May 02 2021

Cómo Prohibir / Forzar una Dirección Mac en un VLAN en Cisco

Published by under Cisco

Hay varias formas de filtrar direcciones mac en un conmutador, entre las que podemos mencionar
– el port security,
– las access lists mac o tambien
– la autenticación 802.1x con un servidor Radius.

Las ACL de Mac requieren switches de alto nivel, mientras que la autenticación 802.1x requiere una instalación bastante pesada y requiere administrar una base de datos de direcciones mac en un servidor Radius.
Port security autoriza la apertura de puertos a direcciones mac pero esto implica tener una lista exhaustiva y aplicar una gestión drástica. ¿Y cómo prohibir el acceso de un mac a un vlan específico?

Todos los switches Cisco tienen una funcionalidad básica que le permite configurar direcciones mac estáticas. Aquí hay 2 comandos simples que lo ayudarán en diferentes escenarios.

Prohibir una Dirección Mac en un VLAN

Desea prohibir que una máquina pertenezca a un vlan específico porque este vlan tiene derechos específicos, como el acceso a Internet, por ejemplo, mientras que este no es el caso para los demás.
Puede prohibir una dirección MAC de estar en un VLAN con la opción de «drop»:

Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 49 drop
Cisco(config)# do show mac address
  49    0025.64a4.0e8c    STATIC      Drop


Forzar una Dirección Mac en un VLAN

También puedes hacer lo contrario. Forzar una dirección mac en un vlan y un puerto únicos, para asegurarse de que esté bien aislado del resto de la red (si el vlan está configurado de esta manera). ¡Piense en ese viejo Windows XP que todavía tiene un software en ejecución del que no puede deshacerse!

Cisco(config)# mac address-table static 0023.64a4.0e8c vlan 48 int fa0/35
Cisco(config)# do show mac address
  48    0025.64a4.0e8c    STATIC      Fa0/35


Esto evita que alguien obtenga acceso al vlan incorrecto simplemente conectando su cable a otro puerto – intencionalmente o accidentalmente – en caso de que obtenga acceso al gabinete de conexión de red.

 

No responses yet

Abr 22 2021

Exportar Recursos Compartidos NFS en AIX

Published by under AIX

Aquí están algunos pasos para exportar fácilmente recursos compartidos NFS en un servidor AIX.

Exportar recursos compartidos al servidor

Edite /etc/export (o créelo si no existe) y agregue los directorios para exportarlos:

directorio/para/compartir -access=cliente1,root=cliente1

La opción «acceso» restringe la lista de clientes, root permite que el usuario root monte el recurso compartido en el sistema remoto.

Inicie los servicios nfsd y mountd asociados:

startsrc -s nfsd
startsrc -s mountd


Ahora que los servicios se han iniciado, compruebe que los demonios se estén ejecutando:

Servidor_NFS_AIX $ lssrc -s nfsd
Subsistema        Grupo            PID     Estado
 nfsd             nfs              36540   activo

Servidor_NFS_AIX $ lssrc -s portmap
Subsistema        Grupo            PID     Estado
 portmap          portmap          3890    activo

Servidor_NFS_AIX $ lssrc -s biod
Subsistema        Grupo            PID     Estado
 biod             nfs              6454    activo


Luego puede exportar todos los directorios presentes en /etc/export a la vez.

exportfs -a

Deben ser visibles ejecutando «exportfs» en la línea de comando sin opciones.

Montar recursos compartidos NFS en el cliente

Verifique desde el cliente que los servicios RPC son accesibles:

Cliente_NFS_Linux $ rpcinfo -p $IP_Servidor | egrep "(mountd|nfs)"
    150001    1   udp  32773  pcnfsd
    150001    2   udp  32773  pcnfsd
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100005    1   udp  41863  mountd
    100005    2   udp  41863  mountd
    100005    3   udp  41863  mountd
    100005    1   tcp  41489  mountd
    100005    2   tcp  41489  mountd
    100005    3   tcp  41489  mountd


Si obtuvo resultados del comando anterior, los recursos compartidos NFS deberían estar visibles con showmount en un cliente Linux, por ejemplo:

Cliente_NFS_Linux $ showmount -e $IP_Servidor
Export list for $IP_SERVIDOR:
directorio/para/compartir (todos)


Ahora puede montar los recursos compartidos de NFS:

Cliente_NFS_Linux $ mount -t nfs $IP_Servidor:directorio/para/compartir /mnt
 

No responses yet

Abr 21 2021

Agregar una Ruta Estática Permanente en AIX 4.3

Published by under AIX

Para agregar una ruta permanente estática en AIX, agregue el comando route en el archivo de inicio /etc/rc.net:

Servidor AIX.root / $ route add -net 192.168.2.0 -netmask 255.255.255.0 192.168.0.1



o utilice Smitty, la interfaz de texto de gestión del sistema AIX (mejor):
 
Servidor AIX.root / # smitty
-> Aplicaciones de comunicación y servicios
-> TCP/IP
-> Configuración adicional
-> Rutas estáticas
-> Agregar una ruta estática
e ingrese los parámetros de la nueva ruta estática.

