The mobile working set

O'boy.

Jag tror inte jag hittills listat applikationer jag använder på smart phones.
Men man måste ju börja någonstans. Jag använder främst Apples mobila enheter så det är naturligt att börja där.

Utan någon inbördes ordning är de jag har på min iPhone:

VNC Viewer
RealVNCs klientprogramvara för mobilen. Inte förstaval när man ska fjärrstyra något från telefonen eftersom man har så liten skärm, men det fungerar.

Prompt 2
Panics SSH-klient är mitt förstaval. Funktionell och snygg.

Pushover
Om man inte har råd att hålla sig med en SMS-tjänst kan man använda Pushover. Jag får Nagios-larm via den och det har alltid funkat utmärkt.

Google Authenticator
Naturligtvis använder man två-faktorsautentisering där man kan, eller hur? Googles lösning är gratis och förutom en uppdatering som gick snett (alla inloggningar raderades) har den fungerat smärtfritt.

Palo Alto Networks Applipedia
Supernischad. Har du inte en brandvägg från Palo Alto Networks kommer du inte behöva den här applikationen som lustar nyheter från företaget och en databas över vilken trafik brandväggen identifierar komplett med beskrivningar. Finns även som helt vanlig webbsajt.


Telia Centrex
Jobbrelaterat till max. Används för att temporärt stänga av inkommande samtal vid möten och dylikt.

Plex
Jag tror på Plex. Jag betalade tidigt för tjänsten (man behöver inte det, deras gratistjänst duger gott och väl) eftersom jag tycker den är så genialisk. Att man får tidigare tillgång till nya features (som man egentligen inte behöver) är bara en bonus.

Spotify
Vid det här laget behöver de väl ingen introduktion?

Pocketpedia
En kompanjonsapplikation till DVDpedia på Mac:en. Jag har min dvd/bd-samling i den.

Official F1
FIAs officiella F1-app har lycckats hålla sig kvar i luren sedan mitt intresse för sporten vaknat till liv igen. Med Comhems nya TiVo hakade jag på Viasats sportpaket för att se loppen i år och det har varit riktigt kul.

IMDb
Officiell app från internets mesta filmdatabas. Minns någon nu levande människa att IMDb var en applikation och databas man tankade ner och körde lokalt en gång i tiden?

AV Controller
En officiell app från Yamaha för att styra min nya stereo. Används i ärlighetens namn inte speciellt mycket eftersom det finns en feeeeet fjärrkontroll com är omöjlig att förlägga - så stor är den.

Youtube
Sedan Google tog över Youtube-upplevelsen på iPhone (från början var det Apple som skrev Youtube-klienten) har vi fått reklam, något vi slapp när Apple höll i tyglarna. Det är väl en av många orsaker till att Apple undviker samarbete med Google nuförtiden. Är hur som helst en kapabel app, reklamen till trots.

Untappd
Förutom min passion för datorer har jag vadat ner mig rejält i ölträsket. Untappd håller reda på allt jag dricker i öl-väg och är kanske en ursäkt för att slippa ta itu med att jag dricker för mycket? Rekommenderas om du behöver en ursäkt till.

Instagram
Jag höll mig undan länge men nu tar jag glatt bilder och plågar mina följare med.

Facebook + Messenger
Nej, jag vet inte heller varför Facebook bröt ut Messenger. Alla mina vänner verkar finnas på Facebook så jag tågar i lämmeltåget jag med.

Twitter
Etter en period på App.Net, ett lite intimare ställe, är jag tillbaka på Twitter. Inte jätteaktiv men jag läser ganska mycket.

Ashes
En klient till RSS-insamlaren Fever. Använder den i ärlighetens namn inte mycket eftersom jag alltid har en flik med Fever uppe i min webbläsare var jag än befinner mig.

Lync2013
Som namnet skvallrar om är det här en nyhet. Nyligen bryggade man jobbets Lync (eller Skype for business som den ska heta i framtiden) till internet så nu kan man bli störd där när och var som helst. Dålig idé, jag vet.

Res i STHLM
Inte en officiell app från SL och inte uppdaterad på jag vet inte hur länge men den hänger envist kvar på hemskärmen. Kanske finns det en bättre app för resor med SL än den här?

Trax
Jag var med och kickstartade Trax men har egentligen aldrig blivit nöjd med den. Positioneringen funkar inget vidare och appen är ett virrvarr av dåliga designidéer. Synd, för den kunde blivit stor.

Handelsbanken
Självförklarande. Har tagit stora kliv under 2014 så framtiden ser ljus ut, nya funktioner tillkommer hela tiden vad det verkar.

Amazon
Den officiella appen för Amazon har hittat till min hemskärm under året. Jag har handlat en hel del från Amazon US, UK och DE under året eftersom det kommit ut en hel hög med underbara blu-ray-releaser.

Högdalen
Bor man med postnummer Bandhagen är Högdalens köpcentrum det närmaste med ett Systembolag. Då har man appen.

Swish
Jag hakade på Swish under året av samma anledning som jag är på Facebook. Alla har det. Och ja, det ligger en del i att det är väldigt, väldigt smidigt.

Spel
De enda två spelen på min telefon är Wordfeud och Ruzzle. När det gäller spel är och förblir jag en Nintendo-man. Nintendo gör de bästa spelen och de finns inte på iOS.

Nintendo - därför.

Viber
En kollega påpekade att jag hade ett konto på Viber, något jag själv glömt. Så jag laddade ner appen så sent som igår. Vi får se om den lyckas hålla sig kvar på hemskärmen. Varken Whatsapp eller Skype lyckades med det men vem vet? Vi får se i slutet av 2015.

Sök & Hitta
Systembolagets officiella app är precis så spartansk som man tror. Används mest för att lokalisera närmsta Systembolag men man kan för all del söka efter olika sorters sprit i den.

Skatteverket
Ni vet, för att deklarera.

BankID
BankID-appen är fortfarande krånglig att få igång men värd besväret eftersom man kan logga på myndigheter och signera betalningar.

Withings
Jag har skaffat mig en intelligent våg i ett försök att gå ner i vikt (7 kilo hittills) och appen är lite redundant efter att Apples hälsoapp dykt upp men Apple har inte vunnit salget ännu. Withings håller sig kvar på hemskärmen.

Buycott
Scanna EAN-koden på en produkt och se om den tillverkas av ett företag som du bojkottar. Inte den mest välanvända appen jag har men bara det faktum att jag har den säger säkert en del om mig.

Cubian

För enkortsdatorn Cubieboard har problemet länge varit att det varit ganska krångligt att komma igång. Inga självklara operativsystemavbilder har funnits och de som funnits har varit behäftade med mer eller mindre stora problem.

Men, så, dök den första riktigt bra distributionen upp: Cubian.

Jag körde in den på min CubieTruck (CubieBoard 3) och förutom att jag blev tvungen att köra kommandot "apt-key adv --recv-keys --keyserver keyserver.ubuntu.com" för att få igång apt-get var det inga problem. Som ni säkert redan förstår är den Debian-baserad och ganska lik Raspbian.

Rekommenderas. Jag kör den utan desktop eftersom jag tänkte köra in Sickbeard på den.

The working set

Då och då brukar jag lista vilka applikationer jag använder och illustrerar med en skärmbild. Det brukar vara kul att återvända till några år senare.

