NetzSektor.de - Technik und mehr! Das Netz gehört dir!

17Mai/100

Shell: Firewall Codeschnippi

Damit werden Ports an die VM weitergeleitet!
Dieser Artikel wurde zitiert aus: http://o-o-s.de/?p=715

#!/bin/sh

INTIF="vmnet1" #Internes Interfacew (VMware)

EXTIF="eth0" #Externes Interface (Internet)

echo "Loading required stateful/NAT kernel modules..."

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc

/sbin/modprobe iptable_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_nat_irc

echo "    Enabling IP forwarding..."

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# FWD: Allow all connections OUT and only existing and related ones IN

iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

# Enabling SNAT (MASQUERADE) functionality on $EXTIF

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

iptables --table nat --append POSTROUTING -o vmnet1 -j MASQUERADE

iptables --table nat --append POSTROUTING -o eth0 -j MASQUERADE

iptables -P OUTPUT ACCEPT # output immer annehmen

iptables -P OUTPUT ACCEPT -t nat

# Outgoing

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

# NAT #

#######

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE # was rausgeht wird maskiert

#iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to $INTIP # -> vmnet1

iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 443 -j DNAT --to 192.168.0.210:443

veröffentlicht unter: Codeschnipsel, VMWare keine Kommentare
17Mai/100

VMWare Netzwerkeinstellungen

Ich habe einen guten Fred im ip-forum entdeckt.
Dort steht alles beschrieben und möchte diesen gerne zitieren:
Dieser Artikel stammt von Martin -> aus dem ip-forum.net (super Arbeit!)
Link: http://ip-forum.net/forum/index.php/topic,342.msg1167.html#msg1167

Ein Gast-Betriebssystem unter VMWare auf einem Linux-Server zu betreiben, ist nicht besonders kompliziert, und wenn als Netzwerk-Modell VMWare NAT (vmnet8) gewählt wird, hat das Gast-Betriebssystem sofort freien Internetzugang.

Problematisch wird die Sache, wenn man von außen Zugriff auf bestimmte Gast-Dienste gewähren möchte, also z.B. einen Webserver, VNC oder Remote Desktop betreiben möchte, denn der NAT-Service von VMWare arbeitet wie jede andere Firewall: er blockt alle eingehenden Anfragen.

Die übliche Lösung ist das VMWare Bridging (vmnet0). Betreibt man VMWare auf einem angemieteten Root-Server, scheidet das aus, weil man normalerweise weder ein geeignetes IP-Netz, noch öffentliche IP-Adressen erhält, die nicht bereits auf Netzwerkkarten des Linux-Servers gebunden sind.

Weniger bekannt, aber sehr einfach und elegant ist die Konfiguration des VMWare NAT-Dienstes für Port-Forwarding. Dazu trägt man einfach in der Datei /etc/vmware/vmnet8/nat/nat.conf die gewünschten Port-Weiterleitungen ein. Um beispielsweise den TCP Port 8880 auf Port 80 der virtuellen Maschine umzuleiten, muss hier stehen:

[incomingtcp]
8880 = 192.168.133.128:80

Nach den Einträgen unbedingt
/usr/lib/vmware/net-services.sh restart
ausführen.

Dabei ist 192.168.133.128/24 das private Netz der VM, und 128 immer die erste, per VMWare-DHCP zugewiesene Adresse, bei nur einer Maschine braucht man daher noch nicht mal eine statische IP-Adresse im Gast-OS. Achtung: Diese Einstellungen werden erst bei einem kompletten Restart von VMWare übernommen. Jede Neukonfiguration mit vmware-config.pl löscht diese Einträge wieder!

Das funktioniert prima, hat aber den Nachteil, dass der incoming Traffic unakzeptabel langsam ist. (Auf einem Dual CPU Highend Server war outgoing 100 Mbit/s, aber incoming nur 200 kbit/s erreichbar, getestet mit VMWare Server V.1.0.1) Für den VNC-Zugang ohne Filetransfer oder ein paar interaktive Dienste reicht das aus, aber keinesfalls für mehr.

Bleibt als letzte Möglichkeit der Host-Only-Modus von WMWare, bei dem das gesamte Routing zur virtuellen Maschine manuell über die Linux-Firewall eingerichtet werden muss. Besonders elegant ist diese Lösung nicht, weil diese Linux-Firewall auch gleichzeitig den gesamten anderen Traffic zur Linux-Box beeinträchtigt, aber das ist Geschmackssache.

