Komunikace ebe

Z KHnetWiki

Přejít na: navigace, hledání

Zveřejňuji plnou komunikaci s firmou ebe.cz, neboť mi zdvihli mandle. Naschvál mi někdo dokažte to, co tvrdí jejich it manager. S formátováním jsem si moc nehrál, vše je copy&paste, pouze jsem smazal podpisy.

L = ludva
P = podpora ebe
I = IT manager

Obsah

L: první email

Dobrý den,

Problém je tento. Naše síť (přes 2200 členů) v nedávné době přešla na nové IP adresy z rozsahu 109.73.208/20 a z nejsou dostupné vaše weby - www.statnisprava.cz, www.ebe.cz ani www.statnasprava.sk. Ze starých, na některých našich serverech ještě funkčních ip adres funguje správně (např. 88.146.241.1).

Routing obou našich rozsahů pro nás dělá firma Sloane Park, je to stejná síť i pro nás.

Na ping vaše servery nereagují z žádného segmentu, ukázka traceroute:

Ze starých adres:

4  fe0-1-s148.bb1.pop1.pot.sloane.cz (213.192.2.157)  1.092 ms  1.001 ms  1.333 ms
5  v138.bb1.pop1.sve.sloane.cz (213.192.5.49)  3.238 ms  2.889 ms  2.942 ms
6  v102.tr2.pop1.pra.sloane.cz (62.240.161.197)  2.992 ms  3.073 ms  3.215 ms
7  nix-pv.pater.iol.cz (194.50.100.160)  4.213 ms  3.894 ms  3.863 ms
8  194.228.190.170 (194.228.190.170)  3.986 ms  4.058 ms  3.745 ms
9  80.188.33.237 (80.188.33.237)  3.788 ms  4.277 ms  3.618 ms
10  194.228.77.242 (194.228.77.242)  3.678 ms  4.645 ms  3.868 ms
11  80.188.59.149 (80.188.59.149)  7.398 ms  7.525 ms  7.369 ms
12  ns.i-server.cz (194.228.240.146)  7.390 ms  6.496 ms  7.148 ms
13  * * *

Z nových adres:

 4     1 ms     1 ms     1 ms  fe0-1-s148.bb1.pop1.pot.sloane.cz [213.192.2.157]
 5     3 ms     3 ms     3 ms  v138.bb1.pop1.sve.sloane.cz [213.192.5.49]
 6     2 ms     2 ms     2 ms  v102.tr2.pop1.pra.sloane.cz [62.240.161.197]
 7     3 ms     3 ms     3 ms  nix-pv.pater.iol.cz [194.50.100.160]
 8     4 ms     4 ms     5 ms  194.228.190.170
 9     4 ms     4 ms     5 ms  80.188.33.237
10     4 ms     4 ms     4 ms  194.228.77.242
11     7 ms     6 ms     7 ms  80.188.59.149
12    31 ms     8 ms     8 ms  ns.i-server.cz [194.228.240.146]
13     *        *        *     Vypršel časový limit žádosti.

Varianta tcptraceroute dává stejné výsledky, pouze s tím rozdílem, že hop 13 je už váš server 194.228.240.158. Samozřejmě pouze z našich starých adres, z nových to končí stejně ... timeoutem.

Domnívám se, že máte ve firewallu na serverech neaktuální bogon list, viz http://www.cymru.com/Documents/bogon-list.html

Segment 109/8 byl uvolněn pro RIPE v lednu 2009 a v říjnu jsme ho dostali od RIPE my. Některé servery (cizí, ne vaše) blokovali dokonce celý 96/4.

Pro testy (ping, trace, web) můžete použít jak starou ip 88.146.241.1, tak jednu z nových - 109.73.218.132. Traceroute bude asi vypadat divně, je tam NAT, ale pro toto to stačit bude.

Prosím o kontrolu všech vašich serverů na zmíněný problém. Případně předání odpovědné osobě.

P: 9.12. 9:19

Ještě Vás prosím o upřesnění, zda nelze zobrazit celá stránka nebo pouze data. A zda máte dostupnou stránku www.ebe.sk.
Děkuji za odpověď.