På Mac OS X använder jag i dag:
Google Chrome som webbläsare. Jag brukar bestämma mig vid installation av datorn vilken jag använder och det kan växla mellan Safari och Chrome. På min nuvarande Mac är det Chrome som gäller.

vi som text-editor. Jag köpte licens för Sublime Text men istället för att lägga ner seriös tid och lära mig den fortsätter jag återvända till vi. Sublime Text finns på Windows, Linux och Mac OS X och licensen man köper täcker alla plattformar.



Evernote hänger med. Klienten dippade när den blev "uppgraderad" för några år sen men de senaste versionerna har blivit mycket bättre, inklusive snabbare synkning. Här sparar jag allt jag tycker är värt att spara, de tidningar jag prenumererar på och får i digitalt format hamnar här, inscannade kvitton, tweets jag vill spara för att läsa senare, digitala kvitton licenser... Ja, det mesta jag vill spara helt enkelt.

DragThing. Apples docka i all ära men DragThing har fler val och möjligheter. Bland de första programmen jag installerar på en ny Mac.

Terminal. Ett tag installerade jag alltid iTerm2 på mina Macar men jag tycker den inbyggda terminalen duger bra som den är ida.

Förhandsvisning. Macens inbyggda klient för att läsa PDF:er och titta på bilder räcker långt för mig.

iPhoto. Jag har alla mina bilder i Macens inbyggda fotoapplikation iPhoto, de synkas automagiskt till och från iPhones och iPads. Ibland fungerar synkningen till och med till Windows-maskiner!

Microsoft Remote Desktop. Microsofts officiella RDP-klient har tagit rejäla kliv och är nu i paritet med sin Windows-dito. En snabb, bekväm klient som bara fungerar.

RealVNC. På Mac-servrar kör jag RealVNC. Det har samma fördelar som Microsoft Remote Desktop och licensen är inte speciellt dyr. Men köp licens, annars krypteras bara själva inloggningen och det är inte idealiskt. Det var inte så längesen man köpte sin RealVNC-licens per plattform men det har man gått ifrån nu. Skaffar man en Enterprise-licens kan du använde den på valfri plattform.

DVDpedia använder jag för att katalogisera min dvd- och blu-ray-filmer. Jag hade i ärlighetens namn gärna bytt ut den men eftersom samlingen finns i den och man är för lat för att börja om så...

Spotify. Jag slängde ut Spotify för ett tag sedan men har återvänt.

XQuartz. Det händer ganska ofta att man behöver X11. Apples officiella X11-server kastades ut från OS X för några versioner sedan och sattaes upp externt under namnet XQuartz. Det är samma kod och den underhålls av Apple men det är självklart en nisch-produkt om man inte är systemadministratör.



Arq. Mina backupbehov täcks idag av Arq, den lägger datat hos Amazon i Glaciertjänsten. Det kostar mig i runda sängar 12 dollar om året. Jag tar bara backup på foto idag. Jag synkar iofs mycket data till Evernote, men det är ingen backup. Det tjatas om backup och det ÄR viktigt. Extremt viktigt. Är det en sak du ska ta tag i är det det här.

Microsoft Office. Det här är ju inte något man väljer. Eftersom alla kör Office måste man ha det. Jag skriver sällan något i Officesviten men alla dokument man tar emot är i något av formaten.

Bartender. Ni vet alla ikoner man samlar på sig uppe i menyn i högra hörnet? Bartender samlar ihop dem du inte vill se hela tiden och håller dem ändå bara en mustryckning bort.



VMware Fusion. Utan en rejäl virtualiseringsmotor är det de facto svårt att klara sig idag. Några verktyg finns bara på OS X men en hel del andra finns bara på Linux, eller Windows. Med Fusion Version 7 Pro kan man numera också koppla upp sig mot vSphere, det är inte i närheten av funktionaliteten i Windows-klienten eller den nya web/flash-klienten men man får förmoda att det jobbas på det.

Ny förstärkare

När det kommer till förstärkare är jag en Yamaha-man.

Jag har (fortfarande) en gammal RX-V450, en 6.1-förstärkare, som jag haft i säkert 10 år och den har bara funkat, jag skulle egentligen inte behöva byta ut den om det bara gällt ljud, jag har verkligen inget behov av fler än 6.1 högtalare hemma (jag har i själva verket bara 5 högtalare och ingen sub).

Men så hade jag den otäcka ekvationen 3/5 - 3 HDMI-anslutningar på TV:n mot 5 HDMI-enheter som behöver anslutas. Istället för att "bara" köpa en HDMI-switch fick jag för mig att jag skulle kombinera det med förstärkarinköp eftersom de nya förstärkarna klarar flera ljudformat och har stöd för t.ex. Spotify inbyggt. Att slippa ha en låda till i vardagsrummet var också en del av beslutet.

Men det var alltså främst för att få ett sätt att ha alla HDMI-enheter inkopplade och kunna byta mellan dem smidigt istället för att stå vid TV:n och dra in och ut enheter, inte smidigt, som jag kollade på en uppgradering.

Jag hittade ett fyndexemplar av en Yamaha Aventage RX-A2030 som är en betydligt större och tyngre pjäs än den jag hade. Förutom att den är ett 9.2-system, något jag förmodligen aldrig kommer utnyttja, har den hela 8 HDMI-ingångar och 2 HDMI-utgångar.

Efter att ha kopplat in min bluray-spelare, TiVo (jag ÄLSKAR TiVo!), Roku, Mac mini och Wii U har jag fortfarande alltså 3 ingångar kvar. Funktionaliteten (framförallt växlingen mellan HDMI-källorna) är precis så bra som jag förväntade mig och ville ha. Den låter lika bra som min gamla förstärkare (jag är ingen audiofil på något sätt).

Jag märkte samtidigt att man numera har nätverksuttag på förstärkare och att jag kunde uppdatera den via nätet. Sagt och gjort. När jag spelar upp något i Spotify på hemnätverket får jag nu ett val, automagiskt, att spela upp det på min förstärkare och då lägger den upp en (för all del) inte speciellt vacker bild på TV:n och man får ut Spotify genom den. Jag är imponerad.

Här är en reklamfilm om den:


Jag har inga som helst problem att rekommendera den.
Den är väldigt kompetent, har fler features än vad jag orkar lista (och utnyttja) och är precis en så bra HDMI-växlare som jag trodde.

Om stora telefoner

Frugan valde som jag trodde att skaffa en iPhone 6 Plus. Efter att ha sett och kladdat på den ett tag är jag nu mer övertygad än någonsin att en så stor telefon inte är för mig.

Hon övergav sin iPhone 4S som jag också klämde på några dagar, det var ju ett tag sedan man körde den annars, och jag älskar designen. Det är riktigt vackert med glas på både fram- och baksida, opraktiskt, men vackert.

Och telefonen är ju också mindre än den iPhone 5S jag kör sen ett år tillbaka och jag skulle mycket väl kunna vänja mig vid den storleken igen. Men de dagarna är över. Nu får man invänta leverans av iPhone 6 till jobb...

Den är visserligen större än iPhone 5S men inte våldsamt mycket större. Man vänjer sig.

iPhone 6 och 6 Plus i naturlig storlek.

Den stora(!) fördelen med iPhone 6 Plus är ju annars självklart den stora skärmen som är precis så bra som man tror. Frågan är om iPad mini ens överlever.

