Xinux Wiki - Benutzerbeiträge [de]

Bintec Debugging

2015-10-08T12:40:48Z

Jan: /* syslog auf Bintec aktivieren */

== Befehlsreferenz ==
=== trace ===
Zeigt Verbindungen und Pakete über ISDN, PPP und Ethernet.
trace [Optionen] <Kanal> <einheit> <Slot>
trace [Optionen] <Interface-Nummer/-Name>

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -h || Hexadezimale Ausgabe
|-
| -2 || Layer-2-Ausgabe
|-
| -3 || Layer-3-Ausgabe
|-
| -p || PPP-Pakete im Ethernet oder im B-Kanal
|-
| -i || IP-Pakete
|-
| -s || Absender-MAC-Filter
|-
| -d || Ziel-MAC-Filter
|-
| -x || Zeigt den Inhalt der Datenpakete
|-
| -B || Bidirektionaler IP-Adressen, Protokoll und
Port-Filter
|-
| -I || Unidirektionaler IP-Adressen, Protokoll und
Port-Filter
|-
| -o || Filter mit ODER anstelle von AND verknüpfen
|}

==== Filter ====
; IPsession filter
-I <nowiki>[!]</nowiki>QuellIP:ZielIP:Protokoll:QuellPort:ZielPort

# Verneinung: Ja() / Nein(!)
# Quell IP Adresse
# Ziel IP Adresse
# Protokoll
#* 1 - ICMP
#* 6 - TCP
#* 17 - UDP
#* 50 - ESP
# Quell Portnummer
# Ziel Portnummer

; bidirect IPsession filter
-B [!]IP1:IP2:Protokoll:Port1:Port2

# Verneinung: Ja() / Nein(!)
# IP Adresse
# "
# Portnummer
# "

===== Beispiele =====

ICMP Pakete zwischen 192.168.241.10 und 192.168.253.47 beobachten
trace -23i -B 192.168.241.10:192.168.253.47:1 1400

Alles außer SSH Pakete anzeigen
trace -23i -B !::6:22 1400

Alles von/zu 192.168.253.47 außer SSH Pakete anzeigen (lokale Schnittstelle)
trace -23i -B 192.168.253.47 -B !::6:22 1000

Alle ICMP Pakete {{RedText|oder}} Pakete zu 192.168.253.47, jedoch keine SSH Pakete
trace -23i -B ::1 -o -B 192.168.253.47 -B !::6:22 1000

Alles außer ICMP und SSH Pakete von/zu 192.168.253.47 anzeigen
trace -23i -B !:192.168.253.47:1 -B !:192.168.253.47:6::22 1400

Nur ICMP Pakete von 192.168.241.10 nach 192.168.253.47 anzeigen. {{RedText|Auch keine Antwortpakete}}
trace -23i -I 192.168.241.10:192.168.253.47:1 1400

Keine Telnet Pakete
trace -23i -B !::6:23 1400

Alle Pakete zwischen 192.168.253.47 und 192.168.241.10
trace -23i -B 192.168.253.47:192.168.241.10 1400

Alle Pakete nach 192.168.253.47
trace -23i -I :192.168.253.47 1400

Alle Pakete von 192.168.253.47
trace -23i -I 192.168.253.47 1400

=== ifconfig ===

Zeigt und verändert den Status der Schnittstelle(n)

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| reset || Setzt eine Schnittstelle zurück
|-
| down || Schaltet eine Schnittstelle aus
|-
| up || Schaltet eine Schnittstelle ein
|-
| dialup || Lässt eine Schnittstelle nach außen wählen
|-
| redial || Schaltet eine Schnittstelle aus und baut die Verbindung erneut auf
|-
|}

;Beispiel

Setzt Schnittstelle 10001 zurück:
ifconfig 10001 reset

=== ps ===

Listet die Prozesse, die der Router aktuell gestartet hat.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -e || Listet alle Prozesse
|-
| -f || Komplette Liste
|-
| -j || Gibt Prozessgruppen-ID aus
|-
| -l || Lange Ausgabe
|-
| -s || Zeigt statische Speicherbenutzung
|-
| -d || Zeigt dynamische Speicherbenutzung
|-
| -b || Zeigt dynamische Speicherblöcke
|}

;Beispiel

Listet alle Prozesse in einer kompletten Liste:
ps -ef

=== kill ===

Beendet oder startet Prozesse und Deamons bzw. startet diese neu.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -10 || Startet einen Prozess neu
|-
| -9 || Beendet einen Prozess
|}

;Beispiel

Startet Prozess 36 neu:
kill -10 36

=== ping ===

Schickt Pakete in verschiedenen Größen zu einem entfernten Ziel, um die Erreichbarkeit zu überprüfen.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -c || Gibt die Zahl der Pakete an
|-
| -s || Gibt die Absender-IP-Adresse an
|-
| 2000 || Paketgröße in Bytes am Ende der Syntax
|}

;Beispiel

Schickt 4 Pakete mit Absender IP-Adresse 192.168.0.1 und Paketgröße 2000 an 192.168.200.50:
ping -s -c4 192.168.0.1 192.168.200.50 2000

=== telnet ===

Führt einen Remote-Zugriff auf ein entferntes Ziel durch. Absender-IP-Adresse kann bestimmt werden.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -r || Benutzt Konsolen-RAW-Modus
|-
| -s || Bestimmt die Absender-IP-Adresse
|}

;Beispiel

Führt Remote-Zugriff mit Absender IP-Adresse 192.168.0.1 auf 192.168.200.50 aus:
telnet -s 192.168.0.1 192.168.200.50

=== traceroute ===

Routenverfolgung von IP-Paketen mit Namensauflösung der HOPs.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| <addr> || Hostname oder IP-Adresse
|-
| <packetsize> || Paketgröße
|-
| -m || Maximale Anzahl der Router
|-
| -q || Abfragen zum Senden
|-
| -w || Antwort-Timeout
|-
| -n || Kein DNS Reverse Lookup
|}

;Beispiel

Verfolgt ein Paket maximal 20 Router bis zu www.funkwerk-ec.com:
traceroute -m 20 www.funkwerk-ec.com

=== isdnlogin ===

Führt eine Fernwartung über ISDN zu einem entfernten Funkwerk Router durch. Dieser kann sich im Auslieferungszustand am ISDN befinden oder für ISDN-Login konfiguriert sein.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -c <stknumber> || ISDN-Stack-Nummer
|-
| -C || Versuche Kompression zu nutzen
|-
| -i || Sende die angerufene Nummer
|-
| -e <crpyt> || Verschlüsselung einschalten
|-
| -t || Nutzt den Bearer Voice zur Übertragung
|-
|}

;Beispiel

isdnlogin 0123456789 t

=== setup ===

Startet das Setup Tool mit sofortiger Anzeige aller Passwörter und mit mehr Rechten.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -s || Super User (Alle Routing-Einträge sind löschbar)
|-
| -p || Zeigt Passwörter im Klartext
|-
| -i || Geht direkt in das Schnittstellen-Monitoring
|-
|}

;Beispiel

Startet Setup Tool als Super User und zeigt Passwörter im Klartext
setup -ps

=== netstat ===

Gibt einen Überblick über die Konfiguration von WAN-Partnern und über die Routing-Einträge.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -i || Zeigt Schnittstelle inkl. Status
|-
| -r || Zeigt die Routing-Tabelle
|-
| -e || Gibt Extended Routing aus
|-
| -p || Ausgabe von WAN-Partnern mit Parametern
|-
| -d || <dest> Gibt Routen zu einem bestimmten Ziel aus
|-
|}

;Beispiel

Gibt WAN-Partner mit Parametern aus:
netstat -p

=== update ===

Führt ein Update der Software Images von der Shell aus durch.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| tftp || Ermöglicht ein Update via TFTP
|-
| http || Führt das Update über http aus
|-
| -a || Automatisches Update ohne Nachfragen
|-
| -r || Automatischer Reboot nach einem Update
|-
| -v || Überprüft nur das Image
|-
| -i || Sie kommen auf eine interaktive Flash-Shell
|-
|}

;Beispiel(e)

Führt Update aus
update 192.168.0.2 bl7901.rey
Führt Update in interaktiver Shell über http aus
update -i http://www.domain.de/download/bl7901.rey

=== t ===

Erklärung Schaltet das Autologout aus oder ein.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| 0 || Schaltet das Autologout aus
|-
| 300 || Setzt das Autologout auf z.B. 300 Sekunden (Standard)
|-
|}

;Beispiel
Schaltet Autologout aus
t 0

=== loop ===

Erklärung Führt Befehle in einem benutzerdefinierten Zyklus aus.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -s || Löscht den Bildschirm bei jedem Aufruf
|-
| -d <msek> || Der Zyklus in Millisekunden
|-
|}

;Beispiel

Führt Befehl ''ifstat -u 10001'' in einem Zyklos von 1000 ms aus und löscht den Bildschirm bei jedem Aufruf:
loop -s -d 1000 ifstat -u 10001

=== debug ===

Gibt System- und Accounting-Meldungen aus.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -q || Schaltet den Zeitstempel aus
|-
| -t || Gibt den Zeitstempel aus
|-
| -e <expr> || Filtert die Meldungen nach Stichwörtern
|-
| -l <size> || Erhöht die Größe des Puffers
|-
| all || Gibt alle Subject-Meldungen aus
|-
| acct || Gibt nur Accounting-Meldungen aus
|-
| system || Gibt nur Systemmeldungen aus
|-
| show || Zeigt alle möglichen Subjects
|-
| & || Führt den Prozess im Hintergrund aus
|-
|}

;Beispiel(e)
Gibt alle Subject-Meldungen aus und führt Prozess im Hintergrund aus:
debug all&
Filter die Ausgabe nach '''new outgoing session'''
debug -e *"new outgoing session"* inet&

=== ifstat ===

Zeigt den Status der physikalischen und virtuellen Schnittstellen.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -l || Zeigt lange Schnittstellennamen
|-
| -r || Zeigt die an Schnittstellen gebundenen Access Lists
|-
| -u || Zeigt Schnittstellen mit dem Status UP
|-
|}

;Beispiel

Gibt die langen Schnittstellennamen aller Schnittstellen aus:
ifstat -l

=== h ===

Plant einen Reboot nach einer bestimmten Zeit.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| 10 || Plant einen Reboot in 10 Minuten
|}

;Beispiel
Plant einen Reboot in 10 Minuten
h 10

=== grep ===

Filtert eine Ausgabe durch Angabe einer Zeichenkette.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| -e || Filter für einen Match
|-
| -v || Filter für einen invert Match
|-
|}

;Beispiel

Filtert die Ausgabe von ''debug inet'' nach '''NAT'''
debug inet | grep -e "*NAT*"

=== cert ===

Exportiert und importiert Zertifikate für IPSec und SSL.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| put || Exportiert das Zertifikat auf einen TFTPServer
|-
| get || Importiert das Zertifikat von einem TFTPServer
|-
|}

;Beispiel

Exportiert zertifikat.crt auf 192.168.0.2
cert put 192.168.0.2 zertifikat.crt

=== key ===

Exportiert und importiert private Schlüssel der Zertifikate.

{| class="wikitable"
|-
! Optionen !! Bedeutung
|-
| export || Exportiert den Schlüssel auf einen TFTPServer
|-
| import || Importiert den Schlüssel von einem TFTPServer
|-
| <description> || Der Index oder Name des Schlüssels im Router
|-
| <password> || Das Passwort zum Schutz des Schlüssels
|-
|}
;Beispiel

Exportiert den Schlüssel ''key'' mit ''passwort'' auf ''tftp://192.168.0.2/router.key''
key export tftp://192.168.0.2/router.key key passwort
Importiert den Schlüssel ''key'' mit ''passwort'' auf ''tftp://192.168.0.2/router.key''
key import tftp://192.168.0.2/router.key key passwort

=== rtlookup ===

Sucht das Interface aus der normalen und erweiterten Routingtabelle über den das Ziel erreichbar wäre.

{| class="wikitable"
|-
!! Optionen !! Bedeutung
|-
| <dest_ip> || Sucht normale Routingeinträge mit angegebener Ziel-IP-Adresse
|-
| -s <src_ip> || Sucht erweiterte Routingeinträge mit angegebener Absender-IP-Adresse
|-
| -v <dest_port> || Sucht erweiterte Routingeinträge mit angegebenem Ziel-Port
|-
| -p <protocol> || Sucht erweiterte Routingeinträge mit angegebenem Protokoll
|-
|}

;Beispiel
Sucht Routingeintrag über den das Ziel ''62.10.20.30'' mit ''icmp'' erreichbar wäre:
rtlookup –p icmp 62.10.20.30

=SNMP=

<pre>

SSH from MAC OS:
ssh -l admin <BINTEC ROUTER IP>
-> c
---> dieser Wert gilt als Passwort für SNMP abfragen bei mir war es dann admin Anmelde Passwort
-> ?
-> l (zeigt alle MIB Tables im Router)
-> ?
-> ENTRY Show Table : <table name>
-> 2 (war mein Beispiel)
BINTECROUTER:> 2
sysDescr( rw): "RS230aw"
sysObjectID( ro): .1.3.6.1.4.1.272.4.201.83.82.52.48.0.0
sysUpTime( ro): 0 00:31:53.70
sysContact( rw):
sysName( rw): "HOSTNAME"
sysLocation( rw):
sysServices( ro): 14
nrgate01:system>
nrgate01:system> sysName
sysName( rw): "HOSTNAME"

--> Okay SNMP funktioniert

Internetbrowser: http://www.bintec-elmeg.com/de/Managemen...308,113187.html
-> MIB Base Informations
---->>> Table: system - (.1.3.6.1.2.1.1) mein Beispiel

Wechsel in das Terminal:

snmpget -d -v2c -c ADMINPASSWORD 192.168.1.1 .1.3.6.1.2.1.1
Error in Packet

snmpwalk -d -v2c -c ADMINPASSWORD 192.168.1.1 .1.3.6.1.2.1.1
Werte ohne Ende
snmpwalk -v2c -c ADMINPASSWORD 192.168.1.1 .1.3.6.1.2.1.1
ohne das -d im Command bekommt ihr eine schöne Übersicht mit den richtigen OID

</pre>

=syslog=
== Syslog Server empfangen lassen ==
*In '''/etc/syslog-ng/syslog-ng.conf''' hinzufügen:
source s_net { udp(port(514)); };
destination d_bintec { file("/var/log/bintec.log"); };
filter f_bintec { facility(local7); };
log { source(s_net); filter(f_bintec); destination(d_bintec); };
*Log Datei erstellen und Rechte vergeben
touch /var/log/bintec.log
chmod 777 /var/log/bintec.log

== syslog auf Bintec aktivieren ==
[[Bild:Bintec-syslog-edit.png|650px]]
= Debugging im Menü =
*Statt dem "debugging"-Menü sollte man das versteckte debugging-Menü nutzen

Im Hauptmenü zu IPSEC wechseln und mit "Enter" auswählen

Nun mit "Shift+N" das versteckte Debugging-Menü öffnen

Dort finden sich alle Informationen des "normalen" Menüs. Diese sind aber übersichtlicher angeordnet. Ausserdem gibt es weitere Optionen die ansonsten nicht da sind

= Siehe Auch =
* [[VPN Bintec zu Linux]]

= Links =
* http://www.funkwerk-ec.com/portal/downloadcenter/dateien/unixtool/HOWTO-Ethereal-Wireshark-trace_en.pdf
* http://wiki.bttr-software.de/blog/paul/20091021_haeufig_verwendete_befehle_fuer_bintec-router

Owncloud

2015-09-18T07:10:51Z

Jan:

=Installation=
*apt-get install php5-mysql
=Fremdquelle=
==Führen Sie für Ubuntu 14.04 folgendes aus==
*sh -c "echo 'deb http://download.opensuse.org/repositories/isv:/ownCloud:/community/xUbuntu_14.04/ /' >> /etc/apt/sources.list.d/owncloud.list"
*wget http://download.opensuse.org/repositories/isv:ownCloud:community/xUbuntu_14.04/Release.key
*sudo apt-key add - < Release.key
*apt-get update
*apt-get install owncloud
=Setup via CLI=

*Ins Verzeichnis /var/www/owncloud wechseln
*Folgenden Befehl ausführen. (Passwörter nach eigener Wahl)
sudo -u www-data php occ maintenance:install --database "mysql" --database-name "owncloud" --database-user "root" --database-pass "password" --admin-user "admin" --admin-pass "password"

Debian Samba4 ADS Domaincontroller

2015-09-10T09:35:37Z

Jan: /* Anzeige der Replikation */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.240.199
netmask 255.255.248.0
gateway 192.168.240.100
dns-nameservers 192.168.240.199 8.8.8.8
dns-search xinux.lan
</pre>

==hosts anpassen==
vi /etc/hosts
127.0.0.1 localhost
192.168.240.199 fenetre fenetre.xinux.lan
echo fenetre.xinux.lan > /etc/hostname
reboot

==samba4 installieren==
apt-get install samba smbclient winbind ntp libnss-winbind krb5-user acl

==Domain anlegen==
vorher das löschen:
rm /etc/samba/smb.conf /var/lib/samba/private/sam.ldb

''' realm, domain und adminpass''' sollten/können angepasst werden!
samba-tool domain provision --realm=xinux.lan --domain=xinux --adminpass="Z0pp0Trump" --server-role=dc --dns-backend=SAMBA_INTERNAL --use-rfc2307

oder

===install bind===
apt-get remove apparmor
reboot
apt-get install bind9
echo 'include "/var/lib/samba/private/named.conf";' >> /etc/bind/named.conf
====/etc/bind/named.conf.options====
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";

====/var/lib/samba/private/named.conf====
dlz "AD DNS Zone" {
database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so";
};

''' realm, domain und adminpass''' sollten/können angepasst werden!
samba-tool domain provision --realm=xinux.lan --domain=xinux --adminpass="Z0pp0Trump" --server-role=dc --dns-backend=BIND9_DLZ --use-rfc2307

==Reboot==
reboot

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
root@fenetre:~# samba -V
Version 4.1.6-Ubuntu
root@fenetre:~# smbclient -V
Version 4.1.6-Ubuntu

===shares anzeigen:===
<pre>
root@fenetre:~# smbclient -L localhost -U%
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.6-Ubuntu)
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]

Server Comment
--------- -------

Workgroup Master
--------- -------
WORKGROUP
</pre>

===Authentication check:===
<pre>
root@fenetre:~# smbclient //localhost/netlogon -UAdministrator%"Z0pp0Trump" -c 'ls'
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
. D 0 Thu Apr 24 15:51:50 2014
.. D 0 Thu Apr 24 15:51:54 2014

52706 blocks of size 524288. 47502 blocks available
</pre>

==DNS setzen==
===Forwarder eintragen===
sudo vi /etc/samba/smb.conf
füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 192.168.240.21

===Check===
<pre>
DOMAIN="xinux.lan"
CONTROLLER="fenetre"
host -t SRV _ldap._tcp.$DOMAIN
_ldap._tcp.xinux.lan has SRV record 0 100 389 fenetre.xinux.lan.

host -t SRV _kerberos._udp.$DOMAIN
_kerberos._udp.xinux.lan has SRV record 0 100 88 fenetre.xinux.lan.

host -t A $CONTROLLER.$DOMAIN
fenetre.xinux.lan has address 192.168.240.199

</pre>

==Kerberos==
*[[kerberos client samba]]

==Share hinzufügen==
mkfs.ext4 /dev/vdb1
mkdir /share
echo "/dev/vdb1 /share ext4 user_xattr,acl 0 0" >> /etc/fstab
mount -a

mkdir -m 770 /share
chmod g+s /share
chown root:users /share

vi /etc/samba/smb.conf
füge das ein:

[share]
directory_mode: parameter = 0700
read only = no
path = /share
csc policy = documents

==Share testen==
root@fenetre:~# smbclient -L localhost -U% | grep share
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
share Disk
==Winbind==
===winbind link setzen===
ln -s /lib/x86_64-linux-gnu/libnss_winbind.so.2 /lib/x86_64-linux-gnu/libnss_winbind.so

===nsswitch.conf ändern===
passwd: compat winbind
group: compat winbind
===ist winbind is "pingbar===
root@fenetre:~# wbinfo -p
Ping to winbindd succeeded

===anzeigen der userliste===
root@fenetre:~# wbinfo -u
Administrator
Guest
krbtgt

===funtioniert nsswitch===
root@fenetre:~# getent passwd | grep XINUX
XINUX\Administrator:*:0:100::/home/XINUX/Administrator:/bin/false
XINUX\Guest:*:3000011:3000012::/home/XINUX/Guest:/bin/false
XINUX\krbtgt:*:3000017:100::/home/XINUX/krbtgt:/bin/false

==Misc==
===Adminpasswort läuft nicht ab===
samba-tool user setexpiry administrator --noexpiry

===Kennwortrichtlinie in Samba 4 Domain deaktivieren===
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length 0
===Adminpasswort setzen===
samba-tool user setpassword Administrator

===Kennwortrichtlinie in Samba 4 Domain anzeigen===
samba-tool domain passwordsettings show

=Zwei DC mit Replikation einrichten=
==Situation==

'''Existierender DC'''
Name: rumba
IP: 192.168.242.201
Ist DNS: Ja
'''Domain Informationen'''
DNS Domain Name: xinux.test
Kerberos realm: XINUX.TEST
Domain Admin: administrator
Admin-PW: password
'''Hinzuzufügender DC'''
Name: tango
IP: 192.168.242.200

==Vorbereitungen==

*Beide Rechner sollten im selben Netz sein und sich pingen können
*etc/hosts anpassen: Der Rechner muss sich unter seiner IP finden, bei localhost den Namen löschen
127.0.0.1 localhost <strike>tango tango.xinux.test</strike>
192.168.242.200 tango tango.xinux.test
*DNS anpassen: searchdomain eintragen und den existierenden DC als DNS angeben
nameserver 192.168.242.201
search xinux.test
*DNS testen:
host -t A rumba.xinux.test
rumba.xinux.test has address 192.168.242.201

==Kerberos==

In der krb5.conf müssen folgende Einträge stehen:
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = XINUX.TEST

Testen ob man ein Kerberosticket bekommt
root@tango:~# '''kinit administrator'''
Password for administrator@XINUX.TEST:

root@tango:~# '''klist'''
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@XINUX.TEST

Valid starting Expires Service principal
10.09.2015 11:08:57 10.09.2015 21:08:57 krbtgt/XINUX.TEST@XINUX.TEST
renew until 11.09.2015 11:08:44
==Der Domain beitreten==
*'''ACHTUNG''' Für das Administrator-Passwort gelten die Standardrichtlinien von SAMBA4!
*Weiterführende Infos: samba-tool domain join --help

root@tango:~# samba-tool domain join XINUX.TEST DC -Uadministrator --realm=XINUX.TEST --dns-backend=SAMBA_INTERNAL

Ausgabe:
<pre>
Finding a writeable DC for domain 'XINUX.TEST'
Found DC rumba.xinux.test
Password for [WORKGROUP\administrator]:
workgroup is XINUX
realm is xinux.test
checking sAMAccountName
Adding CN=TANGO,OU=Domain Controllers,DC=xinux,DC=test
Adding CN=TANGO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=test
Adding CN=NTDS Settings,CN=TANGO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=test
Adding SPNs to CN=TANGO,OU=Domain Controllers,DC=xinux,DC=test
Setting account password for TANGO$
Enabling account
Calling bare provision
No IPv6 address will be assigned
Provision OK for domain DN DC=xinux,DC=test
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=xinux,DC=test] objects[402/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[804/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[1206/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[1608/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[1616/1616] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=xinux,DC=test] objects[97/97] linked_values[23/0]
Partition[DC=xinux,DC=test] objects[365/268] linked_values[23/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=xinux,DC=test
Partition[DC=DomainDnsZones,DC=xinux,DC=test] objects[46/46] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=xinux,DC=test
Partition[DC=ForestDnsZones,DC=xinux,DC=test] objects[18/18] linked_values[0/0]
Partition[DC=ForestDnsZones,DC=xinux,DC=test] objects[36/18] linked_values[0/0]
Committing SAM database
Sending DsReplicateUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain XINUX (SID S-1-5-21-3964088599-1372953937-1397556401) as a DC
</pre>

==Anzeige der Replikation==
DC1:
<pre>
root@rumba:~# samba-tool drs showrepl

Default-First-Site-Name\RUMBA
DSA Options: 0x00000001
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
DSA invocationId: fc6eaa8e-a1cf-4af8-b919-f0af6abddb27

==== INBOUND NEIGHBORS ====

DC=DomainDnsZones,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:34 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:34 2015 CEST

DC=ForestDnsZones,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:34 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:34 2015 CEST

DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:59 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:59 2015 CEST

CN=Schema,CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:34 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:34 2015 CEST

CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:35 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:35 2015 CEST

==== OUTBOUND NEIGHBORS ====

DC=DomainDnsZones,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=ForestDnsZones,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Schema,CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection --
Connection name: f31d9725-b1a6-4450-93d4-8b62fabf609f
Enabled : TRUE
Server DNS name : TANGO.xinux.test
Server DN name : CN=NTDS Settings,CN=TANGO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=test
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
</pre>

DC2:
<pre>
root@tango:~# samba-tool drs showrepl

Default-First-Site-Name\TANGO
DSA Options: 0x00000001
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
DSA invocationId: 1278e3ce-dadf-4e44-be9a-43c591e8318d

==== INBOUND NEIGHBORS ====

CN=Schema,CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

DC=DomainDnsZones,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:31:28 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:31:28 2015 CEST

DC=ForestDnsZones,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

==== OUTBOUND NEIGHBORS ====

CN=Schema,CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=DomainDnsZones,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=ForestDnsZones,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Configuration,DC=xinux,DC=test
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection --
Connection name: 2770037b-6291-442b-9b94-89c8d6c780c0
Enabled : TRUE
Server DNS name : rumba.xinux.test
Server DN name : CN=NTDS Settings,CN=RUMBA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=test
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
</pre>

=SeDiskOperatorPrivilege=
net rpc rights grant 'XINUX\Domain Admins' SeDiskOperatorPrivilege -Uadministrator

===Vorhandene Rechte lassen sich so Anzeige===
net rpc rights list accounts -Uadministrator

=[[Userverwaltung]]=

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

Debian Samba4 ADS Domaincontroller

2015-09-10T09:33:26Z

Jan: /* SeDiskOperatorPrivilege */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.240.199
netmask 255.255.248.0
gateway 192.168.240.100
dns-nameservers 192.168.240.199 8.8.8.8
dns-search xinux.lan
</pre>

==hosts anpassen==
vi /etc/hosts
127.0.0.1 localhost
192.168.240.199 fenetre fenetre.xinux.lan
echo fenetre.xinux.lan > /etc/hostname
reboot

==samba4 installieren==
apt-get install samba smbclient winbind ntp libnss-winbind krb5-user acl

==Domain anlegen==
vorher das löschen:
rm /etc/samba/smb.conf /var/lib/samba/private/sam.ldb

''' realm, domain und adminpass''' sollten/können angepasst werden!
samba-tool domain provision --realm=xinux.lan --domain=xinux --adminpass="Z0pp0Trump" --server-role=dc --dns-backend=SAMBA_INTERNAL --use-rfc2307

oder

===install bind===
apt-get remove apparmor
reboot
apt-get install bind9
echo 'include "/var/lib/samba/private/named.conf";' >> /etc/bind/named.conf
====/etc/bind/named.conf.options====
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";

====/var/lib/samba/private/named.conf====
dlz "AD DNS Zone" {
database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so";
};

''' realm, domain und adminpass''' sollten/können angepasst werden!
samba-tool domain provision --realm=xinux.lan --domain=xinux --adminpass="Z0pp0Trump" --server-role=dc --dns-backend=BIND9_DLZ --use-rfc2307

==Reboot==
reboot

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
root@fenetre:~# samba -V
Version 4.1.6-Ubuntu
root@fenetre:~# smbclient -V
Version 4.1.6-Ubuntu

===shares anzeigen:===
<pre>
root@fenetre:~# smbclient -L localhost -U%
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.6-Ubuntu)
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]

Server Comment
--------- -------

Workgroup Master
--------- -------
WORKGROUP
</pre>

===Authentication check:===
<pre>
root@fenetre:~# smbclient //localhost/netlogon -UAdministrator%"Z0pp0Trump" -c 'ls'
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
. D 0 Thu Apr 24 15:51:50 2014
.. D 0 Thu Apr 24 15:51:54 2014

52706 blocks of size 524288. 47502 blocks available
</pre>

==DNS setzen==
===Forwarder eintragen===
sudo vi /etc/samba/smb.conf
füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 192.168.240.21

===Check===
<pre>
DOMAIN="xinux.lan"
CONTROLLER="fenetre"
host -t SRV _ldap._tcp.$DOMAIN
_ldap._tcp.xinux.lan has SRV record 0 100 389 fenetre.xinux.lan.

host -t SRV _kerberos._udp.$DOMAIN
_kerberos._udp.xinux.lan has SRV record 0 100 88 fenetre.xinux.lan.

host -t A $CONTROLLER.$DOMAIN
fenetre.xinux.lan has address 192.168.240.199

</pre>

==Kerberos==
*[[kerberos client samba]]

==Share hinzufügen==
mkfs.ext4 /dev/vdb1
mkdir /share
echo "/dev/vdb1 /share ext4 user_xattr,acl 0 0" >> /etc/fstab
mount -a

mkdir -m 770 /share
chmod g+s /share
chown root:users /share

vi /etc/samba/smb.conf
füge das ein:

[share]
directory_mode: parameter = 0700
read only = no
path = /share
csc policy = documents

==Share testen==
root@fenetre:~# smbclient -L localhost -U% | grep share
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
Domain=[XINUX] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
share Disk
==Winbind==
===winbind link setzen===
ln -s /lib/x86_64-linux-gnu/libnss_winbind.so.2 /lib/x86_64-linux-gnu/libnss_winbind.so

===nsswitch.conf ändern===
passwd: compat winbind
group: compat winbind
===ist winbind is "pingbar===
root@fenetre:~# wbinfo -p
Ping to winbindd succeeded

===anzeigen der userliste===
root@fenetre:~# wbinfo -u
Administrator
Guest
krbtgt

===funtioniert nsswitch===
root@fenetre:~# getent passwd | grep XINUX
XINUX\Administrator:*:0:100::/home/XINUX/Administrator:/bin/false
XINUX\Guest:*:3000011:3000012::/home/XINUX/Guest:/bin/false
XINUX\krbtgt:*:3000017:100::/home/XINUX/krbtgt:/bin/false

==Misc==
===Adminpasswort läuft nicht ab===
samba-tool user setexpiry administrator --noexpiry

===Kennwortrichtlinie in Samba 4 Domain deaktivieren===
samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length 0
===Adminpasswort setzen===
samba-tool user setpassword Administrator

===Kennwortrichtlinie in Samba 4 Domain anzeigen===
samba-tool domain passwordsettings show

=Zwei DC mit Replikation einrichten=
==Situation==

'''Existierender DC'''
Name: rumba
IP: 192.168.242.201
Ist DNS: Ja
'''Domain Informationen'''
DNS Domain Name: xinux.test
Kerberos realm: XINUX.TEST
Domain Admin: administrator
Admin-PW: password
'''Hinzuzufügender DC'''
Name: tango
IP: 192.168.242.200