S pozdravem

L: 9.12. 9:30

Dobrý den,

Nechápu moc, co tím dotazem myslíte. Nejde nic, moje pakety k vám ani nedorazí, tedy se mi od vás ani nic nevrátí. A veškerou diagnostiku mi stěžuje zákaz pingu a traceroutu na vašich serverech.

Ebe.sk je úplně stejné. Z našich starých adres to jde, z nových ne. Což je vcelku logické, neboť to jde evidentně přes stejný router a ten nás zablokuje.

Traceroute ze starých:

4  fe0-1-s148.bb1.pop1.pot.sloane.cz (213.192.2.157)  1.454 ms  1.293 ms  1.410 ms
5  v116.bb1.pop1.hk.sloane.cz (62.240.161.134)  2.246 ms  2.240 ms  1.873 ms
6  v102.tr2.pop1.pra.sloane.cz (62.240.161.197)  3.804 ms  3.906 ms  4.274 ms
7  nix-pv.pater.iol.cz (194.50.100.160)  4.606 ms  5.017 ms  4.481 ms
8  194.228.190.170 (194.228.190.170)  4.731 ms  4.767 ms  4.829 ms
9  80.188.33.237 (80.188.33.237)  4.368 ms  4.720 ms  4.667 ms
10  194.228.77.242 (194.228.77.242)  4.705 ms  4.726 ms  4.838 ms
11  80.188.59.149 (80.188.59.149)  8.505 ms  10.718 ms  8.488 ms
12  ns.i-server.cz (194.228.240.146)  8.008 ms  7.823 ms  11.003 ms
13  * * *

Z nových

 4     1 ms     1 ms     2 ms  fe0-1-s148.bb1.pop1.pot.sloane.cz [213.192.2.157]
 5     3 ms     3 ms     3 ms  v138.bb1.pop1.sve.sloane.cz [213.192.5.49]
 6     3 ms     2 ms     2 ms  v102.tr2.pop1.pra.sloane.cz [62.240.161.197]
 7     3 ms     3 ms     3 ms  nix-pv.pater.iol.cz [194.50.100.160]
 8     4 ms     4 ms     4 ms  194.228.190.170
 9     4 ms     4 ms     5 ms  80.188.33.237
10     5 ms     4 ms     4 ms  194.228.77.242
11     7 ms     6 ms    10 ms  80.188.59.149
12     8 ms     8 ms     8 ms  ns.i-server.cz [194.228.240.146]
13     *        *        *     Vypršel časový limit žádosti.

P: 9.12. 9:34

Vážený pane Svobodo,

z naší strany nedochází k blokaci žádné níže zmíněné IP adresy. Zašlete nám tedy přesné IP, se kterými máte problém.
Jen pro Vaši informaci Bogon list nevyužíváme.

S pozdravem

L: 9.12. 9:42

Přesná IP byla zmíněná v tom emailu. Nejde totiž o IP, ale o celý segment 109.73.208/20 a se vší pravděpodobností dokonce spíš o 109/8 nebo 96/4.

Nějaké blokace prostě používat musíte, já už vám nejsem schopný říct, jestli na routeru, na firewallu těch webových serverů, nebo kdekoliv po cestě. Nejste první ani zjevně poslední. A dokonce ani nejste první, kteří tvrdí, že nic takového nemají ... aby to následně na to našli a opravili. http://wiki.khnet.info/index.php/Problematicke_weby

Možná to blokuje váš poskytovatel ... těžko říct. Ale poslední router co reaguje je váš, ns.i-server.cz. Jsem si tedy na 99% jistý, že je to opravdu váš problém. A neměli byste tento problém jen tak smést ze stolu, když se web jmenuje statnisprava.cz ...

Pro vaše lepší hledání jsem pustil ping na 194.228.240.154 z IP 109.73.208.2

P: 9.12. 11:02

Vážený pane Svobodo,

rozsah 109/8 již není blokován a připojuje se, jako běžný uživatel.
Jestli-že bude na danném Vámi uvedeném rozsahu zjištěna jakákoliv nelegální činnost (SPAM, vytěžování serverů),rozsah IP adres bude opět odpojen. Tento rozsah v minulosti sloužil pro nelegální činnost.

V případě dalších informací nás kontaktujte na info@ebe.cz.

L: 9.12. 11:18

Ano, funguje. Děkuji.

