Xinux Wiki - Benutzerbeiträge [de]

Icinga

2013-08-07T12:14:13Z

Gecko3600: Die Seite wurde neu angelegt: „Schönes und einfaches Tutorial hier: http://docs.icinga.org/latest/de/quickstart-icinga.html“

Schönes und einfaches Tutorial hier: http://docs.icinga.org/latest/de/quickstart-icinga.html

Hauptseite

2013-08-07T12:13:55Z

Gecko3600:

=== Dokumentation ===

* [[Aufgaben]]
* [[Lösungen]]
=== Grundlagen und Administration ===

* [[Linux Grundlagen]]
* [[Bootprozess]]

* [[Administration]]
* [[Kernelmodule]]
* [[Bash]]
* [[VI Crash]]
* [[Netzwerkkonfiguration unter Ubuntu]]
* [[Paketmanagement]]
* [[RPM]]
* [[Yum howto]]
* [[Nützliche Tools]]
* [[LVM]]
* [[RAID|RAID einrichten]]
* [[sudo]]
* [[syslog-ng]]
* [[cron]]
* [[incron]]
* [[Screen]]
* [[PPA]]
* [[systemd]]
* [[Exploit]]
* [[WLAN]]
* [[Netstat unter Windows]]
* [[ACL - Kurzreferenz]]
* [[Fedora]]

=== Netzwerken ===
* [[SSH]]
* [[Ssh-tunnel]]
* [[NTP]]
* [[Rsync]]
* [[IP Befehle]]
* [[Tcpdump]]
* [[Cloud]]
* [[NET]]
* [[Udpcast]]
* [[Dynamic Host Configuration Protocol]]
* [[Ramdisk entpacken]]
* [[PXELinux]]
* [[Bing]]
* [[Nemesis]]
* [[Heartbeat]]
* [[DRBD]]
* [[RedHat Cluster Suite]]
* [[PACEMAKER]]
* [[OCFS2]]
* [[CRM/CIB]]
* [[WLAN AccessPoint]]
* [[IPTables - from scratch]]
* [[Bintec]]
* [[Netzwerktechnik]]
* [[tcp/ip]]
* [[Nagios]]
* [[Betavine Connection Manager]]
* [[VLAN]]
* [[VPN Bintec zu Linux]]
* [[pix howto]]
* [[cisco howto]]
* [[Firewall Allgemein]]
* [[Subnetz mit Ubuntu Router]]
* [[Multicast Routing]]
* [[VPN Allgemein|VPN Allgemein (under construction)]]
* [[nTop]]
* [[Fritz unter Ubuntu 10.04]]
* [[DNS mit bind9]]
* [[L2TP]]
* [[Traffic measure]]

=== Dienste ===
* [[Untersuchung eines Linuxserver]]
* [[apache2]]
* [[Apache SSL]]
* [[PostgreSQL]]
* [[Tomcat 5.5]]
* [[Squid]]
* [[VLC]]
* [[VMware installation auf Ubuntu]]
* [[vpnc]]
* [[Wireless Tools]]
* [[Perl]]
* [[Joomla]]
* [[MySQL]]
* [[Typo3]]
* [[Samba]]

=== Hardware ===
* [[Computer]]
* [[RAM]]

=== Virtualisierung ===
* [[KVM]]
* [[Virtualbox]]
* [[Proxmox]]

=== Operating Systeme ===
* [[Android]]
* [[Nexus4]]

=== Misc ===
* [[Pflichtenheft]]
* [[Projektdoku]]
* [[Ubuntu]]
* [[o2 Mobile]]
* [[Vmware]]
* [[iscsi]]

=== Mitarbeiter ===
* [[Systemaufbau]]
=== Grafisches ===
* [[Netzwerk]]
* [[Paketmanager]]
* [[CD Brennen]]
* [[EMail einrichten]]
* [[Drucker]]
* [[TS schneiden und brennen]]
* [[Video Konvert Misc]]
* [[VNC Server]]
* [[Unity]]
* [[Avidemux]]