==Vorbereitungen==

*Beide Rechner sollten im selben Netz sein und sich pingen können
*etc/hosts anpassen: Der Rechner muss sich unter seiner IP finden, bei localhost den Namen löschen
127.0.0.1 localhost <strike>tango tango.xinux.test</strike>
192.168.242.200 tango tango.xinux.test
*DNS anpassen: searchdomain eintragen und den existierenden DC als DNS angeben
nameserver 192.168.242.201
search xinux.test
*DNS testen:
host -t A rumba.xinux.test
rumba.xinux.test has address 192.168.242.201

==Kerberos==

In der krb5.conf müssen folgende Einträge stehen:
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = XINUX.TEST

Testen ob man ein Kerberosticket bekommt
root@tango:~# '''kinit administrator'''
Password for administrator@XINUX.TEST:

root@tango:~# '''klist'''
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@XINUX.TEST

Valid starting Expires Service principal
10.09.2015 11:08:57 10.09.2015 21:08:57 krbtgt/XINUX.TEST@XINUX.TEST
renew until 11.09.2015 11:08:44
==Der Domain beitreten==
*'''ACHTUNG''' Für das Administrator-Passwort gelten die Standardrichtlinien von SAMBA4!
*Weiterführende Infos: samba-tool domain join --help

root@tango:~# samba-tool domain join XINUX.TEST DC -Uadministrator --realm=XINUX.TEST --dns-backend=SAMBA_INTERNAL

Ausgabe:
<pre>
Finding a writeable DC for domain 'XINUX.TEST'
Found DC rumba.xinux.test
Password for [WORKGROUP\administrator]:
workgroup is XINUX
realm is xinux.test
checking sAMAccountName
Adding CN=TANGO,OU=Domain Controllers,DC=xinux,DC=test
Adding CN=TANGO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=test
Adding CN=NTDS Settings,CN=TANGO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=test
Adding SPNs to CN=TANGO,OU=Domain Controllers,DC=xinux,DC=test
Setting account password for TANGO$
Enabling account
Calling bare provision
No IPv6 address will be assigned
Provision OK for domain DN DC=xinux,DC=test
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=xinux,DC=test] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=xinux,DC=test] objects[402/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[804/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[1206/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[1608/1616] linked_values[0/0]
Partition[CN=Configuration,DC=xinux,DC=test] objects[1616/1616] linked_values[28/0]
Replicating critical objects from the base DN of the domain
Partition[DC=xinux,DC=test] objects[97/97] linked_values[23/0]
Partition[DC=xinux,DC=test] objects[365/268] linked_values[23/0]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=xinux,DC=test
Partition[DC=DomainDnsZones,DC=xinux,DC=test] objects[46/46] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=xinux,DC=test
Partition[DC=ForestDnsZones,DC=xinux,DC=test] objects[18/18] linked_values[0/0]
Partition[DC=ForestDnsZones,DC=xinux,DC=test] objects[36/18] linked_values[0/0]
Committing SAM database
Sending DsReplicateUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain XINUX (SID S-1-5-21-3964088599-1372953937-1397556401) as a DC
</pre>

==Anzeige der Replikation==
DC1:
<pre>
root@rumba:~# samba-tool drs showrepl

Default-First-Site-Name\RUMBA
DSA Options: 0x00000001
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
DSA invocationId: fc6eaa8e-a1cf-4af8-b919-f0af6abddb27

==== INBOUND NEIGHBORS ====

DC=DomainDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:34 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:34 2015 CEST

DC=ForestDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:34 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:34 2015 CEST

DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:59 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:59 2015 CEST

CN=Schema,CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:34 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:34 2015 CEST

CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ Thu Sep 10 11:30:35 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:30:35 2015 CEST

==== OUTBOUND NEIGHBORS ====

DC=DomainDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=ForestDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Schema,CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\TANGO via RPC
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection --
Connection name: f31d9725-b1a6-4450-93d4-8b62fabf609f
Enabled : TRUE
Server DNS name : TANGO.xinux.tee
Server DN name : CN=NTDS Settings,CN=TANGO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=tee
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
</pre>

DC2:
<pre>
root@tango:~# samba-tool drs showrepl

Default-First-Site-Name\TANGO
DSA Options: 0x00000001
DSA object GUID: 9038189e-b307-48dc-bca3-fc76bc63ec38
DSA invocationId: 1278e3ce-dadf-4e44-be9a-43c591e8318d

==== INBOUND NEIGHBORS ====

CN=Schema,CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

DC=DomainDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:31:28 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:31:28 2015 CEST

DC=ForestDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ Thu Sep 10 11:28:15 2015 CEST was successful
0 consecutive failure(s).
Last success @ Thu Sep 10 11:28:15 2015 CEST

==== OUTBOUND NEIGHBORS ====

CN=Schema,CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=DomainDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=ForestDnsZones,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Configuration,DC=xinux,DC=tee
Default-First-Site-Name\RUMBA via RPC
DSA object GUID: d91df6e8-fc0f-4d96-8407-1f66f5b5c47d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection --
Connection name: 2770037b-6291-442b-9b94-89c8d6c780c0
Enabled : TRUE
Server DNS name : rumba.xinux.tee
Server DN name : CN=NTDS Settings,CN=RUMBA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xinux,DC=tee
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
</pre>
=SeDiskOperatorPrivilege=
net rpc rights grant 'XINUX\Domain Admins' SeDiskOperatorPrivilege -Uadministrator

===Vorhandene Rechte lassen sich so Anzeige===
net rpc rights list accounts -Uadministrator

=[[Userverwaltung]]=

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

Debian Samba4 ADS Domaincontroller

2015-09-10T09:19:16Z

Jan: /* Der Domain beitreten */

Debian Samba4 ADS Domaincontroller

2015-09-10T09:18:04Z

Jan: /* Der Domain beitreten */

Debian Samba4 ADS Domaincontroller

2015-09-10T09:15:27Z

Jan: /* Der Domain beitreten */

Debian Samba4 ADS Domaincontroller

2015-09-10T09:13:54Z

Jan: /* Kerberos */

Debian Samba4 ADS Domaincontroller

2015-09-10T09:11:23Z

Jan: /* Kerberos */

Debian Samba4 ADS Domaincontroller

2015-09-10T09:10:45Z

Jan: /* Kerberos */

Debian Samba4 ADS Domaincontroller

2015-09-10T09:08:21Z

Jan: /* Vorbereitungen */

Debian Samba4 ADS Domaincontroller

2015-09-10T08:46:25Z

Jan: /* Situation */

Debian Samba4 ADS Domaincontroller

2015-09-10T08:46:09Z

Jan: /* Situation */

Debian Samba4 ADS Domaincontroller

2015-09-10T08:45:55Z

Jan: /* Zwei DC mit Replikation einrichten */

Debian Samba4 ADS Domaincontroller

2015-09-10T08:41:11Z

Jan: /* Vorbereitungen */

Debian Samba4 ADS Domaincontroller

2015-09-10T08:39:34Z

Jan: /* Zwei DC mit Replikation einrichten */

Debian Samba4 ADS Domaincontroller

2015-09-10T08:34:20Z

Jan: /* SeDiskOperatorPrivilege */

Tcpdump kompakt

2015-08-25T09:43:12Z

Jan: /* filter */

=allgemein=
*lausche an dem lan interface
tcpdump -i lan
*lausche an dem eth0 interface
tcpdump -i eth0
*schneide 100 pakete mit
tcpdump -ni eth0 -c 100
*unterdrücke namensauflösung
tcpdump -ni lan
*schreibe datenstrom in die datei dat.cap im capture-format
tcpdump -ni lan -w dat.cap
*lese aus der datei dat.cap
tcpdump -r dat.cap
*komplettes paket mitschneiden
tcpdump -ni lan -s 1500 -w dat.cap

=filter=
*filtere pakete die die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1
*filtere pakete die die absender ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 src host 192.168.244.1
*filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 dst host 192.168.244.1
*filtere icmp pakete
tcpdump -ni eth0 icmp
*filtere esp pakete
tcpdump -ni eth1 esp
*filtere nach paketen die den absender oder empfänger port 80 enthalten
tcpdump -ni eth0 port 80
*filtere nach paketen die den absender port 80 enthalten
tcpdump -ni eth0 src port 80
*filtere nach paketen die den empfänger port 80 enthalten
tcpdump -ni eth0 dst port 80
*filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten
tcpdump -ni eth0 host 192.168.244.12 and port 80
*filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 and ! port 22
*filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 or icmp
*filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten
tcpdump -ni eth0 net 192.168.244.0/24
*filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80
tcpdump -ni eth0 net 192.168.244.0/24 and $ icmp or port 80 $

*filtere nach tcp port 80
tcpdump -ni lan tcp port 80
*filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'
*filtere alle pakete vom typ echoreply
tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'
*filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen
tcpdump "ether host 11:22:33:44:55:66"

=specials=
*pakete grösser 1500 byte
tcpdump -ni lan "ip[2:2] > 1500"
*filtere alle ipv4 pakete
tcpdump -ni eth0 "ip[0:1] & 0xf0 == 64"
*filtere alle pakete deren TTL unter 25
tcpdump -ni eth0 "ip[8:1] < 25"
*filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni eth0 "tcp[13:1] & 2 == 2"
*filtere alle pakete die nur das syn flag gesetzt haben
tcpdump -ni eth0 "tcp[13:1] == 2"

ESXI Installation

2015-07-22T13:48:04Z

Jan:

ACHTUNG: ESXI benötigt mindestens 4MB Video-RAM!

====Einfache ESXi-Installation:====

: ESXi-iso brennen
: Bootreihenfolge des Servers ändern
: ESXi-iso booten
: Beim ESXi-Boot-Menü den "ESXi-standard Installer" auswählen, ENTER
: "Continue" auswählen
: F11 drücken für "ACCEPT"
: Speicherort auswählen
: Falls vorher ein vmfs-System auf dem Medium lag, kann man dies überschreiben
: Keyboard Layout
: Rootpasswort festlegen
: F11 -> install

''''Nach der Installation das SSH-Modul aktivieren!''''

====V2B-Anleitung:====
: http://www.galileo-videotrainings.de/kernkomponenten-installieren/esxi-50-installieren/vmware-vsphere-5/3019/probe-lektion/

Bacula Allgemein

2015-06-11T10:46:18Z

Jan: /* LINKS */

==Komponenten==
*bacula-dir
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/etc/bacula/bacula-dir.conf <-- Bacula Director
/etc/bacula/bacula-sd.conf <-- Bacula Storage Deamon
/etc/bacula/bacula-fd.conf <-- Bacula File Deamon
/etc/bacula/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
service bacula-dir start|stop|restart
service bacula-sd start|stop|restart
service bacula-fd start|stop|restart

==bconsole==
*Aufruf
/etc/bacula/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

==LINKS==
*Allgemein --> https://wiki.ubuntuusers.de/Bacula
*Installation --> https://wiki.ubuntuusers.de/Bacula/Installation
*Serverkonfiguration --> https://wiki.ubuntuusers.de/Bacula/Server-Konfiguration
*Clientkonfiguration --> https://wiki.ubuntuusers.de/Bacula/Client-Konfiguration
*bconsole --> https://wiki.ubuntuusers.de/Bacula/bconsole

Bacula Allgemein

2015-06-11T10:46:02Z

Jan: /* LINKS */

==Komponenten==
*bacula-dir
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/etc/bacula/bacula-dir.conf <-- Bacula Director
/etc/bacula/bacula-sd.conf <-- Bacula Storage Deamon
/etc/bacula/bacula-fd.conf <-- Bacula File Deamon
/etc/bacula/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
service bacula-dir start|stop|restart
service bacula-sd start|stop|restart
service bacula-fd start|stop|restart

==bconsole==
*Aufruf
/etc/bacula/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

==LINKS==
Allgemein --> https://wiki.ubuntuusers.de/Bacula
Installation --> https://wiki.ubuntuusers.de/Bacula/Installation
Serverkonfiguration --> https://wiki.ubuntuusers.de/Bacula/Server-Konfiguration
Clientkonfiguration --> https://wiki.ubuntuusers.de/Bacula/Client-Konfiguration
bconsole --> https://wiki.ubuntuusers.de/Bacula/bconsole

Bacula Allgemein

2015-06-11T10:43:43Z

Jan: /* Prozesskontrolle */

Bacula Allgemein

2015-06-11T10:42:43Z

Jan: /* Komponenten */

==Komponenten==
*bacula-dir
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/etc/bacula/bacula-dir.conf <-- Bacula Director
/etc/bacula/bacula-sd.conf <-- Bacula Storage Deamon
/etc/bacula/bacula-fd.conf <-- Bacula File Deamon
/etc/bacula/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
/etc/init.d/bacula-dir start|stop|restart
/etc/init.d/bacula-sd start|stop|restart
/etc/init.d/bacula-fd start|stop|restart

/usr/local/bacula/etc/bacula start|stop|restart

==bconsole==
*Aufruf
/etc/bacula/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

==LINKS==
https://wiki.ubuntuusers.de/Bacula

Bacula Allgemein

2015-06-11T10:42:01Z

Jan:

==Komponenten==
*[[bacula-dir]]
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/etc/bacula/bacula-dir.conf <-- Bacula Director
/etc/bacula/bacula-sd.conf <-- Bacula Storage Deamon
/etc/bacula/bacula-fd.conf <-- Bacula File Deamon
/etc/bacula/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
/etc/init.d/bacula-dir start|stop|restart
/etc/init.d/bacula-sd start|stop|restart
/etc/init.d/bacula-fd start|stop|restart

/usr/local/bacula/etc/bacula start|stop|restart

==bconsole==
*Aufruf
/etc/bacula/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

==LINKS==
https://wiki.ubuntuusers.de/Bacula

Bacula Allgemein

2015-06-11T10:14:51Z

Jan: /* bconsole */

Bacula Allgemein

2015-06-11T10:14:34Z

Jan: /* Konfigurationsdateien */

==Komponenten==
*[[bacula-dir]]
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/etc/bacula/bacula-dir.conf <-- Bacula Director
/etc/bacula/bacula-sd.conf <-- Bacula Storage Deamon
/etc/bacula/bacula-fd.conf <-- Bacula File Deamon
/etc/bacula/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
/etc/init.d/bacula-dir start|stop|restart
/etc/init.d/bacula-sd start|stop|restart
/etc/init.d/bacula-fd start|stop|restart

/usr/local/bacula/etc/bacula start|stop|restart

==bconsole==
*Aufruf
/usr/local/bacula/etc/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

{{FAQ}}

Bacula Allgemein

2015-06-11T10:13:40Z

Jan: /* Konfigurationsdateien */

==Komponenten==
*[[bacula-dir]]
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/usr/local/bacula/etc/bacula-dir.conf <-- Bacula Director
/usr/local/bacula/etc/bacula-sd.conf <-- Bacula Storage Deamon
/usr/local/bacula/etc/bacula-fd.conf <-- Bacula File Deamon
/usr/local/bacula/etc/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
/etc/init.d/bacula-dir start|stop|restart
/etc/init.d/bacula-sd start|stop|restart
/etc/init.d/bacula-fd start|stop|restart

/usr/local/bacula/etc/bacula start|stop|restart

==bconsole==
*Aufruf
/usr/local/bacula/etc/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

{{FAQ}}

Bacula Allgemein

2015-06-11T10:13:11Z

Jan: /* Konfigurationsdateien */

==Komponenten==
*[[bacula-dir]]
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/usr/local/bacula/etc/bacula-dir.conf <-- Bacula Director
/usr/local/bacula/etc/bacula-sd.conf <--
/usr/local/bacula/etc/bacula-fd.conf <-- Bacula File Director
/usr/local/bacula/etc/bconsole.conf <-- Bacula Console

==Prozesskontrolle==
/etc/init.d/bacula-dir start|stop|restart
/etc/init.d/bacula-sd start|stop|restart
/etc/init.d/bacula-fd start|stop|restart

/usr/local/bacula/etc/bacula start|stop|restart

==bconsole==
*Aufruf
/usr/local/bacula/etc/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

{{FAQ}}

Bacula Allgemein

2015-06-11T10:11:24Z

Jan: /* Komponenten */

==Komponenten==
*[[bacula-dir]]
Director - der Serverprozess, verantwortlich fuer die Durchfuerhrung der Backups
*bacula-sd
Storage-Daemon - Prozess, der die Speichermedien / den Zugriff auf die Speichermedien verwaltet.
*bacula-fd
File-Daemon - Clientprozess
*bconsole
Console-Anwendung
*postgresql Datenbank
Achtung: laeuft die Datenbank nicht, steigt der Director kurz nach dem Starten wieder aus. Beim Starten des Directors ist dabei auf der Console keine Fehlermeldung zu sehen.

==Konfigurationsdateien==
/usr/local/bacula/etc/bacula-dir.conf
/usr/local/bacula/etc/bacula-sd.conf
/usr/local/bacula/etc/bacula-fd.conf
/usr/local/bacula/etc/bconsole.conf

==Prozesskontrolle==
/etc/init.d/bacula-dir start|stop|restart
/etc/init.d/bacula-sd start|stop|restart
/etc/init.d/bacula-fd start|stop|restart

/usr/local/bacula/etc/bacula start|stop|restart

==bconsole==
*Aufruf
/usr/local/bacula/etc/bconsole
*Status der Clients
status client
*Status des Directors
status dir
*manuelles Starten eines Backups
run backup

{{FAQ}}

Vagrant-ubuntu-install

2015-04-22T11:52:04Z

Jan: /* links */

=install=
*apt-get install virtualbox virtualbox-dkms
*apt-get install vagrant
=add new box=
*vagrant box add precise64 http://files.vagrantup.com/precise64.box
=new projekt=
*mkdir vagrant_project
*cd vagrant_project
*vagrant init
=edit the Vagrantfile in this directory and replace=
config.vm.box = "precise64"

=up=
*vagrant up
=ssh=
*vagrant ssh

=alternative=
==install the newest version==
*wget https://dl.bintray.com/mitchellh/vagrant/vagrant_1.6.5_x86_64.deb -O vagrant.deb
*sudo dpkg -i vagrant.deb

=links=
*http://www.olindata.com/blog/2014/07/installing-vagrant-and-virtual-box-ubuntu-1404-lts
=images=
*https://atlas.hashicorp.com/boxes/search?utm_source=vagrantcloud.com&vagrantcloud=1

Vagrant-ubuntu-install

2015-04-21T12:32:41Z

Jan: /* edit the Vagrantfile in this directory and replace */

Computer

2015-04-20T07:38:27Z

Jan: /* Installation vom Betriebssytem */

=Bestandteile=
==Gehäuse==
Ein Gehäuse ist eine feste Hülle, die einen empfindlichen Inhalt schützend umgibt.
==Motherboard==
Die Motherboard ist die zentrale Platine eines Computers. Auf ihr sind die einzelnen Bauteile wie Hauptprozessor (CPU), Speicher, der BIOS-Chip mit der integrierten Firmware, Schnittstellen-Bausteine und Steckplätze für Erweiterungskarten montiert; sie besteht aus mehreren Lagen.
==Prozessor==
Ein Prozessor ist eine Maschine oder eine elektronische Schaltung, welche gemäß übergebener Befehle andere Maschinen oder elektrische Schaltungen steuert. Am populärsten sind Prozessoren als zentrale Recheneinheiten von Computern, in denen sie Befehle von Software ausführen.
==Prozessorkühler==
Als Prozessorkühler werden Kühlkörper bezeichnet, die auf die speziellen Anforderungen bei der Kühlung von Mikroprozessoren ausgelegt sind. Meist sind es Kühler-Lüfterkombinationen, verbreitet sind auch rein passive Kühlkörper und Wasserkühler.
==Arbeitsspeicher==
Der Arbeitsspeicher oder Hauptspeicher ist in der Informationstechnik der Speicher eines Computers, in dem Datenobjekte, also Programme und die von diesen in Mikroprozessoren zu verarbeitenden Nutzdaten, abgelegt und zu einem späteren Zeitpunkt (unverändert) abgerufen werden können.
==Festplatte==

Ein Festplattenlaufwerk (englisch hard disk drive = HDD), oft auch als Festplatte oder Hard Disk (abgekürzt HD) bezeichnet, ist ein magnetisches Speichermedium der Computertechnik, welches Daten auf die Oberfläche einer rotierenden Scheibe schreibt. Dazu wird die hartmagnetische Beschichtung der Plattenoberfläche entsprechend der aufzuzeichnenden Information magnetisiert. Durch die Remanenz erfolgt die Speicherung der Information.

[[Datei:hdd.jpg|x400px|rechts|Einzelteile einer Festplatte]]

Das Auslesen der Information erfolgt durch Abtastung der Magnetisierung der Plattenoberfläche.