Náš rozsah nemohl sloužit nelegální činnosti, neboť jsme jeho první vlastníci. Jsme členy RIPE NCC. A fyzicky ho používáme teprve od poloviny listopadu (a RIPE ho používá od ledna). Těmto blokacím se říká právě bogon list ... a ve firewallech je to opravdu proto, že to lze zneužít. Říká se tomu spoofing. A není úplně od věci nepřidělené rozsahy blokovat, sám jsem si všiml, že občas něco přijde ze sítě 50/8, která je ale stále ve vlastnictví IANA, tedy nepřidělená ani na kontinenty a ani se nevyskytuje v routovacích tabulkách (nesmí). Jenže ty rozsahy musí ve firewallech někdo udržovat. Tímto stylem zablokujete čtvrtinu světového internetu. Třeba já si ty seznamy stahuji každý týden.

RIPE přiděluje ip adresy většinou po blokách /20 (a větších, samozřejmě), tedy je vysoce pravděpodobné, že blokací 109/8 jste odřízli možná až 4 tisíce organizací po celé evropě ... z toho minimálně tři z čech, jak jsem si všiml (včetně nás).

A i kdyby sloužil k nelegální činnosti, tak přeci nemůžete bloknout celý segment. To je dost neprofesionální, neseriózní a přehnané. Blokuje se daná IP adresa a posílá se informace vlastníkovi segmentu ... Tak to dělají ostatní.

S pozdravem

I: 9.12. 12:37

Dobrý den,
žádám od vás vysvětlení ohledně vámi uveřejněných příspěvků na stránce http://wiki.khnet.info/index.php/Problematicke_weby. Opravdu nesouhlasim s vaším pokrouceným záznamem. V žádném z našich mailů jsme neříkaly, že nijak neblokujeme IP !! Laskavě si přečtěte pořádně co jsme vám napsali. Zaroveň netuším co je na vypínání určitého rozsahu pro vás usměvavé, kdyby jste se věnovat trosku více sítím a mě jste nějakou větší databázi tak pochopíte. Nechceme aby jste kdekoli uveřejňoval naší komunikaci ani na vašich stránkách !!

Děkuji a přeji hezký den.

L: 9.12. 13:04

Dobrý den,

Je to ocitované přesné znění emailu z vaší společnosti, beze změny jediné čárky (dokonce ani nechybí nic podstatného, chybí jenom oslovení a podpis). A rozhodně nemám v úmyslu ji vymazat, neuvádím žádná jména, ani adresy. Pokud máte něco proti tomuto znění, musíte také komunikovat tak, aby vám to následně nevadilo. Žádné tajné informace nešířím. Kdyby jste tento problém řešili podobně jako ostatní, tak byste byl určitě rád za kladnou reklamu. Nedivím se, že se vám to teď nelíbí. A možná, že bych to ani nezveřejnil, kdyby jste se na webu tolik nechlubili referencemi, ISO, a tak.

A v jednom předchozím emailu stálo: „z naší strany nedochází k blokaci žádné níže zmíněné IP adresy. Zašlete nám tedy přesné IP, se kterými máte problém. Jen pro vaši informaci Bogon list nevyužíváme.“ To lze přečíst také jinak, než že nic neblokujete? Neřekl bych. Nemluvě o tom, že já mluvil o segmentu, vy o přesné IP … Abych se následně dozvěděl, že jste měli zablokovaný celý 109/8.


A buďte si jistý, že já se sítím věnuji dostatečně dlouho, abych věděl o čem mluvím. Rozhodně nejsem pouhý uživatel, ani patnáctiletý cucák, kterého můžete oblbnout obecnou šablonou emailu. A proto se vaší formulaci směju až se za břicho popadám.

Já se snažil komunikovat dobře, s co nejlepším popisem problému, tak jako s ostatními. Dokonce jsem žádal, aby to bylo předáno někomu kompetentnímu. Pokud to všechno jde přes nějakého prostředníka, který tomu nejspíš nerozumí, je to jenom váš problém.

My jsme občanské sdružení. Mám dokonce povinnost informovat vlastní členy o tom, jak řeším problémy. Už jenom proto, že za ty nefunkčnosti nadávají mě. Ne vám.

S pozdravem

I: 9.12. 13:26

Osobní nástroje