===== [[LibreOffice]] =====
* [[Erste Schritte in LibreOffice|Erste Schritte]]
* [[Dokumente mit LibreOffice|Writer]]
* [[Tabellenkalkulation mit LibreOffice|Calc]]
* [[Presentationen mit LibreOffice|Impress]]
* [[Vektorgrafiken mit LibreOffice|Draw]]
* [[Der LibreOffice Formeleditor|Math]]

===Sprachen===
*[[Perl]]
*[[Php]]

=== How To's ===

* [[Installation von Mediawiki unter Ubuntu]]
* [[Openssl]]
* [[Ungeschütztes Linux Hacken|Linux Grub Passwort Reset]]
* [[Root RAID|Root RAID einrichten]]
* [[Runit|Runit einrichten]]
* [[Wiederherstellung vom Master Boot Record - Windows 7]]
* [[glusterfs]]
* [[Geräte mit Android via MTP in Ubuntu Linux einbinden]]
* [[Autostart von script mit udev]]
* [[USB-Installation von Linux]]
* [[KVM Images mounten]]
* [[pppoe einrichten]]
* [[qcow2 backup]]
* [[VM's von VMwares Server2 zu ESXi migrieren]]
* [[Netzwerkkarten bündeln]]
* [[ESXI]]
* [[S.M.A.R.T. - smartmontools]]
* [[lsb-release IO Error mit Teamviewer8 - FIX]]
* [[asterisk]]
* [[rkhunter]]
* [[uefi und gpt]]
* [[locale]]
* [[icinga]]

=== New ===
* [[CentOS]]
* [[Clouds]]
* [[LDAP]]
* [[Datarecovery]]
* [[Linux Mint]]
* [[Ubuntu Tips]]
* [[Raidcontroller Monitortools]]
=== Videos===
* [[http://www.youtube.com/watch?v=FaQm9gtUzSs Astaro HA Cluster]]

IPTables - from scratch

2013-07-31T13:01:04Z

Gecko3600: /* Flushing */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
stop)
echo "stoppe firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -j ACCEPT'''
'''iptables -A INPUT -i lo -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,

==netstat-nat==
Installation:
sudo apt-get install netstat-nat

list of natted connections:
netstat-nat -n

NAT connections with protocol selection:
netstat-nat -np

source IP XXX.XXX.XXX.XXX
netstat-nat -s XXX.XXX.XXX.XXX

destination IP/hostname = XXX
netstat-nat -s XXX

SNAT connections:
netstat-nat -S

DNAT connections:
netstat-nat -D

NAT connections:
netstat-nat -L

==connection-tracking==

root@nagus:/proc/net#

connection tracking:
ip_conntrack

nat tracking:
nf_conntrack

conntrack - command line interface for netfilter connection tracking
This is the default table. It contains a list of all currently
tracked connections through the system.

conntrack -L [table] [-z] List connection tacking or expectation table
conntrack -G [table] parameters Search for and show a particular (matching) entry in the given table.
conntrack -D [table] paramaters Delete an entry from the given table.
conntrack -I [table] parameters Create a new entry from the given table.
conntrack -U [table] parameters Update an entry from the given table.
conntrack -E [table] parameters Display a real-time event log.
conntrack -F [table] Flush the whole given table
conntrack -C [table] Show the table counter.
conntrack -S Show the in-kernel connection tracking system statistics.

=DNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="8472"
VMIP="WEITERLEITUNGS-IP"
MAINIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $VMIP
iptables -t nat -A PREROUTING -d $MAINIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $VMIP --to $MAINIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

PPPoE einrichten

2013-07-15T14:26:30Z

Gecko3600: /* auf Server: */

Verbindung zwischen Server und Modem

==auf Router/Modem:==
'''Bridgemode aktivieren!'''
-> Benutzername und Passwort rausfinden

==auf Server:==

apt-get install pppoe

pppconf

'''vi /etc/network/interfaces'''

############ pppoe
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf
provider dsl-provider
auto eth1
iface eth1 inet manual
############ ethX muss immer angepasst werden!

