la modifica sul firewall? Cinque minuti. A ripulire i casini che succederanno dopo? Possiamo anche metterci cinquant’anni.

La modifica sul firewall è fatta alle 13.45, adesso vediamo quanto ci mette qualche cosa a fare ka-bumm… Sigh. La storia si ripete sempre: non mi danno mai retta.

Davide

legenda personaggi

[ratings]

Technorati Tags: Storie dalla Sala Macchine,humor

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: