App is ajax-based using jQuery libraries, it uses php scripts and javascript and some HTML5 features, so some modern browser is preferred to be able to display javascript quickly/correctly…

Some main features include:

• Section / Subnet separation
• IPv4/v6 support
• Displays free range and number of clients
• Subnet statistics
• User management
• E-Mail notification
• Import IP addresses from XLS / CSV file
• IPv4/v6 calculator
• Search IP database
• and many others.

If there will be interest I plan to launch it as an open source project. Next plans for v 0.2 are use of domain authentication, viewer-only user type, rss change feed, mass edit/delete/create, etc.

App can be tested on the following demo page:
ipamdemo

Some screenshots are below…

suggestions/comments are welcome
brm

copy /pcap capture:ime_capturja ftp://user:pass@server/capture.pcap

lpm

Resitev? Dobri stari minicom v povezavi s Finkom in Applovimi XCode toolsi (potrebujemo jih zaradi unstable paketov, ki jih je potrebno skompilati). Lahko pa preprosto uporabite zterm, vendar je minicom po mojem mnenju veliko boljsi.

Instalacija paketov

- XCode: Je na voljo zastonj, opraviti je potrebno registracijo pri Applu… Zdownloadamo in poklikamo.

- Fink: Pravtako parkrat kliknemo in smo ready.

Unstable Fink paketi

Kot sem ze omenil je minicom unstable paket, zato binarna verzija ni na voljo in ga moramo zbildati sami.

Najprej zazenemo sudo fink configure in pri vprasanju ce zelimo enablati unstable source recemo Y, ostalo lahko zaenkrat pustimo na miru (mirrorlist etc), lahko pa uporabite moj config file ki ga pastnete v /sw/etc/fink.conf (sem ga prilimal v p.s. spodaj).

Potem po uradnih navodilih zazenemo

fink selfupdate; fink index; fink scanpackages

.

Sedaj moramo samo se enablati rsync (ali cvs) za unstable pakete: fink selfupdate-rsync ali pa fink selfupdate-cvs in ko koncno lahko koncno poinstaliramo minicom:

fink install minicom

USB keyspan

Ker Maci nimajo vec serijskega porta potrebujemo USB-to-serial converter, jaz imam npr. Atenovega UC-232A:

Poinstaliramo driverje, potem pogledamo kam nam je pripel novo napravo:

ls -l /dev/tty.*

. moj je /dev/tty.UC-232AC.

Sedaj zazenemo konfiguracijo za minicom sudo minicom -s in pod serial port setup za device izberemo kar nam je vrnil ls -l, torej v mojem primeru /dev/tty.UC-232AC. Spremenimo se pariteto in hitrost na 9600 8N1 ter shranimo konfiguracijo kot default.

In to je to.

lpm

p.s.:

- /sw/etc/fink.conf (za SLO)

# Fink configuration, initially created by bootstrap
Basepath: /sw
RootMethod: sudo
Trees: local/main stable/main stable/crypto unstable/main unstable/crypto
Distribution: 10.5
SelfUpdateTrees: 10.4
ConfFileCompatVersion: 1
Mirror-apache: http://www.apache.si
Mirror-apt: http://bindist.finkmirrors.net/bindist

Mirror-cpan: ftp://ftp.arnes.si/software/perl/CPAN
Mirror-ctan: ftp://tug.ctan.org/tex-archive
Mirror-debian: http://ftp.si.debian.org/debian
Mirror-freebsd: ftp://ftp.si.freebsd.org/pub/FreeBSD/ports/distfiles
Mirror-gimp: ftp://ftp.gimp.org/pub/gimp
Mirror-gnome: ftp://ftp.gnome.org/pub/GNOME
Mirror-gnu: ftp://ftp.gnu.org/gnu
Mirror-kde: ftp://ftp.kde.org/pub/kde
Mirror-master: http://distfiles.master.finkmirrors.net/
Mirror-rsync: rsync://distfiles.master.finkmirrors.net/finkinfo/
Mirror-sourceforge: http://eu.dl.sourceforge.net/sourceforge/
MirrorContinent: eur
MirrorCountry: eur-si
MirrorOrder: MasterFirst
ProxyPassiveFTP: true
UseBinaryDist: true
Verbose: 1
SelfUpdateMethod: rsync