'''vi /etc/ppp/pap-secrets'''

Beispiel:
"feste-ip/ouiADFans8dß0d2n@t-online-com.de" * "Ihasne9sl"

'''vi /etc/ppp/peers/dsl-provider '''

pty "/usr/sbin/pppoe -I eth1 -T 80 -m 1452"
############ ethX muss immer angepasst werden!
noipdefault
usepeerdns
defaultroute
hide-password
lcp-echo-interval 20
lcp-echo-failure 3
connect /bin/true
noauth
persist
mtu 1492
noaccomp
default-asyncmap
user "feste-ip/ouiADFans8dß0d2n@t-online-com.de"
############ user muss angepasst werden!

cd /etc/ppp/peers
ln -s dsl-provider provider

PPPoE einrichten

2013-07-15T14:26:15Z

Gecko3600:

Verbindung zwischen Server und Modem

==auf Router/Modem:==
'''Bridgemode aktivieren!'''
-> Benutzername und Passwort rausfinden

==auf Server:==

apt-get install pppoe
pppconf

'''vi /etc/network/interfaces'''

############ pppoe
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf
provider dsl-provider
auto eth1
iface eth1 inet manual
############ ethX muss immer angepasst werden!

'''vi /etc/ppp/pap-secrets'''

Beispiel:
"feste-ip/ouiADFans8dß0d2n@t-online-com.de" * "Ihasne9sl"

'''vi /etc/ppp/peers/dsl-provider '''

pty "/usr/sbin/pppoe -I eth1 -T 80 -m 1452"
############ ethX muss immer angepasst werden!
noipdefault
usepeerdns
defaultroute
hide-password
lcp-echo-interval 20
lcp-echo-failure 3
connect /bin/true
noauth
persist
mtu 1492
noaccomp
default-asyncmap
user "feste-ip/ouiADFans8dß0d2n@t-online-com.de"
############ user muss angepasst werden!

cd /etc/ppp/peers
ln -s dsl-provider provider

IPTables - from scratch

2013-07-12T10:19:56Z

Gecko3600: /* DNAT/SNAT weiterleitung bis auf einen port */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
;;
stop)
echo "stoppe firewall"
'''iptables -F'''
;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -j ACCEPT'''
'''iptables -A INPUT -i lo -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,

==netstat-nat==
Installation:
sudo apt-get install netstat-nat

list of natted connections:
netstat-nat -n

NAT connections with protocol selection:
netstat-nat -np

source IP XXX.XXX.XXX.XXX
netstat-nat -s XXX.XXX.XXX.XXX

destination IP/hostname = XXX
netstat-nat -s XXX

SNAT connections:
netstat-nat -S

DNAT connections:
netstat-nat -D

NAT connections:
netstat-nat -L

==connection-tracking==

root@nagus:/proc/net#

connection tracking:
ip_conntrack

nat tracking:
nf_conntrack

conntrack - command line interface for netfilter connection tracking
This is the default table. It contains a list of all currently
tracked connections through the system.

conntrack -L [table] [-z] List connection tacking or expectation table
conntrack -G [table] parameters Search for and show a particular (matching) entry in the given table.
conntrack -D [table] paramaters Delete an entry from the given table.
conntrack -I [table] parameters Create a new entry from the given table.
conntrack -U [table] parameters Update an entry from the given table.
conntrack -E [table] parameters Display a real-time event log.
conntrack -F [table] Flush the whole given table
conntrack -C [table] Show the table counter.
conntrack -S Show the in-kernel connection tracking system statistics.

=DNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="8472"
VMIP="WEITERLEITUNGS-IP"
MAINIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $VMIP
iptables -t nat -A PREROUTING -d $MAINIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $VMIP --to $MAINIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

IPTables - from scratch

2013-07-12T10:19:39Z

Gecko3600: /* connection-tracking */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
;;
stop)
echo "stoppe firewall"
'''iptables -F'''
;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -j ACCEPT'''
'''iptables -A INPUT -i lo -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,

==netstat-nat==
Installation:
sudo apt-get install netstat-nat

list of natted connections:
netstat-nat -n

NAT connections with protocol selection:
netstat-nat -np

source IP XXX.XXX.XXX.XXX
netstat-nat -s XXX.XXX.XXX.XXX

destination IP/hostname = XXX
netstat-nat -s XXX

SNAT connections:
netstat-nat -S

DNAT connections:
netstat-nat -D

NAT connections:
netstat-nat -L

==connection-tracking==

root@nagus:/proc/net#

connection tracking:
ip_conntrack

nat tracking:
nf_conntrack

conntrack - command line interface for netfilter connection tracking
This is the default table. It contains a list of all currently
tracked connections through the system.