Version 8

Senare under dagen släppa iOS 8 och om cirka 10 dagar kan vi i Sverige börja beställa de nya, större iPhones som Apple lanserade för några dagar sedan.

Själv är jag inte överlycklig över större telefoner, iPhone 5s går ner alldeles utmärkt i skjortfickan nämligen. Vi får se hur iPhone 6 blir, någon iPhone 6 Plus blir det definitivt inte tal om.

(Frugan får förstås själv bestämma hur stor telefon hon vill ha.)

Efter semestern

Hela augusti blev semestermånad för mig.

Men nu är man tillbaka i hetluften igen med två projekt som är prioriterade:
En wiki ska installeras och både webb och e-post ska bli nåbara via IPv6.

Wiki:n ska (helst) uppfylla följande kriterier:
Ska köras på Windows, ha en WYSIWYG-editor, kunna ta emot och indexera och göra sökbart filer i Office, PDF och text-format, ha integration med AD och helst single sign-on.

Det finns en uppsjö olika wiki-programvaror naturligtvis och jag har inte landat någonstans ännu...

IPv6 kommer bli fråga om upphandling, vi sätter upp det separat från IPv4 och har redan köpt in brandväggar för det.

Det kommer bli en intressant höst/vinter tror jag.

8 kärnor

Två enkortsdatorer är på väg med nya 8-kärnors ARM-processorer: pcDuino8 och CubieBoard 8.

Här visas pcDuino 8 upp:

Banana Pi, ännu en enkortsdator i samlingen

Den Banana Pi jag beställde för ett tag sedan har anlänt. Efter lite letande hittade jag en SD-image som fungerade och den är vad den ser ut att vara: en snabbare klon av Raspberry Pi med lite extra features.

UCASE, trevlig låda till UDOO

Jag var med och sponsrade UCASE på Indiegogo och nu har projektet levererat.

Det är en snygg, praktisk låda till UDOO som är väldigt robust. Jag valde varianten med HDD-stöd, det är i själva verket bara ytterligare en liten plåtlåda som är avtagbar på undersidan. Rekommenderas.

Wolfson Pi Audio Card

Eftersom det verkar vara brandrea på alla tillbehör till "gamla" Raspberry Pi Model B köpte jag på mig ett Wolfson Pi Audio Card, ett dotterkort till Pi:n som ska vara av "referenskvalitet". Jag lämnar osagt vilka magiska audiofilegenskaper kortet kan tänkas ha men det är förhållandevis enkelt att installera och ska inom kort få officiellt stöd i Volumio, ett av mina projekt jag håller på med men aldrig tycks få klart. :)

Tills det officiella stödet dyker upp finns det en inofficiell diskavbildning att ladda ner, den tänkte jag testa ikväll.

Raspberry Pi Model B+

Världen har blivit med en ny version av Raspberry Pi, den har fått det uppfinningsrika namnet Model B+:



Många kommer såklart klaga på att man behållit samma gamla 700MHz CPU och 512MB RAM - men syftet med Raspberry Pi är inte att vara snabbast med något, de vill att arkitekturen ska vara välkänd så att många programmerar för den.

Jag tycker det verkar vara en smart uppgradering. Det kommer förmodligen bli ett köp.

Annonseringen har också gjort att gamla hederliga Model B har prissänkts.

Tivo har anlänt.

Efter att jag sett TivoToGo blev jag övertygad om att skaffa Tivo, jag är annars ingen anhängare av ComHem som jag försökt undvika så mycket som möjligt.

Efter en långsam installation, det tar säkert 30 minuter av omstarter och nedladdning av nya programvaruversioner (förvisso automatiskt), tar det fart. Man får en förvirrande palett med kanaler och strömmande tjänster och en olidligt långsam Netflix-klient.

Fjärrkontrollen är också fullproppad med knappar och tämligen ologisk med åtminstone tre olika knappar som tar en "hem" till olika startpunkter. Men det blir väl bättre med tiden antar jag.

Roligast av allt är dock TivoToGo där man helt sonika tankar ner en app till sin iPad och kan se live-tv när man registrerat plattan med inloggning. Jag var tvungen att stänga av min proxy därhemma för att det skulle funka (AdTrap) men efter det har det gått smärtfritt. Det här är verkligen en killer feature!

På jobb var jag tvungen att vitlista URL:en pehr i Palo Alto:n för att det skulle börja fungera. Jag hade ett liknande problem med OpenVPN så jag börjar vänja mig.

Fatal bugg

Min Raspberry Pi som är tänkt att skicka SMS vid strömbortfall har gått och blivit buggig.

På sistone har den blivit väldigt kraschbenägen, i morse var tredje gången på en vecka som den lade av.

Det visar sig att det finns en gammal bugg öppen på problemet, jag har bara haft tur som inte stött på den tidigare.

Finns det någon  lösning liknande UPiS för t.ex. UDOO tro?

I det tysta

För någon vecka sedan kroknade jag på Spotify, det som fick mig att avsluta min prenumeration var att många artister och spår bara försvinner och kommer tillbaka helt godtyckligt. Oerhört störande.

Så jag såg mig om efter alternativ, eftersom jag hade min musiksamling från tiden från när man "hoardade" kvar tyckte jag Subsonic såg lämpligt ut.

Så jag installerade den på min Mac mini server, lade till regler i brandväggen och nu strömmar jag musik till såväl jobb som iPhone och iPad. För premiumfunktionerna (främst att strömma till telefoner) betalar man $12 om året. Så fick det bli.

Klienten jag valt på iPhone heter SubHub och den cachar förstås sångerna man strömmar.

Mer trådlöst pulande

Jag är lite av en övervakningsfreak. Jag gillar att mäta och övervaka saker, ofta bara för att jag kan.

Så när jag fått igång scriptet som tog ut användarna från våra trådlösa Cisco-kontroller tänkte jag att man också kunde använda datat för att visa hur många användare som är uppkopplade trådlöst.

Jag löste det helt sonika med att modifiera det gamla scriptet och lade till två rader:
more /tmp/wlc.txt | wc -l > /tmp/users.txt
convert -background white  -fill blue -pointsize 24 label:@/tmp/users.txt   /var/www/wlanusers/users.gif

Först räknar jag antalet rader och skriver ut siffran i filen users.txt sedan konverterar jag siffran till en GIF-bild som jag lägger på webbservern (detta är maskinen som kör Smokeping och MRTG) och pekar helt sonika ut den i min html-fil när jag ska använda den. Den uppdateras med femminutersintervall.

