Восстановление утерянного или забытого пароля Cisco 3550

Настройки по умолчанию коммутатора Catalyst 3550 позволяют пользователю, имеющему физический доступ к коммутатору восстановить забытый пароль путём прерывания процесса загрузки во время включения и ввода нового пароля

Примечание: В коммутаторах Catalyst 3550 Fast Ethernet системный администратор может запретить некоторые функции этой процедуры, позволяя пользователю сбросить пароль только вернувшись к конфигурации по умолчанию. Если вы как пользователь пытаетесь сбросить пароль на коммутаторе Catalyst 3550 Fast Ethernet и восстановление пароля было отключено, то будет выдано соответствующее сообщение.

Следуйте следующим инструкциям, если вы забыли или потеряли пароль от коммутатора.

Шаг 1 Подключите терминал или персональный компьютер с программным терминалом консольному порту коммутатора.

Шаг 2 Установите скорость порта в терминале на 9600 бод.

Шаг 3 Отключите кабель питания коммутатора

Шаг 4 Нажмите кнопку Mode, и не отпуская её подключите кабель питания к коммутатору.

Вы можете отпустить кнопку Mode через секунду или две после того индикатор над портом 1X погаснет. В терминале появится несколько строк с информацией о программном обеспечении и инструкции, информирующими вас включена процедура восстановления пароля или нет.

Если вы увидите сообщение, которое начинается с этого:

The system has been interrupted prior to initializing the flash file system.

перейдите к разделу “Восстановление пароля Восстановление пароля разрешено” и следуйте инструкциям.

Если вы увидите сообщение, которое начинается с этого:

The password-recovery mechanism has been triggered, but is currently disabled.

Переходите к разделу “Восстановление пароля Восстановление пароля запрещено” и следуйте инструкциям.

Восстановление пароля Восстановление пароля разрешено

Если включен механизм восстановления пароля, появится это сообщение:

The system has been interrupted prior to initializing the flash file
system. The following commands will initialize the flash file system,
and finish loading the operating system software:
flash_init
load_helper
boot

Шаг 1 Инициализзируйте файловую систему на флеш накопителе:

switch: flash_init

Шаг 2 Если вы установили скорость порта в терминальной программе отличную от 9600, измените скорость порта на указанную скорость

Шаг 3 Загрузите любые вспомогательные файлы:

switch: load_helper

Шаг 4 Отображение содержимого флэш-накопителя:

switch: dir flash:

Отобразится файловая система коммутатора

Directory of flash:
   13  drwx         192   Mar 01 1993 22:30:48  c3550-i5q3l2-mz-121-0.0.53
   11  -rwx        5825   Mar 01 1993 22:31:59  config.text
   17  -rwx          27   Mar 01 1993 22:30:57  env_vars
    5  -rwx          90   Mar 01 1993 22:30:57  system_env_vars
   18  -rwx         720   Mar 01 1993 02:21:30  vlan.dat
16128000 bytes total (10003456 bytes free)

Шаг 5 Переименуйте файл конфигурации в config.text.old.

В этом файле записан пароль

switch: rename flash:config.text flash:config.text.old

Шаг 6 Загрузите систему

switch: boot

Вам будет предложено запустить программу установки.

Введите N в командной строке:

Continue with the configuration dialog? [yes/no]: N

Шаг 7 Войдите на коммутаторе в режим EXEC

Switch> enable

Шаг 8 Переименуйте файл конфигурации в его первоначальное имя:

Switch# rename flash:config.text.old flash:config.text

Шаг 9 Скопируйте файл конфигурации в память:

Switch# copy flash:config.text system:running-config
Source filename [config.text]?
Destination filename [running-config]?

Нажмите “Enter” в ответ на подтверждение на экране.

Файл конфигурации теперь перезагружен и вы можете изменить пароль.

Шаг 10 Введите режим глобальной конфигурации:

Switch# configure terminal

Шаг 11 Изменение пароля:

Switch (config)# enable secret password

Пароль может быть от 1 до 25 буквенно-цифровых символов, может начинаться с цифры, учитывает регистр, и использовать пробелы, но игнорирует пробелы в начале и в конце.