Unter Suse Linux 10 braucht man sich dafür nicht mit iptables herumzuschlagen, sondern kann alles über YAST an der Firewall einstellen. Zunächst richtet man eine neue Firewall-Schnittstelle mit Namen vmnet1 ein, und ordnet sie der internen Zone zu. (Der Name ist egal, er wird vom Router nicht verwendet). Jetzt kann IP-Masquerading eingeschaltet werden. Hier trägt man dann die forwarding ports ein, unter "Umleiten an IP" mus die IP-Adresse des Gast-Systems stehen, also in obigem Beispiel: 192.168.133.128, sowie der Ziel-Port.

Unter Erlaubte Dienste / Interne Zone kann Firewall vor interner Zone schützen abgewählt werden, wenn man aus dem Gastsystem über alle Ports ins Internet möchte (wer hat bloß diese unsägliche deutsche Übersetzung bei Suse verbrochen!).

Die Port-Weiterleitung funktioniert natürlich nur, wenn die Firewall eingeschaltet wird, dann ist sie allerdings auch auf der externen Zone aktiv, und blockt zunächst auch komplett alle anderen Zugriffe auf Linux. Unter Erlaubte Dienste / Externe Zone müssen daher der DNS, Webserver, FTP, Plesk, die VMWare Console usw. noch freigeschaltet werden.

Das Gastsystem bekommt eine statische IP-Adresse. Wenn für vmnet1 das Class C Netz 172.16.200.0/24 bei der VMWare-Installation eingerichtet wurde, ist einzutragen:

Gast IP-Adresse: 172.16.200.100 (zum Beispiel)
Default Route: 172.16.200.1
DNS Server: 172.16.200.1 (Ja, VMWare macht korrektes DNS-Forwarding! Smiley )

Das Positive an dieser Lösung: Es ist weder eine zweite Netzwerkkarte noch eine zweite IP-Adresse nötig, um beliebige Dienste der virtuellen Maschine von außen zu erreichen, und die Geschwindigkeit ist in jeder Richtung hervorragend.

Dieser Artikel stammt von Martin -> aus dem ip-forum.net (super Arbeit!)
Link: http://ip-forum.net/forum/index.php/topic,342.msg1167.html#msg1167

veröffentlicht unter: Linux, VMWare keine Kommentare
17Mai/100

VmWare Fehlermeldung: Unable to get the last modification timestamp of the destination file

Generating SSL Server Certificate

Unable to get the last modification timestamp of the destination file
/etc/vmware/ssl/rui.key.

Execution aborted.

Lösung:
touch /etc/vmware/ssl/rui.key
touch /etc/vmware/ssl/rui.crt
veröffentlicht unter: Linux, VMWare keine Kommentare
17Mai/100

Einen zweiten Root-User einrichten

Sollte man nicht unbedingt machen.... Es hat schon einen Sinn wenn man nur einen Root-User hat!
useradd -d /root -u 0 -o username

veröffentlicht unter: Linux keine Kommentare
17Mai/100

Dateien von Server zu Server senden

Ein Wort: SCP

scp -P 443 Dateiname.tar benutzer@host:/home/Dateiname.tar
-P ist eine Portangabe -> man kann diese auch weg lassen wenn man den Port 22 nutzt.

veröffentlicht unter: Linux keine Kommentare
7Mai/100

SubVersion auf Linux installieren und einrichten

ACHTUNG - noch nicht fertig!
Wird erneuert!

Wer programmiert sollte jederzeit eine Kopie von seinen Entwicklungen und den Vorgängern haben!
Dazu ist ein SubVersion da!

Installation:
Zuerst Updaten!
apt-get update

Wenn nicht schon vorhanden - einen Apache installieren!
apt-get install apache2

Nun kommt das Subversion inklusive Webpanel dran.
apt-get install subversion libapache2-svn

Nun diese Liste abarbeiten:
mkdir /var/lib/svn
svnadmin create /var/lib/svn
chown -R www-data /var/lib/svn
htpasswd -cm /etc/apache2/dav_svn.passwd testuser
nano /etc/apache2/dav_svn.authz und dort das Eingeben! ->

[/]
* = r
testuser = rw

weiter gehts:
svnserve -d -r /var/lib/svn
In der /etc/apache2/mods-available/dav_svn.conf folgendes hinzufügen.
<Location /svn>
  DAV svn
  SVNPath /var/lib/svn
  AuthType Basic
  AuthName "Subversion Repository"
  AuthUserFile /etc/apache2/dav_svn.passwd
  AuthzSVNAccessFile /etc/apache2/dav_svn.authz