Na Gentoo wikiju je how-to za rancid, preko njega si namestite rancid program, tukaj se ne bom ponavljal. Dodal pa bom navodila za delovanje s pomocjo SVN sistema ter websvn streznika – original guide uporablja CVS (SVN je naslednik CVSa). Ob priliki bom seveda tudi uredil guide na Gentoo wikiju.

Priprava sistema

Kot sem ze omenil do sedaj predvidevam, da rancid kot tak ze deluje, zato nadaljujemo z instalacijo websvn programa. Naj omenim samo se to, da mora biti rancid verzija >= 2.3.2a3. Seveda predvidevam tudi da imate delujoc apache streznik.

Najprej namestimo subversion s podporo za apache in svn streznik, ter python in perl module za apache:

echo "dev-util/subversion apache2 svnserve" >> /etc/portage/package.use
emerge -uav subversion mod_python mod_perl

Potem povemo apachu naj uporablja python, perl, svn in dav? module ter restartamo apache streznik:

vi /etc/conf.d/apache2
APACHE2_OPTS="-D DEFAULT_VHOST -D INFO -D SSL -D SSL_DEFAULT_VHOST -D PHP5 -D PYTHON -D SVN -D DAV -D PERL"

/etc/init.d/apache2 restart

Sedaj instaliramo se websvn:
emerge -av websvn

In v konfiguracijski fajl dodamo SVN repozitorij, ki ga bomo kasneje kreirali…

vi /var/www/localhost/htdocs/websvn/include/config.php
dodamo / spremenimo vrstico
$config->addRepository('ime_repozitorija', 'file:///var/rancid/CVS');

Konfiguracija

V kolikor ste sledili guideu iz Gentoo wikija moramo popraviti nekaj stvari, da nam bo rancid deloval s SVN sistemom…

Najprej uredimo rancid konfiguracijo in povemo, naj uporabi SVN namesto CVS:
vi /etc/rancid/rancid.conf

RCSSYS=svn; export RCSSYS
FILTER_PWDS=NO; export FILTER_PWDS
NOCOMMSTR=NO; export NOCOMMSTR
LIST_OF_GROUPS="Networking"


Ce ste med instalacijo ze zagnali ./rancid-cvs, potem morate stare konfiguracije pobrisati, saj uporabljajo CVS repozitorije in kreirati nove za SVN…


rm -fr /var/rancid/*
su rancid
./usr/rancid/bin/rancid-cvs


Test-start

V kolikor je slo tole cez brez napak lahko rocno zazenemo rancid in naredimo troubleshooting:

su rancid
/usr/rancid/bin/rancid-run

Pomembno je, da vse stvari delamo kot user rancid, drugace imamo lahko tezave s pravicami (to je tudi dober hint za troubleshooting -> priporocam tudi chown -R rancid:rancid /var/rancid/ ko koncate s konfiguriranjem).

V /var/rancid/logs se shranjujejo logi, tukaj se zacne troubleshooting. Ce je vse ok boste lahko v direktoriju var/rancid/Networking/configs videli konfiguracije naprav. Ce dela tudi websvn lahko preverite na websvn direktoriju vasega streznika (v primeru localhosta na http://localhost/websvn/). Naprave pa se bodo preverjale tako pogosto, kot je to specificirano v crontabu (crontab -l -u rancid).