Eftersom det också finns lite andra tweaks i scriptet publicerar jag hela igen:

#!/bin/bash

##########################

snmp_community="public"

snmp_host="192.168.1.1"

# Tar bort filen om den redan finns

if [ -e /tmp/wlc.txt ]

        then

                rm -f /tmp/wlc.txt

fi

####################################################################

#Set input system to break on new-line when adding data to an array#

####################################################################

IFS=$'\n'

####################################################################

#Perform SNMP walks to get data of interest and load them into array variables to use later#

####################################################################

while [ "1" -ne "2" ]

do

 Unique_OID=($(snmpwalk -v 2c -O x -c $snmp_community $snmp_host 1.3.6.1.4.1.14179.2.1.4.1.1))

 Client_IP=($(snmpwalk -v 2c -c $snmp_community $snmp_host 1.3.6.1.4.1.14179.2.1.4.1.2))

 Client_Username=($(snmpwalk -v 2c -c $snmp_community $snmp_host 1.3.6.1.4.1.14179.2.1.4.1.3))

#####################################################################

#Ensure all SNMP walk requests contain the same amount of data and break loop when they do #

#####################################################################

 count1=${#Unique_OID[@]}

 count2=${#Client_IP[@]}

 count3=${#Client_Username[@]}

 if [ "$count1" -eq "$count2" ]; then

                  if [ "$count2" -eq "$count3" ]; then

                                                                  break

         fi

 fi

done

####################################################################

#Create a loop to match and extract data between the various arrays#

####################################################################

wait

index=0

while [ "$index" -lt "$count1" ]

      do

          id=$(echo ${Unique_OID[$index]} | cut -d "=" -f1 | awk -F "." '{print $8 "."$9 "." $10 "." $11 "." $12 "." $13 }')

          cIP=$(echo ${Client_IP[$index]} | grep $id | awk -F " " '{print $4}')

          cUser=$(echo ${Client_Username[$index]} | grep $id | awk -F " " '{print $4}' | sed s/\"//g)

          if [[ $cUser = TEST* ]] || [[ $cUser != "" ]] && [[ $cUser != host* ]] && [[ $cIP != "0.0.0.0" ]]; then

                if [[ $cUser = TEST* ]]; then

                    echo "SYSTEM=CISCO IP="$cIP "USER="$cUser >> /tmp/wlc.txt

                else

                    echo "SYSTEM=CISCO IP="$cIP "USER=LIDINGO\\\\"$cUser >> /tmp/wlc.txt

                fi

          fi

     ((index++))

     done

# Kontrollera om filen finns och skicka den vidare

if [ -e /tmp/wlc.txt ]

        then

                more /tmp/wlc.txt | wc -l > /tmp/users.txt

                convert -background white  -fill blue -pointsize 24 label:@/tmp/users.txt   /var/www/wlanusers/users.gif

                logger -d -f /tmp/wlc.txt -n 192.168.1.2 -P 514

                logger -d -f /tmp/wlc.txt -n 192.168.1.3 -P 514

fi

-------------------------

Den sista logger-raden skickar in datat i Splunk. Där kan jag korrelera och undersöka t.ex. om en användare är inloggad på flera enheter samtidigt - klart suspekt beteende om enheterna är på geografiskt olika platser.

Man är aldrig först

Jag tänkte installera en UniFi Outdoor (UAP-Outdoor) accesspunkt på lantstället för att få täckning mellan husen på tomten och fick idén att ha en Raspberry Pi som UniFi-kontroller.


Det tog inte många sekunder på Google för att upptäcka att någon redan gjort det.

Om det funkar bra kommer jag förmodligen göra samma sak hemma.

Det vanliga loppet

Efter brandväggsbytet i maj har vi efter den initiala rushen att fixa reglerna för att allt ska bli åtkomligt har vi så smått gått över i nästa fas: konsolidering av regler.



Eftersom Palo Alto Networks brandväggar är applikationsbrandväggar tar det ett tag innan man kommer in i tänket jämfört med en traditionell brandvägg med SPI.

I vår gamla brandvägg hade vi närmare 150 regler och, upptäckte vi, en del dubbletter eftersom brandväggen "ärvts" av olika nätverkstekniker genom åren.

I nya brandväggen är vi nere i 66 regler och jag har gott hopp om att minska dem med ungefär 10 stycken innan jag konsoliderat klart. Främst är det de gamla reglerna med port-för-port för webbtrafik till olika servrar som när man väl gjort NAT-regler kan slå ihop till en regel, snyggt och fint.

Jag funderar på följande:
En regel för servrar som bara kör http. En regel för servrar som bara kör https. Och slutligen en regel för servrar som kör både http och https (det är denna regeln jag börjat med).

Ju färre regler desto överskådligare - och bieffekten är förstås att brandväggen får jobba mindre.

Jag vill understryka att det Palo Alto Networks gör med sin brandvägg inte är något magiskt eller något som bara just dem kan göra men efter att ha provkört alternativen är det en sak de absolut är bäst på: användargränssnitt.

Ofta behöver man inte produkten som gör en sak BÄST, Palo Alto Networks gör många saker bra nog och förpackar det i det bästa gränssnittet jag sett på en brandvägg någonsin. Det är deras styrka.

Vi hade tänkt köra den nya brandväggen och Websense samtidigt för URL-filtrering under ett par månader för att se om de gav olika resultat men Websense, sin vana trogen, kraschade och efter ett par dagars sessioner med supporten gav dem upp och bad oss installera om hela produkten. Jag drog ur proppen då och ingen har saknat dem sedan dess.

Mannen som uppfann ping

Den 20 november år 2000 dog Michael Muuss i en bilolycka. Hans namn har dessvärre inte gått till historien trots att nätverkstekniker som jag använder hans program, ping, varje dag i vår yrkesutövning.

Ping använder ICMP-protokollet för att se om en enhet på ett TCP/IP-nätverk svarar och är ett av de mest grundläggande verktygen vi har. Jag vet inget operativsystem idag som skeppas utan kommandot och mycket av originalkoden Michael skrev är förmodligen kvar eftersom hans kod licensierades med BSD-licensen.

Berättelsen om hur ping kom till är i sig underhållande och trots att Muuss fick pris från USENIX för sitt enastående program verkar hans namn vara borttappat i datorhistorien.

Jag tror inte jag kan rätta till det men jag kan i alla fall lyfta på hatten och sända ett hjärtligt tack till Michael Muuss - utan ping skulle mitt jobb vara mycket svårare.

IBMs nedgång och fall

Jag jobbade många år på IBM innan jag till slut lämnade skeppet och gick vidare av ren frustration.

Som många påpekat under åren är det något som gått väldigt fel där, Robert X. Cringely har nyligen gett ut boken The Decline and Fall of IBM. Eftersom jag, precis som Cringely, skulle vilja att IBM reste sig och blev vad de en gång var kastade jag mig över och läste ut boken snabbt.

För att inte ha jobbat på IBM vet Cringely en hel del om hur bolaget sköts och hans analys om hur IBM gått utför under många, många år är en tragisk historia i många akter.

Kanske finns det ännu tid att rädda IBM men det måste ske skyndsamt om det ska finnas något att rädda.


Jag minns när jag började på IBM, 1993, då IBM precis gått igenom en kulturchock när de första faktiskt hade tvingats lämna (läs: få foten från) IBM. Det var ett bra ställe att jobba på. Man fick utbildning, man blev inte behandlad som en idiot eller micro-managed. Det fanns en hel del förmåner, det fanns en klubb på företaget med många intressanta sektioner, det fanns en IBM-iad med deltagande från samtliga nordiska länder som genomfördes regelbundet och det fanns ett bibliotek. Det fanns till och med en viss respekt för facket.

Kring år 2000 stängde IBM helt sonika biblioteket, det var den första åtgärden jag uppmärksammade som olycksbådande och efter det kom också döden i form av tusentals skärsår. Varje år skars det successivt ner på förmåner och andra märkliga saker infördes. Man började med Variable Pay, ett system där all anställda gav tionde till IBM i hopp om att få det utbetalat som bonus(!) om det gick bra för bolaget. Från början var målen hyfsat lokala, på slutet fick man räkna med att ens bonus försvann efter räkneexperiment på någon kontinent där det för närvarande inte gick bra för IBM.