 

No responses yet

Abr 20 2021

Iniciar una Sesión AS400 Cuando se Inicia Windows

Published by under AS400,Sin categoría

Puede que sea necesario iniciar sesiones AS400 en el arrancar Windows por varias razones, como ejecutar scripts o incluso sesiones de impresora. Aquí hay algunos peligros que puedo haber encontrado.

TPrimero, las sesiones no comenzarían sin los parámetros adicionales de pcsws.exe /H – para Hidden – y posiblemente /Q – para ocultar la ventana del logotipo de IBM. Las opciones de pcsws.exe están disponibles en IBM como referencia.

Este método funciona para una sola sesión. Para iniciar varios, debe iniciarlos con el comando «start». Agregue el parámetro /B para ocultar la ventana de DOS seguido de «», de lo contrario se ignorarán los parámetros del comando principal.

Por lo tanto, este sencillo script funcionará:

@echo off

Set ScriptPath=C:\Scripts
Set client_Access_Home=C:\Program Files (x86)\IBM\Client Access
Set AS400=My_iSeries_Host
Set iSeries_User=myUser
Set password=myPassword

"%client_Access_Home%\cwblogon.exe" %AS400% /u %iSeries_User% /p "%password%"

start /B "" "%client_Access_Home%\Emulator\pcsws.exe" %ScriptPath%\session.ws /Q /H
start /B "" "%client_Access_Home%\Emulator\pcsws.exe" %ScriptPath%\other_session.ws /Q /H

pause


Cree una nueva entrada en el programador de tareas para que se ejecute al iniciar del servidor.
Seleccione el usuario bajo el cual se debe iniciar la tarea y marque «Ejecutar incluso si ningún usuario ha iniciado sesión» y agregue el archivo por lotes anterior en Acciones.

El comando «pause» debe permanecer. Sin, la tarea finalizará, así como el proceso cmd dejando los procesos pcsws.exe activos pero huérfanos. La impresora permanecerá en estado Detenido en IBM i !
Si alguien tiene una explicación, no dude en dejar un comentario.
cwblogon.exe está lejos de ser ideal desde el punto de vista de la seguridad. ¡Establezca un perfil restringido! Especifique el mismo usuario en iSeries Navigator o en la configuración de la sesión.

Probé esto en Windows 2012 Server. Para ver si funciona en otro sistema operativo, pero no hay ninguna razón por la que no funcione.
Ahora puede programar reinicios cuando lo desee sin tener que lidiar con la administración manual de inicios de sesión.

Para las sesiones de impresora, es mejor imprimir en una impresora compartida de Windows. Este método es mucho más eficiente.
Si desea ejecutar comandos CL, existen soluciones como:
SSH con clave privada y el comando system.
– IBM ahora admite Ansible, que puede ejecutar comandos CL si está familiarizado con Ansible.

 

No responses yet

Abr 19 2021

SSH, Shell Predeterminado e Historial de Commandos en AS400

Published by under Sin categoría

QSHELL y PASE en IBM i son herramientas interesantes, pero siguen estando limitadas por la ventana 5250 de tamaño fijo sin elevación. Veamos cómo hacerlos más agradables con una conexión SSH segura y algunos consejos.

Inicie el demonio SSH

Tenga en cuenta que SSH ya está instalado en su AS400, es decir, tiene 5733SC1 (OpenSSH, OpenSSL, zlib) dans LICPGM, puede iniciar el demonio SSH:

STRTCPSVR SERVER(*SSHD)


No parece haber una opción de inicio automático para este servidor TCP.
Terminé agregando el comando al programa de inicio QSTRUP para que el servidor SSH se inicie automáticamente al IPL. Puede conectarse a su AS400 con Putty ahora.

Shell Predeterminado

El shell predeterminado es bsh, que es bastante limitado. Se puede cambiar en el archivo sshd_config agregándo

#ibm pase for IBM i shell
ibmpaseforishell /QOpenSys/usr/bin/ksh

como se menciona en el sitio web IBM.

También se requiere ksh para que tenga el historial de comandos en la terminal.

Historial de Commandos

Una vez que ksh es el shell predeterminado, puede configurar las teclas de flecha para navegar por el historial de comandos.

En el directorio de inicio, cree un archivo .profile que contenga este:

if [[ $SHELL = "/QOpenSys/usr/bin/ksh" ]]; then
  set -o emacs
  alias __A=`echo "\020"`     # up arrow = ^p = back a command
  alias __B=`echo "\016"`     # down arrow = ^n = down a command
  alias __C=`echo "\006"`     # right arrow = ^f = forward a character
  alias __D=`echo "\002"`     # left arrow = ^b = back a character
  alias __H=`echo "\001"`     # home = ^a = start of line
  alias __Y=`echo "\005"`     # end = ^e = end of line
fi


Reinicie el demonio SSH y vuelva a conectarse.
En la 1ª línea, comprobamos que el shell es realmente ksh ya que los cambios realizados solo se aplican a las conexiones SSH pero no a QSH o PASE (QP2TERM).

¡Es mucho más conveniente así que llamar a QP2TERM en una ventana 5250 de tamaño fijo!
Puede hacer lo mismo con bash si se ha instalado en su sistema. Indicación: Instale 5733OPS Opción 3, gcc viene con bash, perl o rpm después de la instalación.

 

No responses yet

Next »