Koncni izdelek

Na prvi strani vidimo routerje, ki so na voljo in klik na njih nam pokaze trenutno konfiguracijo. Na levi vidimo, kateri fajli so se spremenili v tem revisionu:

Tako izgleda trenutna konfiguracija izbranega routerja:

Pa se razlika dveh verzij:

In pa log sprememb za par verzij nazaj:

skratka zna biti kar precej uporabno. Mozno je, da sem kaj spustil, feedback zazeljen. ce se se kaj spomnim bom dopolnil.

lpm

Primer:

router(config)#exit
router#krn
Apr 28 10:41:39: %SYS-5-CONFIG_I: Configured from console by mihap onvty0 (10.0.0.1)eki


Pozorni bodite na moj input krneki – prvi del je na zacetku vrstice, potem se vrine syslog sporocilo in input se nadaljuje za tem, ne da bi dodal novo vrstico… Skratka annoying.

tega se znebimo s pomocjo logging synchronous komande, na primer na vty dostopu…


router(config)#line vty 0 4
router(config-line)#logging synchronous

Sedaj izgleda ista stvar takole takole:

router(config)#exit
router1#krn
Apr 28 10:40:30: %SYS-5-CONFIG_I: Configured from console by mihap onvty0 (10.0.0.1)
router#krneki

lpm

Konfiguracija streznika je izredno preprosta.
Izbral sem atftp streznik (advanced tftp), ker z njim lahko kreiramo fajle (z ostalimi implementacijami sem imel tezave pri tem).

Najprej torej instaliramo streznik:
emerge -av atftp

potem spremenimo folder, kamor naj se fajli shranjujejo, config se nahaja v /etc/conf.d/atftp. Dobro je nastaviti tudi IP, na katerem streznik poslusa ter logfile za debugging tezav:
# Config file for tftp server
TFTPD_ROOT="/var/www/localhost/htdocs/tftpdroot"
TFTPD_OPTS="--daemon --user nobody --group nobody --bind-address 10.0.0.1 --logfile /var/log/atftpd.log"

Jaz sem si izbral kar direktorij na strezniku, da lahko delam upload fileov preko ftpja v ta direktorij, izbira je poljubna.

Popravimo pravice za root direktorij za tftp streznik ter kreiramo log file:
chown nobody:nobody /var/www/localhost/htdocs/tftpdroot
touch /var/log/atftpd.log
chown nobody:nobody /var/log/atftpd.log"

Se zazenemo streznik in smo gotovi (lahko ga dodamo tudi da se zazene ob startu sistema):
/etc/init.d/atftp start
rc-update add atftp default


Se en test: nalogiramo se na kaksen Cisco router in preverimo ce dela npr backup trenutno aktivne konfiguracije:
router#copy run tftp
Address or name of remote host []? 10.0.0.1
Destination filename [router-confg]? router-config-2008042001
!!!!
10460 bytes copied in 0.780 secs (13410 bytes/sec)
router#


to je to. Dobro je dvigniti tudi kaksen ftp z GUIjem ali pa npr Ajax file management, preko katerega lahko uploadamo in downloadamo IOS, konfiguracije itd. Ko se mi bo dalo sledi se avtomatski backup z rancidom.

lpm

Torej nam ni potrebno konfigurirati dostopa na vsakem routerju posebej, ampak samo vklopimo tacacs+ podporo in smo ready to go! Poleg tega pa imamo na strezniku tudi kompleten log file vseh dostopov, avtentikacij in komand, ki jih je kaksen uporabnik naredil na posamezni napravi. Pravice pa kot omenjeno lahko delamo per-user ali per-group – npr nadzorni center lahko izvede samo show komande, medtem ko administratorji lahko uporabljajo vse komande.

Tale guide je sicer Gentoo-oriented, vendar je sama konfiguracija streznika ter routerjev enaka tudi za druge distribucije…

1. Instalacija streznika

Na Gentooju je instalacija straigh-forward, samo emergamo tac_plus:
emerge -av tac-plus

2. Konfiguracija streznika in uporabnikov

Za tale primer bomo naredili samo preprosto osnovno konfiguracijo, skupine uporabnikov in dostope si kasneje skreirajte sami… Za vec nastavitev si oglejte man tac_plus.conf.
Naredili bomo 2 uporabnika (admina ter limited userja, ki bo lahko izvedel samo "show ip *" ter "show interface *") ter dovolili dostop do streznika samo iz enega routerja…

vi /etc/tac_plus/tac_plus.conf

user = admin {
default service = permit
login = des F2Dk.dHKwPLDg
}

user = user {
default service = deny
login = cleartext user
cmd = show
{
permit ip
permit interface
deny .*
}
}