Som grädde på moset körde man alla anställda genom PBC, Personal Business Commitments, som ersättare för utvecklingssamtal. Med tiden bev målen i PBC alltmer abstrakta och långt från en och när utvärdering skulle göras hade management redan bestämt hur många som skulle tilldelas högsta respektive lägsta betyg - alldeles oavsett hur det i verkligheten förhöll sig.

Jag tror det var året då jag slutade som IBM tog det absurda steget att inte ge de som ställde upp och hjälpte till vid Vasaloppet som IBM sponsrar någon ersättning. De var helt enkelt tvungna att ansöka om semester för att hjälpa IBM med sitt sponsorsåtagande. Vid tiden var personalpolitiken helt körd i botten och jag har många horribla historier om hur människor behandlades på lager. Men det är deprimerande att både lyssna och tänka på.

Kort sagt: ta inte anställning vid IBM idag om du är tekniker. Det är inte ett teknikföretag i någon större utsträckning. Det domineras av säljare, en armé av chefer och idén att de som jobbar där är resurser - inte människor.

OS X 10.10

Jag gillar Linux och Unix vilket i sin tur medför att jag gillar OS X, Apples Unix-operativsystem.

Jag kommer från DOS och OS/2, jag var sen Windowsanvändare men har naturligtvis använt Windows en hel del. Jag plockade tidigt upp Coherent och Linux men var väldigt sen på bollen när det gäller Mac.

Det var först 2006, när Apple släppt sina första intel-baserade maskiner, som jag på en kollegas inrådan köpte en Mac Mini. Jag tänkte att i värsta fall kunde jag installera Windows eller Linux på den så allt inte var förlorat. Aktuell version av OS X var 10.4, Tiger kallad. Första dagen blev strulig, det är en omställning och jag råkade ut för en kernel panic, något som är lika sällsynt som en blåskärm är för Windows idag.

Men efter första dagen var jag egentligen såld. Här var ett grafiskt snyggt operativsystem med Unix under huven, det var bara att droppa till en terminal och göra saker som man alltid gjort.

Efter det har jag alltid haft åtminstone en Mac tillgänglig hemma och den första Mac mini:n jag köpte gick först till mina föräldrar, sedan tillbaka till mig där den tjänstgjorde som Plex-server innan de slutade stödja 32-bitarsversioner av OS X. Nu har jag pensionerat maskinen men den ska faktiskt användas som printserver hos några släktingar så än kan man ha nytta av den, trots att den alltså är en 32-bitarsmaskin kvar på OS X 10.6.

Och nu har Apple visat upp hur nästa version av OS X, 10.10 eller Yosemite, som kommer till hösten kommer se ut. En lovande uppdatering.

Introduktionsvideo för UDOObuntu

En liten översikt över UDOO:s nya officiella Linuxdistribution:

Som för att understryka en poäng

Jag fick ett mail igår som verkligen understryker nivån på Raspberry Pi:s community som jag prisat ett par gånger.

De har publicerat en ny Online Usage Guide som är väl värd att läsa.

Enkortsdatorer: Raspberry Pi och några konkurrenter

Först och främst, Raspberry Pi var den som enskilt populariserade hela enkortsdatorgrejen och är såväl tröttast rent specifikationsmässigt som den som har bredast stöd från både företag och community.

Är man osäker på om hela enkortsdatorgrejen passar är det en Raspberry Pi man ska prova med först. Förutom själva Pi:n kommer du behöva en strömadapter (det duger med en mobilladdare med micro-USB eller en USB-till-microUSB-kabel till en vanlig dator), ett tangentbord, en mus och antingen en skärm med HDMI (klart lämpligast) eller någon slags gammal TV eller monitor med RCA-plugg (den var väl aldrig speciellt populär i Sverige?) och ett SD-kort (gärna 8GB eller mer). Om du inte har ett ledigt HDMI-uttag i tv:n finns det adaptrar som omvandlar HDMI till DVI-D som de flesta skärmar har.

Det finns vid det här laget ganska många operativsystem att välja mellan till Raspberry Pi men absolut vanligast är troligen Raspbian, en variant av Debian.

Raspberry Pi-sajten har länkar till verktyg och instruktioner hur man överför avbildningar av operativsystem till SD-kort, det är bara att följa.

Får du problem är det enkelt att få hjälp, Google ger många, många träffar på i stort sett allt man kan tänka sig.

Om du redan erövrat Raspberry Pi och tycker det skulle vara kul att doppa fötterna utanför den pölen finns det numera en uppsjö alternativ. Samtliga har framförallt två saker gemensamt: de är snabbare och knepigare att få igång än Raspberry Pi.

Det finns små communities kring de flesta enkortsdatorer nuförtiden men ingen med den mognad och mångfald som Raspberry Pi har. En del av dem har faktiskt nästan enbart programmerare som användare och tonen dem emellan kan vara oförlåtande för en vanlig dödlig som kommer med mer "triviala" problem.

Min UDOO Quad i sin alldeles nya datorlåda.

Här sammanfattar jag mina erfarenheter:
Cubieboard: Väldigt entusiastiska. Mycket svåra att få igång när de precis lanserat hårdvaran men mognar snabbt och ofta kan man snabbt hitta en Linuxversion man hjälpligt kan köra. Om du får problem och inte lyckas hitta rätt människa att fråga står du dock ensam.

Wandboard: Mycket svår att få igång i början, definitivt inget för nybörjare. Kör du Wandboard förväntas du kunna bygga din egen Linuxkärna utan problem.

Beaglebone Black: Mer inriktad på elektronikintresserade som vill bygga automation och robotar. Mycket bra Arduino-stöd. Ska du ge dig på elektronikprojekt kan det vara all idé att basera på Beaglebone.

UDOO: Hobbyistmaskin som kommit starkt, välkomnande community av entusiaster. Började på Kickstarter och verkar ha vind i seglen. Till skillnad från många andra enkortsdatorer är den här utvecklad i och stöds från Europa (Italien).

Hur mycket skiljer det då i praktiken mot Raspberry Pi?
Förutom att de är klart pilligare att få igång är känslan att de också är snabbare klart påtaglig. Raspberry Pi har aldrig varit en fartfantom (det var ju heller aldrig meningen) och de flesta andra är ofta dubbelt så snabba (eller mer!). Du behöver inget stoppur för att märka skillnaden direkt.

Ur funktion

Jag har MRTG igång hemma (och på jobbet för all del) men det är sällan jag tittar till den, jag förväntar mig bara att den rullar.

Men när jag tittade till den häromdagen såg jag till min förvåning att den senast uppdaterades i februari. Jag kör den på en Cubieboard2 så jag loggade in och kollade vad som hänt. Efter senaste uppdateringen av Linux på den hade Perl mystiskt gått sönder. Planen är att ersätta den med en Raspberry Pi, de är enklare att felsöka och med tanke på hur få switchar jag har räcker en Pi låååångt för jobbet.

Att installera MRTG på en Raspberry Pi med Raspbian är en snabb och smärtfri sak:
sudo apt-get install mrtg

För att se output från MRTG behöver du cokså ha en webserver installerad, te.x. Apache eller Nginx.

Konfigurationen kan vara skrämmande för en nybörjare men här är några tips.

Du börjar med programmet cfgmaker, redan nu måste du bestämma om du vill köra MRTG via cron eller "för hand" och låta MRTG själv sköta demonisering och tidsintervall. Jag har valt det senare.