Neuerdings werden mit vergleichbaren Speicherkapazitäten Flash-Speicher, sogenannte Solid-State-Drives (SSDs) und Hybridspeicher (Kombination aus SSD und Festplatte) angeboten, die über dieselben Schnittstellen (SATA, usw.) angesprochen und vereinfacht als „Festplatten“ bezeichnet werden. Preislich liegen SSDs aktuell deutlich über HDDs.

===Aufbau===

Eine Festplatte besteht aus folgenden Baugruppen:

* einer oder mehreren rotierbar gelagerten Scheiben

* einer Achse, auch Spindel genannt, auf der die Scheiben übereinander montiert sind

* einem Elektromotor als Antrieb für die Scheibe(n)

* beweglichen Schreib-/Leseköpfen (Heads)

* jeweils einem Lager für Platter (meistens hydrodynamische Gleitlager) sowie für die Schreib-/Leseköpfe (auch Magnetlager)

* einem Antrieb für die Schreib-/Leseköpfe

* der Steuerelektronik für Motor- und Kopfsteuerung

* einem DSP für Verwaltung, Bedienung des Interfaces, Steuerung der Schreib/Leseköpfe.

* DDR-RAM für Betriebssystem, Programm, temporäre Daten und Festplattencache. Üblich sind derzeit 2 bis 64 MB.

* der Schnittstelle zum Ansprechen der Festplatte von außen und

* einem stabilen Gehäuse (siehe eigenes Kapitel unten).

===Schnittstellen===

[[Datei:sata.jpg|x300px|links]]
[[Datei:SCSI_Connectors..gif|mitte|x300px|]]
[[Datei:sata+esata.jpg|x300px|rechts]]

{| border="1" cellpadding="2" style="width:50%;background:#f9f9f9; border:1px #aaa solid; border-collapse:collapse;"
| colspan="2" align="center" width="50%" |'''Übertragungsraten der einzelnen Schnittstellen'''

|-
| Name
| Übertragungsrate

|-
| IDE
| 133 MB/s

|-
| SATA
| 150 MB/s

|-
| SATA II
| 300 MB/s

|-
| SATA III
| 600 MB/s

|-
| SCSI
| 320 MB/s

|-
| SAS
| 300 MB/s

|-
| SAS II
| 600 MB/s

|-
| SAS III
| 1200 MB/s

|-
| PCIe 3.0 x4
| 4000 MB/s

|-
| PCIe 3.0 x8
| 8000 MB/s

|}

===Leistungsmerkmale===

'''''Die Geschwindigkeit der Lese- und Schreibvorgänge ist von mehreren Faktoren abhängig. Zu diesen Faktoren zählen:'''''

=====Schnittstelle=====

Sie spielt eine große Rolle, da viele Festplatten einen sehr hohen Datendurchsatzstandard besitzen müssen sie dementsprechen, um auch die volle Transferrate erzielen zu können, über eine entsprechen starke Schnittstelle angeschlossen werden. (Bsp.: SATA3)

=====Umdrehungszahl der HDD=====

Diese Zahl gibt an, wie oft sich die Magnetscheibe(n) in einer Minute dreht.
Gängige Modelle sind hier:

* 5400rpm
* 7200rpm
* 10000rpm
* 15000rpm

Durch mehr Umdrehungen in der Minute ist es natürlich möglich auch schneller Daten von der Festplatte zu lesen bzw. zu schreiben. Dadurch steigt aber auch der Stromverbrauch und die Festplatte ist/wird lauter im Vergleich zu einer "Drehzahlniedrigeren".

=====Cache=====

Ein Festplattencache bezeichnet den schnellen Zwischenspeicher einer Festplatte, der Schreib- und Lesezugriffe auf einen Datenträger puffert, um den Einfluss der Latenzzeit und Datenübertragungsrate des Datenträgerzugriffs auf das System zu verringern.

Gängige Modelle:

* 16mb
* 32mb
* 64mb

===Baugrößen===

Mit der Zeit wurde die Festplattengröße auch immer geringer. Die gängigen Größen lauten:
(Natürlich ist es auch möglich eine 2,5" Platte in ein 3,5" Rahmen einzubauen. Dazu werden Einbaurahmen benötigt.)

*-5,25"
*-3,5"
*-2,5"
*-1,8"

[[Datei:Vergleich5,25zu1,8.jpg|x340px|rechts|Vergleich 5,25" zu 1,8"]]

[[Datei:Vergleich3,5zu2,5.jpg|x400px|links|Vergleich 3,5" zu 2,5"]]

===Einsatzgebiete===

Das Einsatzgebiet einer Festplatte ist sehr variabel bzw. unterschiedlich, denn nicht alle Festplatten sind zu jeder Arbeit geeignet. SCSI Festplatten zeichnen sich durch ihre hohe Lebensdauer und Ausdauerfähigkeit, besonders im 24-Stunden Modus aus. Deswegen kommen viele SCSI Platten auch im/in Serverbetrieb/RAIDs vor. Ausserdem kann man an einen SCSI Controller bis zu 16 Festplatten anschliessen, was IDE/SATA nicht bietet.

SATA Festplatten sind aber sehr gut für Desktop-PCs/Laptops geeignet. Sie bieten das beste "Preis/Leistung/Kapazität/Geschwindigkeits"-Verhältnis.
Doch neben diesen Festplatten darf man die SSD nicht verachten.
Gerade in der letzten Zeit werden viele SSDs nachgerüstet. Sie sind besonders für Ressourcenlastige High-End Rechner sehr beliebt.

===RAID===

„Redundant Array of Independent Disks“, also „Redundante Anordnung unabhängiger Festplatten“

Ein RAID-System dient zur Organisation mehrerer physischer Festplatten eines Computers zu einem logischen Laufwerk, das eine höhere Datenverfügbarkeit bei Ausfall einzelner Festplatten und/oder einen größeren Datendurchsatz erlaubt als ein einzelnes physisches Laufwerk.

Während die meisten in Computern verwendeten Techniken und Anwendungen darauf abzielen, Redundanzen (das Vorkommen doppelter Daten) zu vermeiden, werden bei RAID-Systemen redundante Informationen gezielt erzeugt, damit beim Ausfall einzelner Komponenten das RAID als Ganzes seine Integrität und Funktionalität behält und nach Ersetzen der ausgefallenen Komponente durch einen sogenannten Rebuild der ursprüngliche Zustand wiederhergestellt werden kann.

Diese Redundanz darf aber nicht mit einer Datensicherung gleichgesetzt werden.
Kombinationen

[[Datei:RAID 0.svg.png|x200px|rechts]]

RAID 0: Striping – Beschleunigung ohne Redundanz

RAID 0 bietet gesteigerte Transferraten, indem die beteiligten Festplatten in zusammenhängende Blöcke gleicher Größe aufgeteilt werden, wobei diese Blöcke quasi im Reißverschlussverfahren zu einer großen Festplatte angeordnet werden. Somit können Zugriffe auf allen Platten parallel durchgeführt werden (engl. striping, was „in Streifen zerlegen“ bedeutet, abgeleitet von stripe, der „Streifen“). Die Datendurchsatz-Steigerung (bei sequentiellen Zugriffen, aber besonders auch bei hinreichend hoher Nebenläufigkeit) beruht darauf, dass die notwendigen Festplatten-Zugriffe in höherem Maße parallel abgewickelt werden können.

[[Datei:RAID 1.svg.png|x200px|links]]

RAID 1: Mirroring – Spiegelung

RAID 1 ist der Verbund von mindestens zwei Festplatten. Ein RAID 1 speichert auf allen Festplatten die gleichen Daten (Spiegelung) und bietet somit volle Redundanz. Die Kapazität des Arrays ist hierbei höchstens so groß wie die kleinste beteiligte Festplatte.

Ein enormer Vorteil von RAID 1 gegenüber allen anderen RAID-Verfahren liegt in seiner Einfachheit. Beide Platten sind identisch beschrieben und enthalten alle Daten eines Systems, somit kann (die passende Hardware vorausgesetzt) normalerweise auch jede Platte einzeln in zwei unabhängigen Rechnern (intern oder im externen Laufwerk) unmittelbar betrieben und genutzt werden. Aufwändige Rebuilds sind nur dann notwendig, wenn die Platten wieder redundant betrieben werden sollen. Im Störfall wie auch bei Migrationen bzw. Upgrades bedeutet das einen enormen Vorteil.

[[Datei:RAID 10.png|rechts]]

RAID 10: Zusammenspiel von RAID 0 und RAID 1

Ein RAID-10-Verbund ist ein RAID 0 über mehrere RAID 1.
Es werden dabei die Eigenschaften der beiden RAIDs kombiniert:
Sicherheit und gesteigerte Schreib-/Lesegeschwindigkeit.

Ein RAID-10-Verbund benötigt mindestens vier Festplatten.

===Besonderheiten===

====SSD====

Hinter der Abkürzung „SSD“ versteckt sich eine neue Speichertechnologie, die langfristig die herkömmliche Festplatte ablösen soll. SSD bedeutet „Solid State Disk“ oder auch „Solid State Drive“, was im Deutschen etwa mit „Festkörperlaufwerk- oder –platte“ zu übersetzen ist.

Ein SSD-Laufwerk ist ein nichtflüchtiger Massenspeicher, der Informationen in Flash-Bausteinen ablegt, so wie wir sie aus den Speicherkarten von Handy, Kamera und MP3-Player kennen. Nichtflüchtig bedeutet, dass der Speicher nicht dauerhaft mit Strom versorgt werden muss, um sich die gespeicherten Daten behalten zu können. So können Computer, die eine SSD verwenden, genau wie ein Computer mit Festplatte, einfach ausgeschaltet werden und beim nächsten Start sind alle Daten wieder vorhanden. Der Arbeitsspeicher (RAM) des Computers ist, nur um ein Beispiel zu nennen, ein flüchtiger Speicher. Schaltet man den Computer aus, gehen alle Informationen, die sich im Arbeitsspeicher befinden, verloren.

In einer SSD läuft der Speichervorgang rein elektronisch ab, was bedeutet, dass es keine mechanischen/beweglichen Teile mehr gibt. Daraus resultieren eine höhere Stoßresistenz, geringere Abwärme und ein vollkommen lautloser Betrieb. Der Stromverbrauch sinkt durch den Wegfall von beweglichen Bauteilen ebenfalls, was vor allem Notebooks zu Gute kommt und die Akkulaufzeit verlängert.

====Unterschied zwischen HDD und SSD====

Die altbekannte Festplatte ist nach wie vor der meist eingesetzte Massenspeicher auf der ganzen Welt. Durch immer weiter fallende Speicherpreise im Flash-Sektor treten SSD und HDD allerdings auch auf dem Endanwendermarkt zunehmend in Konkurrenz. Ein Vergleich der beiden Technologien ist also keines Falls mehr uninteressant.