conntrack -L [table] [-z] List connection tacking or expectation table
conntrack -G [table] parameters Search for and show a particular (matching) entry in the given table.
conntrack -D [table] paramaters Delete an entry from the given table.
conntrack -I [table] parameters Create a new entry from the given table.
conntrack -U [table] parameters Update an entry from the given table.
conntrack -E [table] parameters Display a real-time event log.
conntrack -F [table] Flush the whole given table
conntrack -C [table] Show the table counter.
conntrack -S Show the in-kernel connection tracking system statistics.

=DNAT/SNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="8472"
VMIP="WEITERLEITUNGS-IP"
MAINIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $VMIP
iptables -t nat -A PREROUTING -d $MAINIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $VMIP --to $MAINIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

Installation von Mediawiki unter Ubuntu

2013-07-11T13:06:03Z

Gecko3600: /* Manuelle Installation */

==Installation==
Install
To install on your Ubuntu server (with Apache and MySQL - ApacheMySQLPHP or another web server already installed):

sudo apt-get install mediawiki imagemagick mediawiki-math mysql-server

To enable MediaWiki edit the following file and remove the '#' from the third line so that it reads 'Alias /wiki /var/lib/mediawiki':

gksu gedit /etc/apache2/conf.d/mediawiki.conf

Then restart apache:

sudo /etc/init.d/apache2 restart

The next step is to visit the website. Since you will be entering passwords, you don't want to make an unsecured connection. Either set up a ssl server] ( see forum/server/apache2/SSL) and connect with https://your.site.net/mediawiki, or visit from the server itself (using [lynx] or [links], two excellent text-based web browsers):

lynx localhost/mediawiki

Fill out the forms, noting that the final form is NOT your root or user password, but the password for the root mysql account (blank by default)

Lastly, move the config files as requested to prevent anyone else from changing these settings:

NOTE: Check the output in your web browser if its instructions differ from below follow them.

sudo mv /var/lib/mediawiki/config/LocalSettings.php /etc/mediawiki/LocalSettings.php
sudo chmod 600 /etc/mediawiki/LocalSettings.php
sudo rm -Rf /var/lib/mediawiki/config

You are done! you should see a wiki page at: http://your.site.net/mediawiki

==Customize==
The Apache config files reside at /etc/apache2/conf.d/mediawiki.conf

You might want to customize the look of your wiki.

To change the icon make a 135x135 pixel logo in PNG format and move it to the right place:

sudo cp my_new_logo.png /var/lib/mediawiki/skins/common/images/wiki.png

To get rid of the Mac-like sunburst in the background, edit /var/lib/mediawiki/skins/monobook/main.css and change:

background: #f9f9f9 url(headbg.jpg) 0 0 no-repeat;
to

background: #f9f9f9;
see http://prevolution.org/mediawikifarm for running multiple wikis on a server



=Dump and Restore with MySQL=

An example command on how to dump the database on a Debian GNU/Linux machine using mysqldump:

root@zero:~# mysqldump --user=USERNAME --password=PASSWORD --single-transaction --all-databases > BACKUPFILE.sql

dump database named "wikidb"
root@zero:~# mysqldump -u root -psysadm wikidb > wikidb.sql

restore database named "wikidb"
root@lydia:~# mysql -u root -p -B wikidb < wikidb.sql

save all pictures
root@lydia:/var/lib/mediawiki/images# rsync -avz zero:/var/lib/mediawiki/images/*

== Suchindex Wiederherstellen ==
im <code>maintenance/</code>-Verzeichnis der MediaWiki Installation wechseln
php rebuildall.php
Quelle: http://www.mediawiki.org/wiki/Manual:Rebuildall.php



=Manuelle Installation=
apt-get install apache2 mysql-server php5 imagemagick php5-mysql

wget http://download.wikimedia.org/mediawiki/1.21/mediawiki-1.21.1.tar.gz

==Troubleshoot==

Wenn man von 1.11 auf 1.21 updatet oder eine gedumpte bank einpflegt, kann es passieren, dass nciht alle tabellen richtig angelegt werden...