Sedan drar du till med en harang liknande den här (en rad):
sudo cfgmaker --snmp-options=:::::2 --global "Interval: 5" --global "Logdir: /var/log" --global "RunAsDaemon: Yes" -output=/etc/mrtg/core.cfg hemligt@192.168.1.1

I tur och ordning betyder det att vi använder SNMP Version 2c för kommunikation, vi vill kolla switchen var femte minut, vi vill använda biblioteket /var/log/ för loggfiler, vi vill att MRTG ska demonisera sig själv, kofigurationsfilen ska skrivas till /etc/mrtg/core.cfg och slutligen har vi community-namnet@switchens IP-adress.

Nu har du en konfigurationsfil du ska använda dels för att formattera html och dels för att faktiskt köra MRTG.

Nästa steg blir att köra indexmaker med en ny harang liknande denna (en rad):
sudo indexmaker -output=/var/www/mrtg/core.html /etc/mrtg/core.cfg

Det man gör med indexmaker är alltså att skriva ner en html-mall för core.cfg i /var/www/mrtg. /var/www är där din webserver vanligtvis lägger filerna den ska visa när man anropar den men det kan hända att du konfigurerat annorlunda.

cfgmaker och indexmaker använder du sedan bara om du vill göra någon förändring av konfigurationen.

Nu är du klar att köra MRTG självt, jag gör det från ett script med ett entry för varje switch:
sudo env LANG=C /usr/bin/mrtg /etc/mrtg/core.cfg

Förhoppningsvis får du nu bara ett meddelande om att MRTG demoniserat sig, den kommer vakna var femte minut, polla switcharna, skriva ner data och sedan vänta ytterligare fem minuter och så vidare.

Vid det här laget är det dags att ta en kopp kaffe eftersom resultaten du ser på webservern ser konstiga ut i minst fem minuter innan MRTG verkligen börjat samla in data. Jag kan inte nog understryka hur viktigt det är att vänta, jag har aldrig misslyckats med att dra igång MRTG - den tar bara tid på sig.

Max acceleration

Jag spenderade hela förra veckan hos HP i Frösunda på Accelerated HP Core/Distribution Layer Network Technologies (HL045_00646351)-utbildning.

11 dagars material om E- och A-series-switchar komprimerat till en 5-dagarskurs. Det var en utmaning.

Jag lärde mig en hel del nyttigheter och framförallt gav labbarna på A-series mig en helt ny nivå av självförtroende när det gäller den typen av switchar. Även en del nya tricks till E-series kom i dagen.

Oerhört givande alltså och tufft.

Förutom själva kursen diskuterades brandväggar och trådlösa nätverk med läraren och de andra kursdeltagarna. Även det mycket givande, vårt åldrande trådlösa ska ju bytas ut så småningom och det är bra att veta var branschen är på väg och vad folk använder.

Unga kan inte använda datorer

Förra året slog en artikel om hur datorilliterata den unga generationen är ner som en bomb.

Det debatterades en del på nätet kring ämnet och man kom till exempel fram till att vuxna inte heller kan använda datorer. Att det kanske inte är så lätt att råda bot på. Att författaren till originalartikeln är en idiot. Att lösningen kanske inte är att alla ska bli programmerare. Några hävdar att det inte är ett problem. Att IT-industrin är delvis fokuserad på att förvirra användare. Andra delar själva idén men har svårt att svälja hur artikeln är skriven. Den gav vid tiden även lite vågor i Sverige.

Några blev indignerade.

Om du klickat på alla länkar och läst allt hittills är du en av få. Men det är en viktig diskussion som tåler såväl analys som eftertanke. Själv tycker jag det är viktigt att åtminstone ha en rudimentär förståelse av saker jag använder.

Brandväggsbyte

Vi bytte brandvägg på jobbet i lördags. Själva bytet inklusive de första rättningarna av regler tog cirka 30 minuter, tester för att se att all trafik vi tänkt oss gick igenom som det skulle tog nästan tre timmar.

Att byta skalskydd är alltid något av en rysare, all internettrafik klipps tvärt av och startas upp igen. Trots tester i lördags fanns det småsaker att skruva på igår men det fanns aldrig något läge där vi var i närheten av att köra igång urbackningsplanen (sätta tillbaka kablarna i den gamla brandväggen). (Jag var egentligen aldrig orolig, kunniga tekniker från Radpoint har hållit oss i handen hela vägen.)

Och tack och lov för det. Palo Alto Networks brandvägg ger en helt annan insikt i trafiken än vad Clavisters någonsin gjorde. Full genomlysning av trafiken på lager 7 och dessutom URL-blockering och stopp för botnets, virus, malware och annat smått och gott. En kvalitetshöjning på säkerhetsområdet som var välbehövlig (inte minst enligt MSB).

Programvaror som betyder något

Jag läste en fascinerande artikel om fem programvaror som borde finna i en mjukvarukanon.

Artikeln är på engelska men rekommenderas varmt, programvarorna som omtalas är:
Microsoft Office, Photoshop, Pac-Man, Unix och Emacs.

Och nog skulle det vara så att det finns en kanon med mjukvara som alla borde köra och ha ett hum om?

Banana Pi

Eftersom jag tydligen har mer pengar än vett har jag beställt en Banana Pi.

Det är en dator i samma storleksklass som betydligt vanligare Raspberry Pi men snabbare, med mer minne, gigabit ethernet och SATA-interface. Jag har ingen aning om vad jag skall använda den till just nu.

Banana Pi vs. Raspberry Pi

Jag passar på att gratulera BASIC, det första programmeringsspråket jag lärde mig, som fyller 50 år. En golden oldie.

TFTPD

Jag har under en längre tid använt mig av Solarwinds "gratis" TFTPD, men har egentligen aldrig tyckt att den känts helt hundra. Jag kan inte riktigt sätta fingret på varför men det har gått så långt att jag sett mig om efter alternativ.

Och en google-sökning senare hittade jag TFTPD32, en enkel, fri TFTPD-server för Windows som namnet till trots finns i både 32-bitars och 64-bitars versioner.

Jag har precis hårdkört den i och med att jag uppgraderat certifikatet på alla våra controllers för trådlöst nätverk och den har fungerat klockrent.

MobaXterm

När allt man har är en hammare ser alla problem ut som en spik har någon som är klokare än mig sagt.

Alla som använder Windows och behöver tillgång till telnet, SSH och/eller seriekommunikation brukar använda sig av det utmärkta verktyget Putty. Putty är väl beprövad, fungerar alltid och är en utmärkt arbetshäst för allehanda saker man kan tänkas göra.

Den saknar dock en komponent som i de allra flesta fall är oviktig men när man väl behöver den, ja, då behöver man den: X11. MobaXterm fyller den nischen väl. Den fungerar precis som man tror, du behöver bara logga på ett system med SSH så tunnlar den automagiskt X11. Den har inbyggd window manager som får X11 att se ut ungefär som Windows-program och har i övrigt samma egenskaper som Putty: den bara fungerar.

Precis som Putty är den gratis men om man vill ha support kan man köpa en licens. Licensen är inte heller speciellt dyr (€50 i dagsläget), jag har faktiskt inte hittat någon kommersiell X11-server för Windows som är billigare.