'''''Die Gemeinsamkeiten/Unterschiede:'''''

* Festplatte und SSD gehören zu den Massenspeichern und eignen sich als Medium für persönliche Dateien und für die Installation von Betriebssystemen.

* Beide Massenspeicherarten sind „nichtflüchtige“ Speicher, was bedeutet, dass keine Stromversorgung für den Erhalt der Daten gewährleistet sein muss.

* HDD und SSD kommunizieren beide zumeist über das S-ATA Interface mit dem Rest des Computers.

* Festplatte und SSD verfügen über einen Controller, der die Datenströme entsprechend verwaltet.

'''''Die Unterschiede:'''''

* SSDs verzichten im Gegensatz zu Festplatten vollkommen auf mechanische Bauteile

* SSDs verwenden Flash-Speicherzellen (MLC oder SLC) um die Daten zu speichern, während Festplatten Informationen in magnetischer Form festhalten.

* SSDs arbeiten somit komplett lautlos und sind viel resistenter gegen starke äußerliche Einwirkungen.

* SSDs weisen einen geringeren Stromverbrauch auf, was sich ebenfalls in einer geringeren Abwärme äußert und sich positiv auf die Akkulaufzeit und die gesamte Systemtemperatur auswirkt.

* Festplatten gibt es bereits mit Kapazitäten von bis zu 1,5 TB. Die größte erhältliche SSD kann gerade einmal 256 GB aufweisen, auch wenn schon Modelle mit 512 GB vorgestellt worden sind.

* SSDs haben durch den Einsatz von Flash-Speicherbausteinen extrem geringe Zugriffszeiten von deutlich unter einer Millisekunde, was sich positiv auf das Arbeiten am Computer auswirkt. Schnelle Festplatten knacken gerade einmal die 10 Millisekunden-Grenze. Dies liegt daran, dass der Lese- und Schreibkopf der Festplatte vor dem eigentlichen Lesevorgang erst einmal an die richtige Stelle bewegt werden muss – das kostet Zeit.

* SSDs verfügen über wesentlich höhere Transferraten, was sich positiv auf die Gesamtperformance des Computers auswirkt.

====Hybridfestplatte====

Hybridfestplatten vereinen die Festplatten- und SSD Technologien. Samsung brachte 2007 die ersten Hybridplatten auf den Markt. Diese setzten sich damals aber nicht durch, da die Betriebssysteme noch nicht über die notwendigen Optimierungsroutinen verfügten, um die SSD Technologie in ihrem vollen Potential auszuschöpfen. Momentan gibt es wenig Angebot für Hybridfestplatten. Ein Beispiel ist die Momentus XT von Seagate. Diese nutzt die herkömmliche Festplattentechnologie mit einer Kapazität von bis zu 750GB, kombiniert mit einer 4GB SSD mit SLC-Technologie. Für das Zusammenspiel von Festplatte und SSD setzt Seagate die Adaptive Memory Technology ein. Häufig verwendete Daten werden in den SSD Bereich geschrieben, um diese beim nächsten Aufruf schneller zur Verfügung stellen zu können. Laut Seagate soll der Bootvorgang um bis zu 100% schneller sein als mit einer herkömmlichen Festplatte. Es benötigt allerdings mehrere Bootvorgänge, bis die Hybridplatte alle notwendigen Daten auf den SSD Part ausgelagert hat. Die Platte muss sozusagen das System erst einmal kennenlernen. Adaptive Memory funktioniert ähnlich wie ein Cache, nur das die Daten auch bei Stromabschaltung erhalten bleiben. Der eigentliche Cache wie bei einer herkömmlichen Festplatte ist aber auch vorhanden, da sonst die Performance erheblich leiden würde.

==Grafikkarte==
Eine Grafikkarte steuert in einem Personal Computer die Bildschirmanzeige. Bei Ausführung eines Programmes berechnet der Prozessor die Daten, leitet diese an die Grafikkarte weiter und die Grafikkarte wandelt die Daten so um, dass der Monitor alles als Bild wiedergeben kann.
==CD-ROM Laufwerk==
Ein CD-ROM-Laufwerk (auch CD-Laufwerk genannt) ist ein Gerät zum Lesen von CDs und im speziellen CD-ROMs. Die CD rotiert darin mit einer Drehzahl zwischen 100 und 15000 U/min und wird von einem schwachen Laser (Klasse 1) abgetastet, der sich radial auf einem Schlitten bewegt.
==Soundkarte==
Eine Soundkarte im eigenen Gehäuse auch Audio-Interface, ist Teil der Hardware eines Computersystems und verarbeitet analoge und digitale Audiosignale.
==Netzwerkkarte==
Eine Netzwerkkarte ist eine elektronische Schaltung zur Verbindung eines Computers mit einem lokalen Netzwerk zum Austausch von Daten.

==PC-Netzteil==
Ein PC-Netzteil, auch Computer-Netzteil, ist ein Schaltnetzteil für den Einsatz als Stromversorgung in Mikrocomputern. Die in den meisten Fällen eingebauten Lüfter dienen nicht nur der Eigenkühlung, sondern ganz oder teilweise auch der Kühlung der sonstigen im Computergehäuse eingebauten Komponenten.

=Installation vom Betriebssytem=
Auf der Seite www.ubuntu.com downloadete ich die Version 9.10 Desktop.Sobald es fertig war brannte ich es auf CD.
So jetzt konnte ich mit Installation anfangen. Beim ersten Schritt musste man die Sprache auswählen. Beim zweiten Schritt musste man die Zeit auswählen.
Beim dritten Schritt musste ich die Tastaturbelegung einstellen.Beim 4 Schritt musste man die Festplatte vorbereiten.Beim fünften Schritt hab ich die Partitionen vorbereitet.Man sollte genug Speicherplatz zur Verfügung stellen. Beim sechsten Schritt sollte man seinen Namen eingeben und das Passwort erstellen.Beim letzten Schritt musste man die Installation bestädigen.So fertig jetzt PC neustarten.

Computer

2015-04-20T07:37:50Z

Jan: /* Netzwerkkarte */

=Bestandteile=
==Gehäuse==
Ein Gehäuse ist eine feste Hülle, die einen empfindlichen Inhalt schützend umgibt.
==Motherboard==
Die Motherboard ist die zentrale Platine eines Computers. Auf ihr sind die einzelnen Bauteile wie Hauptprozessor (CPU), Speicher, der BIOS-Chip mit der integrierten Firmware, Schnittstellen-Bausteine und Steckplätze für Erweiterungskarten montiert; sie besteht aus mehreren Lagen.
==Prozessor==
Ein Prozessor ist eine Maschine oder eine elektronische Schaltung, welche gemäß übergebener Befehle andere Maschinen oder elektrische Schaltungen steuert. Am populärsten sind Prozessoren als zentrale Recheneinheiten von Computern, in denen sie Befehle von Software ausführen.
==Prozessorkühler==
Als Prozessorkühler werden Kühlkörper bezeichnet, die auf die speziellen Anforderungen bei der Kühlung von Mikroprozessoren ausgelegt sind. Meist sind es Kühler-Lüfterkombinationen, verbreitet sind auch rein passive Kühlkörper und Wasserkühler.
==Arbeitsspeicher==
Der Arbeitsspeicher oder Hauptspeicher ist in der Informationstechnik der Speicher eines Computers, in dem Datenobjekte, also Programme und die von diesen in Mikroprozessoren zu verarbeitenden Nutzdaten, abgelegt und zu einem späteren Zeitpunkt (unverändert) abgerufen werden können.
==Festplatte==

Ein Festplattenlaufwerk (englisch hard disk drive = HDD), oft auch als Festplatte oder Hard Disk (abgekürzt HD) bezeichnet, ist ein magnetisches Speichermedium der Computertechnik, welches Daten auf die Oberfläche einer rotierenden Scheibe schreibt. Dazu wird die hartmagnetische Beschichtung der Plattenoberfläche entsprechend der aufzuzeichnenden Information magnetisiert. Durch die Remanenz erfolgt die Speicherung der Information.

[[Datei:hdd.jpg|x400px|rechts|Einzelteile einer Festplatte]]

Das Auslesen der Information erfolgt durch Abtastung der Magnetisierung der Plattenoberfläche.

Neuerdings werden mit vergleichbaren Speicherkapazitäten Flash-Speicher, sogenannte Solid-State-Drives (SSDs) und Hybridspeicher (Kombination aus SSD und Festplatte) angeboten, die über dieselben Schnittstellen (SATA, usw.) angesprochen und vereinfacht als „Festplatten“ bezeichnet werden. Preislich liegen SSDs aktuell deutlich über HDDs.

===Aufbau===

Eine Festplatte besteht aus folgenden Baugruppen:

* einer oder mehreren rotierbar gelagerten Scheiben

* einer Achse, auch Spindel genannt, auf der die Scheiben übereinander montiert sind

* einem Elektromotor als Antrieb für die Scheibe(n)

* beweglichen Schreib-/Leseköpfen (Heads)

* jeweils einem Lager für Platter (meistens hydrodynamische Gleitlager) sowie für die Schreib-/Leseköpfe (auch Magnetlager)

* einem Antrieb für die Schreib-/Leseköpfe

* der Steuerelektronik für Motor- und Kopfsteuerung

* einem DSP für Verwaltung, Bedienung des Interfaces, Steuerung der Schreib/Leseköpfe.

* DDR-RAM für Betriebssystem, Programm, temporäre Daten und Festplattencache. Üblich sind derzeit 2 bis 64 MB.

* der Schnittstelle zum Ansprechen der Festplatte von außen und

* einem stabilen Gehäuse (siehe eigenes Kapitel unten).