Шаг 12 Вернитесь в привилегированный режим EXEC:

Switch (config)# exit
Switch#

Шаг 13 Запишите запущенную конфигурацию в конфигурацию для запуска:

Switch# copy running-config startup-config

Новый пароль находится сейчас в конфигурации для запуска.

Данная процедура может оставить переключатель виртуальный интерфейс в состояние останова. Вы можете увидеть, какой интерфейс находится в этом состоянии, введя шоу обкатки конфигурации привилегированных команд EXEC. Чтобы снова включить интерфейс, введите интерфейс VLAN VLAN-ID глобальной команды конфигурации, а также указать идентификатор сети VLAN о закрытии интерфейса. С переходом в режим настройки интерфейса, введите команда отбоя нет.

Восстановление пароля Восстановление пароля запрещено

Если механизм восстановления пароля отключен, то появляется следующее сообщение:

The password-recovery mechanism has been triggered, but is currently disabled.
Access to the boot loader prompt through the password-recovery mechanism
is disallowed at this point.  However, if you agree to let the system be reset
back to the default system configuration, access to the boot loader prompt
can still be allowed.
Would you like to reset the system back to the default configuration (y/n)?

Внимание Возврат к конфигурации по умолчанию приводит к потере всех существующих конфигураций. Мы рекомендуем вам обратиться к своему системному администратору, чтобы проверить, если имеется резервная копия настроек коммутатора и файлов конфигурации VLAN.

• Если вы вводите N (нет), продолжается нормальный процесс загрузки, как если бы кнопка Mode не была нажата, вы не можете получить доступ к строке загрузчика, и вы не можете ввести новый пароль. Вы увидите сообщение:

Press Enter to continue........

• Если ввести Y (да), удаляются файл конфигурации на флэш-памяти и базы данных VLAN. Когда загрузится конфигурацию по умолчанию, вы можете сбросить пароль.

Шаг 1 Выберите «продолжить восстановление пароля и потерять существующую конфигурацию»:

Would you like to reset the system back to the default configuration (y/n)? Y 

Шаг 2 Загрузите вспомогательные файлы:

Switch: load_helper

Шаг 3 Просмотрите содержимое флэш-памяти:

Directory of flash:
   13  drwx         192   Mar 01 1993 22:30:48  c3550-i5q3l2-mz-121-0.0.53
   17  -rwx          27   Mar 01 1993 22:30:57  env_vars
    5  -rwx          90   Mar 01 1993 22:30:57  system_env_vars
16128000 bytes total (10003456 bytes free)

Шаг 4 Загрузка системы:

Switch: boot

Вам будет предложено запустить программу установки. Чтобы продолжить восстановление пароля, введите N в командной строке:

Continue with the configuration dialog? [yes/no]: N

Шаг 5 В коммандной строке коммутатора войдите в привилегированный режиме EXEC:

Switch> enable

Шаг 6 Войдите в режим глобальной конфигурации:

Switch# configure terminal

Шаг 7 Измените парол:

Switch (config)# enable secret password

Пароль может быть от 1 до 25 буквенно-цифровых символов, может начинаться с цифры, учитывает регистр, и использовать пробелы, но игнорирует пробелы в начале и в конце.

Шаг 8 Вернитесь в привилегированный режим EXEC:

Switch (config)# exit
Switch#

Шаг 9 Запишите запущенную конфигурацию в конфигурацию для запуска:

Switch# copy running-config startup-config

Новый пароль находится сейчас в конфигурации для запуска.

Данная процедура может оставить виртуальные интерфейсы в состояние останова. Вы можете увидеть, какой интерфейс находится в этом состоянии, введя sh run в режиме привилегированных команд EXEC. Чтобы снова включить интерфейс, введите interface vlan vlan-id в режиме глобальной конфигурации, а также укажите VLAN ID остановленного интерфейса. С переходом в режим настройки интерфейса, введите команду no shutdown.
Шаг 10 Теперь необходимо перенастроить коммутатор. Если системный администратор сделал резервную копию конфигурации коммутатора и базы VLAN, нужно использовать их.