Det finns ju också fria X11-servrar till Windows men de brukar vara väldigt meckiga att få igång (eller var det för något år sedan när jag genast gick igenom dem). Se t.ex. Xming eller Cygwin/X.

Om du behöver X11 på Windows och vill ha något som bara fungerar kan jag varmt rekommendera MobaXterm.

Ubiquiti

Om du är en avancerad hemanvändare som gillar att knappa på saker kan Ubiquitis produkter kanske passa.

Jag har deras EdgeRouter Lite, en billig men väldigt kapabel router med inbyggd brandvägg vars kodbas rör sig snabbt. Den får hela tiden snyggare gränssnitt och mer funktionalitet.



I kombination med deras UniFi-accesspunkt täcker det alla mina nätverksbehov hemma.


Ubiquiti ger support via sitt communityforum och är fortfarande så pass små att deras programmerare verkligen hänger på forumet. De tar emot förslag på nya features och rättar buggar med riktigt bra fart.

Deras produkter, framförallt EdgeRouter, är ingenting för nybörjare. Det gäller att ha tungan rätt i mun och ha bra koll på TCP/IP innan man konfigurerar. Men har man grunderna kommer man långt.

Dustin har produkterna i Sverige om du känner dig sugen.

Eftersläntare

Saker som föll av radarn i mitt förra inlägg:
Roku 2 XS, med inbyggt stöd för såväl Netflix som Plex var det ett enkelt val.
Sedan jag skaffade den har jag rekommenderat den vitt och brett men jag har hört rapporter på sistone att Netflix inte går att installera på den om man kommer från en svensk IP-adress. Det går ju att komma runt men det är ju irriterande.
Om någon ny AppleTV dyker upp med stöd för Plex kommer jag förmodligen byta, annars inte.

En Mac mini server är också inkopplad i TVn, ibland finns det innehåll som bara en dator kan spela upp. Den börjar dock bli till åren och en uppgradering borde göras inom ett till två år. Ena hårddisken i den är utbytt (på garanti) den andra dog efter garantitiden men jag har inte orkat byta den. Slutsats, köp en ny Mac mini med SSD, inte hårddisk.

Jag antar att jag missade dem eftersom dem är så självklara.

Utrustning

Inlägget där jag försöker sammanfatta allt på (och av) nätverket här hemma.

All trafik som ska in och ut från mitt nätverk kommer passera en Ubiquiti EdgeRouter Lite. En kraftfull men billig router för trådat nätverk. Försöker man komma åt min websajt kommer man också behöva passera en Palo Alto Networks PA-200. Inte fullt så billig men ack så kraftfull.

Trafik som ska in eller ut passerar också minst en och ibland två HP ProCurve. Min distributionsswitch är en 1810G-24 och jag har en 2510-24 och en 2610-24 bakom den.

Jag har VMware ESXi rullande på en HP ProLiant microserver N54L, den kör i dagsläget fyra virtuella maskiner, två linux-baserade och två Windows-baserade. Här har jag bland annat min vanliga websajt och min interna DNS.

Jag har en fysisk maskin med Core2Quad som kör Plex Server som står för utdelning av media både till mig, familj och vänner.  Filer ligger i sin tur på en NAS från Synology, 1812+.

Den vanligaste klienten här hemma är en iPad, alla i familjen har varsin men alla har olika modeller, iPad 4( frugan), iPad mini (min son) och iPad mini med retina (jag). Då och då syns även iPhones, Macbook Air, Thinkpad X61s, Wii U, en blurayspelare och diverse Android-enheter.

Det trådlösa kommer, även det, från Ubiquiti och är i dagsläget en UniFi. Det är alltså en dedikerad accesspunkt utan andra uppgifter.

Bland de mer exotiska grejorna på nätet är en HWg-STE som mäter temperaturen i mitt rack, en AdTrap som tvättar annonser för enheter som saknar Adblock, en Cubieboard 1, en Cubieboard 2 och några Raspberry Pi.

Saker jag har men som ännu inte är riktigt igång eller av andra skäl är avstängda: Wandboard Dual, Cubietruck, Beaglebone Black, Sun Ultra 10 (SPARC), HP c3750 (PA-RISC) och förmodligen någon grej jag glömt. :)

Pust, pes.

Heartbleed och en uppdatering om Smokeping

Nu är man allt lite orolig för all it-utrustning man har.

Här är Ciscos lista över produkter som påverkas/testas av buggen. Vi kör som bekant deras trådlösa lösning.
För trådat nätverk använder vi HP Procurve, här är deras lista.
Palo Alto Networks uttalande, de är inte påverkade. Detsamma gäller vår utgående Clavisterbrandvägg.
Microsoft friskriver IIS.

Och du, byt lösenord efterhand som sajterna begär det. Innan de patchat är det ingen ide.

Det visade sig att problemet med Smokeping jag stötte på är en känd bugg, i buggrapporten finns en smidig workaround som funkar.

Två steg fram, ett steg bak

Jag installerade upp en ny Linux-kärra för att köra mitt script som puttar in användar-id från Cisco's WLC till Palo Alto Networks brandvägg. När jag kopierade över scriptet fungerade det helt plötsligt inte. Suck.

Jag hade glömt installera MIB:arna till SNMP, efter det var gjort funkade det igen. Nu kör jag scriptet var femte minut via cron.

Jag använder samma maskin för att köra MRTG mot vår core samt distributionsswitchar och, naturligtvis, Palo Alto:n.

Och allt det funkar bra.

Jag tänkte även använda maskinen för att köra Smokeping men efter installation stötte jag på patrull. Först vägrade Apache köra CGI, det var snabbt fixat med a2enmod men efter det renderar den Smokepingsidan utan bilder. Frustrerande nog räckte tiden inte till för att fixa till det felet idag så det blir till att jaga det igen på måndag.

PA-200

Jag fick ytterligare en brandvägg från Palo Alto Networks i morse: PA-200.

Det är den minsta brandväggen dem gör men hela deras sortiment från den här lilla saken till monstret som är PA-7050 använder samma programvara. PA-200 är naturligtvis långsammare men har i övrigt samma funktionalitet som vilken brandvägg som helst från Palo Alto Networks.


Jag har köpt in dem för att vi ska köra IPv6-trafik igenom dem. Men det projektet är en bit in i framtiden, under tiden använder jag den för att bli mer familjär med gränssnittet. Rakt ur lådan är den konfigurerad med två gränssnitt som "virtual wire" med trust- och untrust-sidor. Den agerar alltså som en transparent brandvägg direkt. Så jag har kopplat in den just så på min webserver här hemma, dels ger det mig gott om tid att utforska den och dels får den riktig trafik (iofs IPv4) att jobba med. Åtminstone till IPv6 rullar igång senare i år.

Cisco, Palo Alto Networks och användar-id: lösningen

Jag har haft lite strul med att plocka ut användar-id från Cisco Wireless LAN Controllers och mata in det i Palo Alto Networks brandvägg.

Jag har dock knäckt det.