  <LimitExcept GET PROPFIND OPTIONS REPORT>
    Require valid-user
  </LimitExcept>

  # SSLRequireSSL
</Location>

Nun noch
apt-get install enscript websvn

Euer SVN ist nun unter http://ip/websvn zu erreichen!
svn://ip
Um das SVN bei einem Neustart zu starten: svnserve -d
---
Vielen Dank an Thomas Krenn
http://www.thomas-krenn.com/de/wiki/Subversion_unter_Debian_mit_Webaccess


veröffentlicht unter: Linux keine Kommentare
7Mai/100

Einen APT-Mirror auf Linux installieren

Wer einen eigenen APT-Mirror im Netzwerk stehen haben möchte geht am besten so vor:

  • Man sollte mehr als 70 GB Speicher auf dem Laufwerk zur Verfügung haben!
  • Es kann bis zu 24 Std. dauern bis alles runtergeladen ist ;)
  • Es werden in diesem Fall keine Sicherheitsupdates geladen -> sollten immer aktuell sein!

Zuerst updaten!
apt-get update

Jetzt holen wir uns den Mirror!
apt-get install apt-mirror

Jetzt noch den Apache2 damit wir die Pakete auch verteilen können!
apt-get install apache2

Optional: Wenn ihr so wie ich die Sercurity Patches nicht haben wollt, entfernt in dieser Datei die Option: security
/etc/apt/mirror.list

Nun holen wir uns alles:
su – apt-mirror -c apt-mirror

Nun nach ca. 24 Stunden können wir ein dem Apache Verzeichnis was flüstern!
ln -s /var/spool/apt-mirror/mirror/ftp.de.debian.org/debian /var/www/debian

-- Der Mirror ist nun einsatzfähig!
Dem Client teilt man in der Datei: /etc/apt/sources.list
folgendes mit!
Schaut am besten in eurem Mirror nach ;)
deb http://xxx.xxx.xxx.xxx/debian unstable main contrib non-free
xxx mit eurer IP ersetzen.


veröffentlicht unter: Linux keine Kommentare
6Mai/100

Unterschied Datenschutz und Datensicherheit

Datensicherheit bedeutet das Daten vor fremden geschützt werden!
Sie dürfen ohne Einwilligung der betroffenen Person nicht das Portal/Website/Verzeichnis verlassen!
Technische Maßnahmen!

Datenschutz  bedeutet das die Daten nicht an dritte weitergegeben werden!
*Gesicht*book macht das gerne! Es werden eure Nutzerdaten sowie Profilbilder etc. an Partner verkauft!

veröffentlicht unter: IT keine Kommentare
6Mai/100

OSI Schichten?

Schicht 1: Bitübertragungsschicht
- Physikalische Übermittlung der Daten! Bedeutet das Spannung auf die Leitungen kommt.
Flankenwechsel ist durch AN/AUS gekennzeichnet (logisch oder?).

Schicht 2: Sicherungsschicht
- Daten werden anhand von Checksummen geprüft und in Frames gepackt.

Schicht 3: Vermittlungsschicht:
- möchte an das richtige Netz geroutet/vermittelt werden!

Schicht 4: Transportschicht:
Wir nun weitergereicht an den Client.

Schicht 5: Kommunikationsschicht:
Zuständig für Auf- und Abbau von Verbindungen.

Schicht 6:  Darstellungsschicht:
Umwandlung der Daten in ein verständliches Standardformat.

Schicht 7: Anwendungsschicht:
Stellt die Verbindung zwischen Netzwerkdiensten und den Anwendungen her.

veröffentlicht unter: IT keine Kommentare
6Mai/100

Auf welchen Schichten arbeiten Netzwerkkomponenten?

Hub(strohdoof -> einfach alle zuballern!) : Schicht 1
Repeater(genauso doof) -> auch alle zuballern! : Schicht 1
Switch(schon besser ;) kennt seine Pappenheimer -> kann aber nicht Routen)  : Schicht 2
Router (Was würden wir nur ohne ihn machen?!) -> logisch! Routen mit MAC und IP = Schicht 3

Gateway (Der Macho -.-) -> kann in jedes Paket, Paketsammlungen, Frames..... und und und sehen -> Schicht 7

veröffentlicht unter: IT keine Kommentare