ip nat inside source static tcp 192.168.1.2 80 а.а.а.а 80 extendable

Принудительно заруливает трафик от 192.168.0.136 по 3389 в NAT. А если от маршрутизатора прокинуты ещё и ipsec туннели, то надо пользоваться чем то вроде такого:

ip nat inside source static tcp 192.168.1.2 80 а.а.а.а 80 route-map nonat-map

Взято от сюда

Ну и как удалить статический нат

phbrtr(config)#no ip nat source static tcp 192.168.0.1 25 interface FastEthernet1/0 25
%Static entry in use, cannot remove

phbrtr(config)#interface FastEthernet0/0
phbrtr(config-if)#no ip nat inside
phbrtr(config-if)#exit

phbrtr(config)#interface FastEthernet1/0
phbrtr(config-if)#no ip nat outside
phbrtr(config-if)#exit

phbrtr(config)#do clear ip nat translation *
phbrtr(config)#no ip nat source static tcp 192.168.0.1 25 interface FastEthernet1/0 25

phbrtr(config)#interface FastEthernet0
phbrtr(config-if)#ip nat inside
phbrtr(config-if)#exit

phbrtr(config)#interface FastEthernet1/0
phbrtr(config-if)#ip nat outside
phbrtr(config-if)#exit

А это от сюда.

Дальше идут скучные технические подробности

В общем, в новых Виндах, и в семёрке и в 2008 что то накручено с NTLM. В Vista может быть тоже, но я пока не проверял. Решается следующим образом:

На виндовой машине лезем в реестр, Ищем там HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, создаём там новый параметр под названием LmCompatibilityLevel типа DWORD и присваиваем ему значение “1″. После чего перегружаемся.

Более подробно про значения этого параметра, отвечающего за тип NTLM авторизации можно почитать в статье на Технете Microsoft.

Внимание! Считается, что все необходимые компоненты уже установлены.

# apt-build source freeradius
# cd /var/cache/apt-build/build/freeradius-2.0.4+fdsg/debian

Правим там файл rules

# vi rules

Ищем строку ./configure $(confflags) и после неё смотрим что там включено, а что выключено. Нам нужны следующие флаги:

--without-rlm_eap_tls \
--without-rlm_eap_ttls \
--without-rlm_eap_peap \
--without-openssl \

Меняем в них without на with

--with-rlm_eap_tls \
--with-rlm_eap_ttls \
--with-rlm_eap_peap \
--with-openssl \

После чего ищем вот это

for pkg in ${pkgs} ; do \
if dh_shlibdeps -p $$pkg -- -O 2>/dev/null | grep -q libssl; then \
echo "$$pkg links to openssl" ;\
exit 1 ;\
fi ;\
done

И закрываем комментариями или удаляем. Если этого не сделать, то компиляция будет выпадать с сообщением об ошибке.
С rules всё.
Лезем в файл control в том же каталоге и в строчку Build-Depends в самом конце дописываем “, libssl-dev” (естественно, без кавычек)
Всё. Можно компилировать

# cd ..
# dpkg-buildpackage -rfakeroot

После успешной компиляции в /var/cache/apt-build/build появятся следующие пакеты (в зависимости от выбранных фагов компиляции)

freeradius_2.0.4+dfsg-6_i386.deb
freeradius-dialupadmin_2.0.4+dfsg-6_all.deb
freeradius-ldap_2.0.4+dfsg-6_i386.deb
freeradius-utils_2.0.4+dfsg-6_i386.deb
freeradius-common_2.0.4+dfsg-6_all.deb
freeradius-iodbc_2.0.4+dfsg-6_i386.deb
freeradius-mysql_2.0.4+dfsg-6_i386.deb
libfreeradius2_2.0.4+dfsg-6_i386.deb
freeradius-dbg_2.0.4+dfsg-6_i386.deb
freeradius-krb5_2.0.4+dfsg-6_i386.deb
freeradius-postgresql_2.0.4+dfsg-6_i386.deb
libfreeradius-dev_2.0.4+dfsg-6_i386.deb

В общем то, нас интересует только freeradius_2.0.4+dfsg-6_i386.deb
Его то и ставим

# dpkg -i --force-all freeradius_2.0.4+dfsg-6_i386.deb

Вроде всё.