Det script jag använde har jag modifierat till följande:
--------- SNIP! ---------
#!/bin/bash
snmp_community="public"
snmp_host="1.1.1.1"
rm -f /tmp/wlc.txt
IFS=$'\n'
while [ "1" -ne "2" ]
do
 Unique_OID=($(snmpwalk -v 2c -O x -c $snmp_community $snmp_host 1.3.6.1.4.1.14179.2.1.4.1.1))
 Client_IP=($(snmpwalk -v 2c -c $snmp_community $snmp_host 1.3.6.1.4.1.14179.2.1.4.1.2))
 Client_Username=($(snmpwalk -v 2c -c $snmp_community $snmp_host 1.3.6.1.4.1.14179.2.1.4.1.3))
 count1=${#Unique_OID[@]}
 count2=${#Client_IP[@]}
 count3=${#Client_Username[@]}
 if [ "$count1" -eq "$count2" ]; then
                  if [ "$count2" -eq "$count3" ]; then
                                                                  break
         fi
 fi
done
wait
index=0
while [ "$index" -lt "$count1" ]
      do  
          id=$(echo ${Unique_OID[$index]} | cut -d "=" -f1 | awk -F "." '{print $8 "."$9 "." $10 "." $11 "." $12 "." $13 }')
          cIP=$(echo ${Client_IP[$index]} | grep $id | awk -F " " '{print $4}')
          cUser=$(echo ${Client_Username[$index]} | grep $id | awk -F " " '{print $4}' | sed s/\"//g)
          if [[ $cUser = TEST* ]] || [[ $cUser != "" ]] && [[ $cUser != host* ]] && [[ $cIP != "0.0.0.0" ]]; then
                if [[ $cUser = TEST* ]]; then                        
                    echo "SYSTEM=CISCO IP="$cIP "USER="$cUser >> /tmp/wlc.txt
                else                        
                    echo "SYSTEM=CISCO IP="$cIP "USER=TEST\\\\"$cUser >> /tmp/wlc.txt
                fi
          fi
     ((index++))
     done
logger -d -f /tmp/wlc.txt -n 172.17.1.101 -P 514

--------- SNIP! ---------

Originalscriptet hittar du här.

Det var väl inte så svårt?

Det jag gör är alltså att skapa en fil med innehållet Etikett (SYSTEM=CISCO), IP= (själva adressen) och USER= (användarnamnet), de två sistnämnda drar jag ut via SNMPWalk från WLC:n.

Problemet med att vissa användare inte dök upp var för att de inte hade vårt domännamn som prefix och brandväggen därför inte kunde slå upp dem via Active Directory. Så för dem användarnamn som saknar domännamn skjuter jag helt enkelt in det framför deras namn och skriver ner dem i filen.

Scriptet är testat och fungerar på Ciscos 5508. Det fungerar dock högst sporadiskt på Ciscos 4xxx men de börjar bli så gamla att de börjar fasas ut (vi gör det).

På Palo Alto:n ska du in under Device -> User Identification -> User Mapping -> Palo Alto Networks User ID Agent Setup (Klicka på kugghjulet (Edit)). I dialogen som kommer upp ska du till Syslog Filters. Där skapar du ett nytt filter enligt nedan:

Du är inte riktigt färdig ännu. Du ska också in under Device -> User Identification -> User Mapping -> Server Monitoring, klicka på Add.

Lägg till en ny enligt följande:

Märk väl att ditt filter heter Test om du följt mitt exempel enligt ovan istället för, som i mitt fall, LS-ID.

Glöm inte att köra en commit på dina ändringar. Sätt scriptet att köra med lämpligt intervall via cron och njut av att se när du kan identifiera de trådlösa användarna i din brandvägg.

Och ja, man kunde lika gärna tagit bort domännamnet i filen man genererar och skjuta in den i fältet Default Domain name i sista dialogen.

Verifierat och fungerar med PAN-OS 6.0.1.

Bra minne, men kort

För de som ännu inte memorerat hur man skriver ut en avbild på ett SD-kort från kommandoraden i Mac OS X finns PiWriter, något jag helt missat tills nu. Det är en grafisk, lätthanterad variant som naturligtvis kan skriva ut vilka SD-avbildningar som helst, inte bara dem som är gjorda för Raspberry Pi.

Som till exempel Volumio för Udoo.

Skicka SMS från en Raspberry Pi med en 3G-dongle

Genom att söka lite på Google kom jag snabbt fram till att gammu är rätt programvara, den finns i Raspberry Pi's repo så det är bara att installera som vanligt (sudo apt-get install gammu).

Jag råkade ha en 3G-dongle från Huawei liggande av modell E220.
Jag skapade filen /etc/gammurc med följande innehåll:
[gammu]
port = /dev/ttyUSB0
connection = at19200
startinfo = no
name = Huawei
synchronizetime = no
use_locking = no

Om man sedan kör kommandot:

gammu --identify

får man något som liknar:

Device               : /dev/ttyUSB0

Manufacturer         : Huawei

Model                : E220 (E220)

Firmware             : 11.117.09.00.00

IMEI                 : "nummer"

SIM IMSI             : "nummer"

Om du inte får ut något kan donglen sitta som en annan device kolla med:

dmesg|grep tty

Om din dongle stöds får du ut en rad som liknar den här:

[    0.000000] Kernel command line: dma.dmachans=0x7f35 bcm2708_fb.fbwidth=656 bcm2708_fb.fbheight=416 bcm2708.boardrev=0xe bcm2708.serial=0x3e0ecc12 smsc95xx.macaddr=B8:27:EB:0E:CC:12 sdhci-bcm2708.emmc_clock_freq=250000000 vc_mem.mem_base=0x1ec00000 vc_mem.mem_size=0x20000000  dwc_otg.lpm_enable=0 console=ttyAMA0,115200 kgdboc=ttyAMA0,115200 console=tty1 root=/dev/mmcblk0p2 rootfstype=ext4 elevator=deadline rootwait

[    0.000000] console [tty1] enabled

[    0.530022] dev:f1: ttyAMA0 at MMIO 0x20201000 (irq = 83) is a PL011 rev3

[    0.872154] console [ttyAMA0] enabled

[    7.269799] usb 1-1.3: GSM modem (1-port) converter now attached to ttyUSB0

Om ovan funkar kan sedan, till exempel, skicka meddelanden från Nagios.

Här är mina kommandodefinitioner till Nagios:

define command{

        command_name    host-notify-by-sms

        command_line    /usr/bin/printf "%b" "KATASTROF / Host: "$HOSTNAME$" / State: $HOSTSTATE$ / Info:$HOSTOUTPUT$ / Date:$SHORTDATETIME$" | /usr/bin/gammu --sendsms TEXT $CONTACTPAGER$

        }

define command{

        command_name    notify-by-sms

        command_line    /usr/bin/printf "%b" "KATASTROF / Host: "$HOSTALIAS$" / State: $SERVICESTATE$ / Info:$SERVICEOUTPUT$ / Date:$SHORTDATETIME$" | /usr/bin/gammu --sendsms TEXT $CONTACTPAGER$

        }

Alla variabler är interna för Nagios och just $CONTACTPAGERS$ är variabeln som innehåller telefonnummer att skicka SMS till. Den definieras i din contacts-fil i Nagios och det är även i den filen du lägger till de två raderna som ser till att du får SMS om något händer:

        service_notification_commands   notify-by-sms

        host_notification_commands      host-notify-by-sms

En Raspberry Pi med Nagios, en 3G-dongle och en UPiS är en kraftfull kombination som överlever strömbortfall i bortåt 4 timmar på det inbyggda batteriet och därmed har gott om tid att ge dig en heads-up att något är allvarligt fel.

Och ja, det är samma procedur om du hänger donglen på en Ubuntu/Debian som körs på en vanlig PC.