Dodamo se IP routerja ter geslo za dostop:
host = 10.0.0.10 {
key = gremonapivo
}

Kriptirana gesla kreiramo s komando tac_pwd:
server tac_plus # tac_pwd
Password to be encrypted: encrypt_this
F2Dk.dHKwPLDg
server tac_plus #

3. Zagon streznika

Streznik zazenemo na standarden nacin:
/etc/init.d/tac_plus start
Lahko ga seveda tudi zazenemo ob zagonu sistema – dodamo v default runlevel:
rc-update add tac_plus default

4. Troubleshooting

Za troubleshooting gledamo log fajle:
tail -f /var/log/tac_plus.*

tac_plus.log je log streznika,
tac_plus.auth je avtorizacijski log – tukaj vidimo kdo je kdaj, iz kje izvedel katero komando :
Fri Mar 28 13:49:58 2008 10.0.0.10 admin tty131 10.0.0.14 stop task_id=4 timezone=UTC service=shell priv-lvl=15 cmd=show running-config
torej: uporabnik admin je iz IPja 10.0.0.14 ob 13:49:58 dne 28.03.2008 na routerju 10.0.0.10 izvedel komando "show running-config".

5. Konfiguracija Cisco naprav

Seveda moramo pred vsem tem še skonfigurirati Cisco naprave, da se bodo avtenticirale preko TACACS+ streznika… Vec TACACS+ primerov lahko najdete na http://www.cisco.com/en/US/tech/tk583/tk642/tsd_technology_support_sub-protocol_home.html

Konfiguracija je sledeca:

-Avtentikacija
Default avtentikacija naj bo preko tacacs+ streznika:
aaa new-model
aaa authentication login default group tacacs+ enable
aaa authentication enable default group tacacs+ enable

-Avtorizacija
Dovoljene komande za uporabnike so definirane na tacacs strezniku:
aaa authorization network default group tacacs+
aaa authorization commands 1 tacacs+ if-authenticated
aaa authorization commands 15 tacacs+ if-authenticated
aaa authorization network tacacs+
V kolikor streznik ni dostopen lahko dovolimo izvedbo vseh komand z lokalnim userjem, da si ne odrezemo dostopa:
aaa authorization exec default group tacacs+

-Accounting
Da vidimo katere komande je kateri uporabnik izvajal vklopimo accounting:
aaa accounting exec start-stop tacacs+
aaa accounting commands 1 start-stop tacacs+
aaa accounting commands 15 start-stop tacacs+
aaa accounting network start-stop tacacs+
aaa accounting system start-stop tacacs+

- steznik
Na koncu se definiramo streznik ter geslo za dostop:
tacacs-server host 10.0.0.11
tacacs-server key gremonapivo

V kolikor je vse ok bi se sedaj morali uspesno avtenticirati preko tacacs+ streznika.

lpm

p.s.:
s sledeco komando lahko preverimo, katere komande je izvedel uporabnik (npr rancid):
cat /var/log/tac_plus.acct | grep rancid | cut -f 10
output:
cmd=terminal length 0
cmd=show version
cmd=show environment all
cmd=show flash:
cmd=dir /all nvram:startup-config nvram:private-config nvram:ifIndex-table
cmd=dir /all
cmd=dir /all
cmd=show controllers
cmd=show diag
cmd=show vlans
cmd=show debugging
cmd=show running-config
cmd=write terminal
disc-cause-ext=1020

Torej, ce je v konfiguraciji npr:

enable password 7 095C4F1A0A1218000F
................
username user password 7 12090404011C03162E

lahko geslo dobimo ven na preprost nacin – gremo na:
http://www.ifm.net.nz/cookbooks/passwordcracker.html in vpisemo kvako v okno in dobimo plain text geslo…

lpm