Но тут началось малопонятное. Если обратиться к этому скрипту из Internet Explorer 7 то он спрашивает логин и пароль, потом что делать с файлом, а потом, если выбрать “Открыть”, то снова запрашивается пароль. Вот второй запрос пароля не понравился заказчику.

Ковыряние в логах показало, что вместо того, чтобы сказыть файл во временную директорию и от туда открыть его в Excel, эта зараза запускала Excel, передав ему в качестве имени открываемого файла ссылку на web-ресурс. А что, 2007-й офис умеет открывать файлы из интернета. А офисный движок опять запрашивал пароль на доступ.

Кафедра экономики

Вылечилось это добавлением нескольких строк в описание директории

 ScriptAlias /dir/ /usr/local/dir/
 <Directory "/usr/local/dir">
 <Limit GET POST>
  Order allow,deny
  Allow from all
 </Limit>
 <LimitExcept GET POST>
  Order deny,allow
  Deny from all
 </LimitExcept>
 AuthType .htaccess
AllowOverride Authconfig
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

Потому как офис генерит не GET или POST запрос, а OPTIONS и HEAD

В результате офисный движок обламывается скачать файл и просит сделать это IEшку. А там сессия уже открыта.

Астер заявляет, что ему надо /dev/dsp, которого в системе нет. Звуковую карту виртуальная машина не эмулирует (а чего ещё хотеть от сервера?). Я лихорадочно пытаюсь вспомнить как это устройство поставить так, чтобы оно как бы было… Не придумал ни чего лучше, чем сделать симлинк на /dev/tty24.

Заработало…

Записи из livejournal перекинуть в wordpress

Логинимся в ЖЖ и идём на страничку экспорта записей. Там выбираем месяц, записи за который должны быть экспортированы и выбрав формат XML, запускаем экспорт. Если надо выгрузить записи за несколько месяцев, то процедуру придётся повторять несколько раз. В администраторской панели вордпресса идём в Инструменты – Импорт – LiveJournal и скармливаем ему выгруженные из ЖЖ файлы. Всё записи загружены. Для импорта комментариев есть специальный плагин, но он у меня почему то не заработал.

Внимание! Если у вас активирован плагин LiveJournal Crossposter, отключите в нём кросспост, а то он все импортированные записи закинет обратно в ЖЖ.

Кросспост свежих записей из wordpress в LiveJournal

Сам по себе wordpress ни куда кросспостить не умеет. Для кросспоста нужен плугин. Для кросспоста в ЖЖ плугин зовётся LiveJournal Crossposter. Установка и настройка описаны на сайте и труда не представляют – Скачать, Распаковать, Залить на хостинг в wp-content/plugins/ и активировать в разделе плагины админской консоли. Настройка в той же панели в раздели настройки – LiveJournal.

В настройке указываем адресс ЖЖ (на самом деле он умеет кросспостить не персонально в ЖЖ, а в блог на движке ЖЖ), логин, пароль, выбираем рубрики для экспорта, расположение ссылки на первоисточник, ну и ещё чуть чуть для предания глянца. Все настройки просты и понятны.

В общем то всё. На страничке создания и редактирования новой записи появится блок “ЖЖ”. В нём можно устанавливать индивидуальные настройки кросспоста для отдельной записи.

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp

с прописью модулей в /etc/modules

или так (не проверено)

iptables -A INPUT -p tcp -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -o eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -o eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT

eth0 – это вроде как внешний интерфейс.

Способ первый, простой.

Есть URL и к нему надо блокировать доступ.

Заводим acl для этого URL

acl badurl dst www.site.foo

и прописываем для него правило

http_access badurl deny

при попытке обратиться к этому URL пользователь получит сообщение, что доступа туда нет.

Способ второй, простой, но модифицированный.