Fehler: '''Database returned error "1054: Unknown column 'rev_sha1' in 'field list' (localhost)"'''

Danach das ausführen:

mysql -u root -p
mysql> ALTER TABLE /*$wgDBprefix*/revision
ADD rev_sha1 varbinary(32) NOT NULL default '';

cd mediawiki/maintenance
php update.php

=Anlegen neuer Benutzer bei geschlossenem Wiki=
*mit wiki admin Account anmelden
*Spezialseiten
*Anmelden/Benutzerkonto anlegen
*Neues Benutzerkonto anlegen

=Bestehende Accounts als Admin setzen:=
*-> Spezialseiten
*-> Benutzerrechteverwaltung
*-> Benutzername eingeben (bspweise: thomas)
*-> Benutzerrechte bearbeiten -> als "Admin" (/"bot" /"Bürokrat") setzen
*-> Gruppenzugehörigkeit ändern

=passwort ändern=
php changePassword.php --user=target_username --password=new_password

Installation von Mediawiki unter Ubuntu

2013-07-11T13:05:52Z

Gecko3600:

Datei:Proxmox10.jpg

2013-07-09T12:36:24Z

Gecko3600:

Proxmox

2013-07-09T12:34:48Z

Gecko3600: /* Backup */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Backup erstellen===

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, etc. angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''

[[Datei:proxmox9.jpg]]

===Backup aufspielen===

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

===Snapshot live über Webinterface===

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Datei:Proxmox9.jpg

2013-07-09T12:30:58Z

Gecko3600:

Proxmox

2013-07-09T10:47:27Z

Gecko3600: /* Backup */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, etc. angeben

[[Datei:proxmox8.jpg]]

===Snapshot live über Webinterface===

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Proxmox

2013-07-09T10:46:19Z

Gecko3600: /* Snapshot live über Webinterface */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Snapshot live über Webinterface===

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

[[Datei:proxmox8.jpg]]

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Datei:Proxmox8.jpg

2013-07-09T10:44:07Z

Gecko3600:

Proxmox

2013-07-09T10:43:59Z

Gecko3600: /* Backup */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Snapshot live über Webinterface===

'''In order to use Proxmox VE live snapshots all your virtual machine disk images must be stored as qcow2 image.'''

: '''oben rechts euer Backup-Storage auswählen!'''

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

[[Datei:proxmox8.jpg]]

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Proxmox

2013-07-09T10:40:12Z

Gecko3600: /* Storage */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Snapshot live über Webinterface===

'''In order to use Proxmox VE live snapshots all your virtual machine disk images must be stored as qcow2 image.'''

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Proxmox

2013-07-09T10:40:03Z

Gecko3600: /* Storage */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Snapshot live über Webinterface===

'''In order to use Proxmox VE live snapshots all your virtual machine disk images must be stored as qcow2 image.'''

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Datei:Proxmox7.jpg

2013-07-09T10:39:41Z

Gecko3600:

Proxmox

2013-07-09T10:39:34Z

Gecko3600: /* Storage */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Snapshot live über Webinterface===

'''In order to use Proxmox VE live snapshots all your virtual machine disk images must be stored as qcow2 image.'''

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Proxmox

2013-07-09T10:38:51Z

Gecko3600: /* Storage */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an Backups an.)

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein.
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

==Backup==

===Snapshot live über Webinterface===

'''In order to use Proxmox VE live snapshots all your virtual machine disk images must be stored as qcow2 image.'''

====erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

====rollback====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===Snapshot live über console===

=Troubleshoot=

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==
*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

Datei:Proxmox6.jpg

2013-07-09T10:38:09Z

Gecko3600:

Proxmox

2013-07-09T09:11:23Z

Gecko3600: /* Migration */

Proxmox

2013-07-09T09:10:07Z

Gecko3600: /* Troubleshoot */

Proxmox

2013-07-09T09:09:48Z

Gecko3600: /* VM-Killen */

Proxmox

2013-07-09T09:09:26Z

Gecko3600: /* Java Konsole */

Proxmox

2013-07-09T09:09:18Z

Gecko3600: /* Manual: qm */

Proxmox

2013-07-09T09:08:46Z