Total loss of ping

Freitag, 3. November 2006, 15:21

Total loss of ping

Ein Kunde hatte sich in den letzten Tagen mehrmals seinen Rootserver von uns rebooten lassen, in verschiedene Kernel, die er selbst installiert hatte.

Wir hatten uns bei seinen mehrmaligen Anfragen wenig Gedanken gemacht, es hieß immer sehr konkret

Bitte in Kernel XYZ booten

oder auch ein

Knöpfchen drücken sollte reichen!

was wir ganz normal durchgeführt haben. Normalerweise ist damit die Sache erledigt.

Nun wünschte der Kunde sich explizit, dass er mit mir sprechen kann. Er hat sich bei mir darüber beklagt, dass man seine Mails nicht aufmerksam lesen würde, schließlich hatte er ja angegeben, dass das Anpingen des Servers nicht funktionieren würde, und wir hätten bemerken müssen, dass das auch nach dem Reboot nicht klappt.

Ich habe ihm gesagt, dass das Anpingen eines Servers für uns nicht zur standardmässigen Erfolgskontrolle eines manuellen Reboots gehört, denn mehr als die Hälfte aller Kunden deaktivieren Pings oder beschränken sie auf gewisse IP-Netze. Wir betrachten dagegen lieber die Boot-Meldungen. Sofern dort nichts Auffälliges steht, gehen wir von einem erfolgreichen Reboot aus und hoffen hier darauf, dass unser Kunde uns im Nicht-Erfolgsfall aktiv informiert.

Nun bat er mich aber, dass ich mir das selbst ansehe, was ich auch getan habe. Und was war? Die Firewall-Regeln waren so hart, dass man damit 100%ige Server-Sicherheit erreicht. Nicht mal Pings von innen nach außen hat er durchgelassen, ganz zu schweigen von DNS-Abfragen etc. Ich habe es ja nicht schon vorhergesagt, oder?

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Andre Heinrichs

Aber so war der Server wenigstens wirklich sicher. Noch sicherer wäre er nur geworden, wenn das LAN-Kabel entfernt worden wäre.

Andre/STB

bestimmt hat er in den iptables das standardverhalten für die Paketprüfungen von Accept auf Reject gestellt - und dann einfach keine ausnahmeregeln wann es doch gehen sollte eingetragen

Marcus

Leider spricht gegen diese Argumentation, dass der Server mit exakt denselben Rules sowohl bereits zuvor gelaufen ist als auch mittlerweile wieder damit läuft. Vielleicht hätte ein genauer Blick darauf gereicht, festzustellen, dass Pings eben doch sowohl empfangen als auch versendet werden können.
Wer sich davon selbst überzeugen will, kann gerne hierauf einen Blick werfen:
http://manitu.magkes.de/

Im Übrigen halte ich ein DROP bzw. REJECT nicht für sinnvoll für ICMP-Pakete, egal welche Dienste ein Server bereitstellt.

Zukünftig werde ich explizit erwähnen, dass zur Prüfung der Erreichbarkeit gepingt werden kann. Vielleicht lassen sich solche Missverständnisse künftig vermeiden.

Per Mail schrieb mir im Übrigen ein Supporter, der Kernel sei das Problem gewesen:
> Ihr Server war mit dem 2.6.17.11-Kernel auch nicht einsetzbar.

Im Blogbeitrag schreiben Sie, es lag an den FW-Rules.

Sehr seltsam ...

Manuel Schmitt (manitu)

Interessant aber, dass ich mit eigenen Augen gesehen habe, dass von der Konsole aus ein

$ ping IRGENDWAS

nicht ging, und erst, nachdem wir die Firewall-Chains allesamt gelöscht und die Policies auf ACCEPT gesetzt hatten

Martin Ringehahn

Wenn man an den Firewallregeln rumfuchst macht man doch eigentlich sowas wie ein `lade neue regeln; sleep 60; lade alte regeln &`, einfach um sicher zu gehen, dass man sich aus seiner Box nicht aussperrt?

Manuel Schmitt (manitu)

Das ist sicher eine gute Idee, ja

Siegfried

Hi,
Irgendjemand hat mal gesagt, der einzig wirklich sichere Computer sei einer, der abgeschaltet und in einem Tresor eingeschweißt ist und sich damit auf dem Grund des Ozeans befindet. Vielleicht sollte ich den Gedanken noch ein wenig fortführen: Der einzig wirklich absolut nachweisbar 100% sichere Computer ist einer, der gar nicht existiert. Vielleicht solltet ihr solche Server anbieten. Das erspart immerhin die Anschaffungskosten

An den Firewallregeln herumzubasteln ist nicht trivial. Ein entsprechender Service Eurerseits, gegen Vergütung, wäre vielleicht ein nützliches Nebeneinkommen. Allerdings, um Sowas wirklich so sicher wie möglich zu machen, muß das Jemand Vollzeit machen. Denn dazu gehört ständiges Mitlesen in den einschlägigen Foren, so daß man schon von heraufziehenden Gefahren weiß, bevor diese einschlagen. Ich habe Sowas mal zwei Jahre lang für eine Firma in Brasilien gemacht und weiß, wovon ich spreche. Der Job ist mit 8 Stunden am Tag noch lange nicht erledigt. Und nur mit ausgefuchsten Methoden und darauf abgestimmten Tools ist es möglich, mit der rasanten Entwicklung auf diesem Gebiet Schritt zu halten.

In den meisten Fällen sollte allerdings stattdessen auch einfach ein regelmäßiges Backup und regelmäßige Kontrolle reichen

Bernd Holzmüller

Ihr schaut meiner Maschine beim booten zu?

nackt fühl

Hey! Das ist peinlich! Lasst das

Manuel Schmitt (manitu)

Das heißt booten. Nicht pentiesdressen.

Kommentar schreiben

Name

Kommentar

Antwort zu

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Hier die Zeichenfolge der Spamschutz-Grafik eintragen:

BBCode-Formatierung erlaubt

Phone*

Welche Farbe hat ein Feuerwehrauto in Deutschland?

Formular-Optionen

Daten merken?