Неожиданно выясняеться, что сайт откликается не только на www.чего-то-там, но и на кучу дополнительный имён 3-го уровня, например те же одноклассники.ru доступны по именам wg##.odnoklassniki.ru и их тоже не грех бы заблокировать. Создаём модифицированный acl

acl badurl url_regex ^http://.*\.odnoklassniki\.ru

то есть применяем регулярное выражение, под которое попадают все URL заканчивающиеся на odnoklassniki.ru

Способ третий, многоURLный

Для каждого URL, к которому надо блокировать доступ можно создать отдельное правило. Но когда их станет много, то можно их переписать в отдельный файл и отдавать их в squid списком.

acl badurl dst “/etc/squid/badurls”

в файле переписываем све URL, к которым мы блокируем доступ.

vi /etc/squid/badurls

www.odnoklassniri.ru
www.porno.com
www.vkontakte.ru

EOF

точно так же для ргулярных выражений

acl badurl url_regex “/etc/squid/badurls”

vi /etc/squid/badurls

^http://.*\.odnoklassniri\.ru
porno
^http://.*\vkontakte\.ru

EOF

Способ четвёртый, самый весёлый

Не прописываем ни каких acl, а ставим программу редиректа, то есть перенаправления с одного URL на другой. Тут можно использовать squidguard или squid_redirect, прицепить к ним готовые банлисты и какое то время радоваться жизни.

Для чего это надо? Рано или поздно начинаешь понимать, что отдавать на растерзание пользователям весь канал в интернет становится нецелесообразным. Кроме просмотра разных сайтов и скачивания всякой гадости хотелось бы оставить часть канала для чего то более полезного. Для этого в squid есть пулы задержки.

Работают они очень просто – если пользователь попадает в один из пулов задержки, то для него скорость скачивания контента ограничивается в соотвествиии с настройками пула.

Вот что пишут знающие люди в squid howto на NC LUG

#Ограничение трафика
delay_pools 3 #Выделяем 3 пула задержки

delay_class 1 2 #Пул класса 2
delay_class 2 3 #Пул класса 3
delay_class 3 2 #Пул класса 2

Классы пулов задержки:
Класс 1 – одна часть пула на всех из этого класса
Класс 2 – одна общая часть пула и 255 отдельных для каждого хоста из C-сетки
Класс 3 – 255 частей для каждой сетки (класс B) и отдельная для каждого хоста

Формат строки параметрой пула:
delay_parameters [номер пула] [all_downl/all_size] [net_downl/net_size] [one_downl/one_size]
all – на всех
net – на подсеть
one – на отдельный адрес
downl – скорость заполнения части (байт/сек)
size – объем части пула (байт)

Для пула класса 1 используется только all
Для пула класса 2 используется all и net
Для пула класса 3 используется all, net и one

delay_access 1 allow server #Разрешаем серверу ходить через 1-й пул
delay_access 1 deny all #Остальным запрещаем
delay_parameters 1 -1/-1 -1/-1 #Параметры 1-го пула – без ограничений

delay_access 2 allow zal #Разрешаем комп. классу ходить через 2-й пул
delay_access 2 deny all #Остальным запрещаем
delay_parameters 2 8000/8000 8000/8000 4000/4000 #Параметры 2-го пула: канал на все и сеть – 8 кбсек(64 кбитсек) и на каждую машину не более 4 кбсек

delay_access 2 allow bibl #Разрешаем библиотеке ходить через 3-й пул
delay_access 3 deny all #Остальным запрещаем
delay_parameters 3 6000/6000 -1/-1 #Параметры 3-го пула: канал на все – 6 кбсек(56 кбитсек), а как они его поделят – не наши проблемы ;)

Примерно то же самое написано в комментариях к тэгам в squid.conf и в 19-м разделе FAQ по squid в /usr/share/doc/squid. Но там на английском языке.

Пара слов вот об этом: size – объем части пула (байт).

Если я правильно понял, то этот параметр указывает на то, с какого объёма скачанного файла включать ограничения по скорости. Для чего это надо. При обычном сёрфе по сети пользователь качает странички и небольшие картинки, а особо наглые просматривают картинки в высоких разрешениях, ролики с видеохостингов и качают музыку или киношки. Оно надо? Нет. Пулы срабатывают на вот таких наглецов. не надо грузить сеть паразитным трафиком.

И ещё, для delay_access надо прописать ACL со списками кого куда кидаем

Типа,

acl all src 10.1.0.0/16
acl bibl src “/etc/squid/bibl”

ну и так далее…

примерно так.