Monday, March 29, 2010

Juniper J-series routers in packed-based mode

Star from JUNOS 9.4, the packet-mode (traditional) JUNOS for J-series is no longer exist; the only version is flow-mode J-series JUNOS (the ES version.) However, packet-based mode is quite handy if people simple need a small router without worry about those session-table, symmetric routing, and etc.

In JUNOS 9.6, a statement under [security] section could bring the J-series box back to pure packet-based mode. Actually that is a side effect of another statement, but it is a good side effect, from this point of view. Which is a statement that make MPLS family to be run under packet-mode, and the side effect is to bring inet family also into packet-mode.

Under this mode, all other security policy (under [security] section) is no longer available, but stateless firewall filter works well (under [firewall] section.)

The configuration is,
[edit]
delete security
set security forwarding-options family mpls mode packet-based
There do have other side effects that IPsec VPN is no longer avalible, because IPsec VPN in 9.6 is flow-based.

Saturday, March 27, 2010

俗語說的好『xx改不了吃xx』

 大約 3/24 左右開始, facebook, youtube, 跟 twitter 就發現間歇性的被導到中國去. 從觀察看起來類似 DNS poison 的現象. 整件事情的源頭不意外是從中國來的. 下面的討論串有比較詳細的技術資料

  https://lists.dns-oarc.net/pipermail/dns-operations/2010-March/005260.html

然後今天有人拿出 GFW 的東西出來佐證. https://lists.dns-oarc.net/pipermail/dns-operations/2010-March/005323.html

這事情只能說『xx改不了吃xx』... 對中國任何事情都要小心防備.

1. BGP peer 要 filter 掉不該有的東西
2. 最好不要用任何中國的企業提供的服務

不要以為從中國 VPN 出來就很安全, 因為

1. 在當地只能用當地業者提供的線路跟服務
2. man in the middle 只要有心, 技術上都做的到


就算拉專線也不見得 100% 安全. 說到底, 能夠不要跟中國有往來是最好的... 當然這可能辦不到...

Wednesday, March 24, 2010

FreeBSD 7.3-RELEASE

FreeBSD 7.3-RELEASE 發行了.

使用 7.2 的機器都建議升級到 7.3 或是 8.0 (下面是從 announcement email 裡面剪貼出來的內容)
The FreeBSD Security Team currently plans to support FreeBSD 7.3 until March 31st 2012. Users of FreeBSD 7.2 are strongly encouraged to upgrade to either FreeBSD 7.3 or FreeBSD 8.0 before the FreeBSD 7.2 End of Life on June 30th 2010. For more information on the Security Team and their support of the various FreeBSD branches see:
http://www.freebsd.org/security/

升級的方法很簡單, 使用 freebsd-upgrade 這個工具就可以, 基本上就是下面幾個步驟,
# freebsd-update upgrade -r 7.3-RELEASE
# freebsd-update install (這步驟會把 kernel 裝進去)
# shutdown -r now  (重新開機, 變成新的 kernel)
# freebsd-update install  (把其他的元件裝進去)
# shutdown -r now  (再重新開機一次, 大功告成)
如果是 6.x 也可以這樣幹, 不過最後要重新把 ports 裝的軟體重新編譯一次. 詳細的東西就看 release notes 囉 ~~

文湖線又當! 老伯飆「假牙掉出來」

不得不承認這個標題下的實在太好笑了! TVBS 的編輯大人真有創意.

  文湖線又當! 老伯飆「假牙掉出來」

避免新聞過其被拿掉, 這邊來一張真相圖 ^_^

Sunday, March 14, 2010

π (pi) day

π (pi) day 又到了~ 3.1415926535… 附上 Google 的圖



π-day organization: http://www.piday.org/

Thursday, March 11, 2010

把 ScreenOS 的 route preference 改成跟 JUNOS 一樣

以下的指令可以把 ScreenOS 的 rote preference 改成跟 JUNOS 一樣

set vr trust
 set preference static 5
 set preference ospf 10
 set preference ospf-e2 150
 set preference ebgp 170
 set preference ibgp 170
 set preference rip 100
exit

Wednesday, March 10, 2010

失望的愛爾蘭小酒館

跟幾個剛認識的路人和一個公司同事去愛爾蘭小酒館喝酒, 有法國人, 義大利人, 西班牙人, 德國人(她自己不斷強調是東德), 德國人 (西德), 俄羅斯人, 台灣人 (我)... 糟糕的是地主愛爾蘭人沒出現, 打電話去說是睡死了, 爬不起來... 切~

這酒館客層年齡好像比較大一點, 放眼望去大概都三十歲以上, 沒看到年輕小夥子. 根據賴在床上的愛睡人的說法, 年輕小夥子喜歡去『音樂很低俗』的電音 Pub... :p :p

愛爾蘭人喝酒好像不太講究, 會醉就可以的樣子. 號稱很受歡迎的酒館裡面, 只有一些普通的啤酒, 紅白酒, 四五種威士忌 (包含本地產的怪味威士忌, 聞一下就不想喝), 伏特加竟然只有兩種, 其中一種還是酒精味超刺鼻 ABS 牌. 實在太失望了. 一整個不及格!

不過炸魚還滿好吃的, 皮脆肉鮮沒腥味, 補了一點分數回來.

ps: 炸魚掛在地主帳上, 酒錢自己出.

Monday, March 8, 2010

用 snmp 看 NetScreen ScreenOS 的 VPN tunnel 的流量

用 SNMP 看 NetScreen / SSG 的 ScreenOS 的 VPN 介面流量的時候, 沒辦法直接用 ifmib 看, 要用下面的 mib,

1.3.6.1.4.1.3224.4.1.1.1.4 --> 看有哪些 vpn tunnel
1.3.6.1.4.1.3224.4.1.1.1.35 --> 對應的 vpn 的 Byte-In
1.3.6.1.4.1.3224.4.1.1.1.36 --> 對應的 vpn 的 Byte-Out
1.3.6.1.4.1.3224.4.1.1.1.37 --> 對應的 vpn 的 Packet-In
1.3.6.1.4.1.3224.4.1.1.1.38 --> 對應的 vpn 的 Packet-Out

In = remote to local
Out = local to remote

以上~筆記一下以免忘記.