===Schnittstellen===

[[Datei:sata.jpg|x300px|links]]
[[Datei:SCSI_Connectors..gif|mitte|x300px|]]
[[Datei:sata+esata.jpg|x300px|rechts]]

{| border="1" cellpadding="2" style="width:50%;background:#f9f9f9; border:1px #aaa solid; border-collapse:collapse;"
| colspan="2" align="center" width="50%" |'''Übertragungsraten der einzelnen Schnittstellen'''

|-
| Name
| Übertragungsrate

|-
| IDE
| 133 MB/s

|-
| SATA
| 150 MB/s

|-
| SATA II
| 300 MB/s

|-
| SATA III
| 600 MB/s

|-
| SCSI
| 320 MB/s

|-
| SAS
| 300 MB/s

|-
| SAS II
| 600 MB/s

|-
| SAS III
| 1200 MB/s

|-
| PCIe 3.0 x4
| 4000 MB/s

|-
| PCIe 3.0 x8
| 8000 MB/s

|}

===Leistungsmerkmale===

'''''Die Geschwindigkeit der Lese- und Schreibvorgänge ist von mehreren Faktoren abhängig. Zu diesen Faktoren zählen:'''''

=====Schnittstelle=====

Sie spielt eine große Rolle, da viele Festplatten einen sehr hohen Datendurchsatzstandard besitzen müssen sie dementsprechen, um auch die volle Transferrate erzielen zu können, über eine entsprechen starke Schnittstelle angeschlossen werden. (Bsp.: SATA3)

=====Umdrehungszahl der HDD=====

Diese Zahl gibt an, wie oft sich die Magnetscheibe(n) in einer Minute dreht.
Gängige Modelle sind hier:

* 5400rpm
* 7200rpm
* 10000rpm
* 15000rpm

Durch mehr Umdrehungen in der Minute ist es natürlich möglich auch schneller Daten von der Festplatte zu lesen bzw. zu schreiben. Dadurch steigt aber auch der Stromverbrauch und die Festplatte ist/wird lauter im Vergleich zu einer "Drehzahlniedrigeren".

=====Cache=====

Ein Festplattencache bezeichnet den schnellen Zwischenspeicher einer Festplatte, der Schreib- und Lesezugriffe auf einen Datenträger puffert, um den Einfluss der Latenzzeit und Datenübertragungsrate des Datenträgerzugriffs auf das System zu verringern.

Gängige Modelle:

* 16mb
* 32mb
* 64mb

===Baugrößen===

Mit der Zeit wurde die Festplattengröße auch immer geringer. Die gängigen Größen lauten:
(Natürlich ist es auch möglich eine 2,5" Platte in ein 3,5" Rahmen einzubauen. Dazu werden Einbaurahmen benötigt.)

*-5,25"
*-3,5"
*-2,5"
*-1,8"

[[Datei:Vergleich5,25zu1,8.jpg|x340px|rechts|Vergleich 5,25" zu 1,8"]]

[[Datei:Vergleich3,5zu2,5.jpg|x400px|links|Vergleich 3,5" zu 2,5"]]

===Einsatzgebiete===

Das Einsatzgebiet einer Festplatte ist sehr variabel bzw. unterschiedlich, denn nicht alle Festplatten sind zu jeder Arbeit geeignet. SCSI Festplatten zeichnen sich durch ihre hohe Lebensdauer und Ausdauerfähigkeit, besonders im 24-Stunden Modus aus. Deswegen kommen viele SCSI Platten auch im/in Serverbetrieb/RAIDs vor. Ausserdem kann man an einen SCSI Controller bis zu 16 Festplatten anschliessen, was IDE/SATA nicht bietet.

SATA Festplatten sind aber sehr gut für Desktop-PCs/Laptops geeignet. Sie bieten das beste "Preis/Leistung/Kapazität/Geschwindigkeits"-Verhältnis.
Doch neben diesen Festplatten darf man die SSD nicht verachten.
Gerade in der letzten Zeit werden viele SSDs nachgerüstet. Sie sind besonders für Ressourcenlastige High-End Rechner sehr beliebt.

===RAID===

„Redundant Array of Independent Disks“, also „Redundante Anordnung unabhängiger Festplatten“

Ein RAID-System dient zur Organisation mehrerer physischer Festplatten eines Computers zu einem logischen Laufwerk, das eine höhere Datenverfügbarkeit bei Ausfall einzelner Festplatten und/oder einen größeren Datendurchsatz erlaubt als ein einzelnes physisches Laufwerk.

Während die meisten in Computern verwendeten Techniken und Anwendungen darauf abzielen, Redundanzen (das Vorkommen doppelter Daten) zu vermeiden, werden bei RAID-Systemen redundante Informationen gezielt erzeugt, damit beim Ausfall einzelner Komponenten das RAID als Ganzes seine Integrität und Funktionalität behält und nach Ersetzen der ausgefallenen Komponente durch einen sogenannten Rebuild der ursprüngliche Zustand wiederhergestellt werden kann.

Diese Redundanz darf aber nicht mit einer Datensicherung gleichgesetzt werden.
Kombinationen

[[Datei:RAID 0.svg.png|x200px|rechts]]

RAID 0: Striping – Beschleunigung ohne Redundanz

RAID 0 bietet gesteigerte Transferraten, indem die beteiligten Festplatten in zusammenhängende Blöcke gleicher Größe aufgeteilt werden, wobei diese Blöcke quasi im Reißverschlussverfahren zu einer großen Festplatte angeordnet werden. Somit können Zugriffe auf allen Platten parallel durchgeführt werden (engl. striping, was „in Streifen zerlegen“ bedeutet, abgeleitet von stripe, der „Streifen“). Die Datendurchsatz-Steigerung (bei sequentiellen Zugriffen, aber besonders auch bei hinreichend hoher Nebenläufigkeit) beruht darauf, dass die notwendigen Festplatten-Zugriffe in höherem Maße parallel abgewickelt werden können.

[[Datei:RAID 1.svg.png|x200px|links]]

RAID 1: Mirroring – Spiegelung

RAID 1 ist der Verbund von mindestens zwei Festplatten. Ein RAID 1 speichert auf allen Festplatten die gleichen Daten (Spiegelung) und bietet somit volle Redundanz. Die Kapazität des Arrays ist hierbei höchstens so groß wie die kleinste beteiligte Festplatte.

Ein enormer Vorteil von RAID 1 gegenüber allen anderen RAID-Verfahren liegt in seiner Einfachheit. Beide Platten sind identisch beschrieben und enthalten alle Daten eines Systems, somit kann (die passende Hardware vorausgesetzt) normalerweise auch jede Platte einzeln in zwei unabhängigen Rechnern (intern oder im externen Laufwerk) unmittelbar betrieben und genutzt werden. Aufwändige Rebuilds sind nur dann notwendig, wenn die Platten wieder redundant betrieben werden sollen. Im Störfall wie auch bei Migrationen bzw. Upgrades bedeutet das einen enormen Vorteil.

[[Datei:RAID 10.png|rechts]]

RAID 10: Zusammenspiel von RAID 0 und RAID 1

Ein RAID-10-Verbund ist ein RAID 0 über mehrere RAID 1.
Es werden dabei die Eigenschaften der beiden RAIDs kombiniert:
Sicherheit und gesteigerte Schreib-/Lesegeschwindigkeit.

Ein RAID-10-Verbund benötigt mindestens vier Festplatten.

===Besonderheiten===

====SSD====

Hinter der Abkürzung „SSD“ versteckt sich eine neue Speichertechnologie, die langfristig die herkömmliche Festplatte ablösen soll. SSD bedeutet „Solid State Disk“ oder auch „Solid State Drive“, was im Deutschen etwa mit „Festkörperlaufwerk- oder –platte“ zu übersetzen ist.

Ein SSD-Laufwerk ist ein nichtflüchtiger Massenspeicher, der Informationen in Flash-Bausteinen ablegt, so wie wir sie aus den Speicherkarten von Handy, Kamera und MP3-Player kennen. Nichtflüchtig bedeutet, dass der Speicher nicht dauerhaft mit Strom versorgt werden muss, um sich die gespeicherten Daten behalten zu können. So können Computer, die eine SSD verwenden, genau wie ein Computer mit Festplatte, einfach ausgeschaltet werden und beim nächsten Start sind alle Daten wieder vorhanden. Der Arbeitsspeicher (RAM) des Computers ist, nur um ein Beispiel zu nennen, ein flüchtiger Speicher. Schaltet man den Computer aus, gehen alle Informationen, die sich im Arbeitsspeicher befinden, verloren.

In einer SSD läuft der Speichervorgang rein elektronisch ab, was bedeutet, dass es keine mechanischen/beweglichen Teile mehr gibt. Daraus resultieren eine höhere Stoßresistenz, geringere Abwärme und ein vollkommen lautloser Betrieb. Der Stromverbrauch sinkt durch den Wegfall von beweglichen Bauteilen ebenfalls, was vor allem Notebooks zu Gute kommt und die Akkulaufzeit verlängert.

====Unterschied zwischen HDD und SSD====

Die altbekannte Festplatte ist nach wie vor der meist eingesetzte Massenspeicher auf der ganzen Welt. Durch immer weiter fallende Speicherpreise im Flash-Sektor treten SSD und HDD allerdings auch auf dem Endanwendermarkt zunehmend in Konkurrenz. Ein Vergleich der beiden Technologien ist also keines Falls mehr uninteressant.

'''''Die Gemeinsamkeiten/Unterschiede:'''''

* Festplatte und SSD gehören zu den Massenspeichern und eignen sich als Medium für persönliche Dateien und für die Installation von Betriebssystemen.

* Beide Massenspeicherarten sind „nichtflüchtige“ Speicher, was bedeutet, dass keine Stromversorgung für den Erhalt der Daten gewährleistet sein muss.

* HDD und SSD kommunizieren beide zumeist über das S-ATA Interface mit dem Rest des Computers.

* Festplatte und SSD verfügen über einen Controller, der die Datenströme entsprechend verwaltet.

'''''Die Unterschiede:'''''

* SSDs verzichten im Gegensatz zu Festplatten vollkommen auf mechanische Bauteile

* SSDs verwenden Flash-Speicherzellen (MLC oder SLC) um die Daten zu speichern, während Festplatten Informationen in magnetischer Form festhalten.

* SSDs arbeiten somit komplett lautlos und sind viel resistenter gegen starke äußerliche Einwirkungen.

* SSDs weisen einen geringeren Stromverbrauch auf, was sich ebenfalls in einer geringeren Abwärme äußert und sich positiv auf die Akkulaufzeit und die gesamte Systemtemperatur auswirkt.

* Festplatten gibt es bereits mit Kapazitäten von bis zu 1,5 TB. Die größte erhältliche SSD kann gerade einmal 256 GB aufweisen, auch wenn schon Modelle mit 512 GB vorgestellt worden sind.

* SSDs haben durch den Einsatz von Flash-Speicherbausteinen extrem geringe Zugriffszeiten von deutlich unter einer Millisekunde, was sich positiv auf das Arbeiten am Computer auswirkt. Schnelle Festplatten knacken gerade einmal die 10 Millisekunden-Grenze. Dies liegt daran, dass der Lese- und Schreibkopf der Festplatte vor dem eigentlichen Lesevorgang erst einmal an die richtige Stelle bewegt werden muss – das kostet Zeit.

* SSDs verfügen über wesentlich höhere Transferraten, was sich positiv auf die Gesamtperformance des Computers auswirkt.

====Hybridfestplatte====

Hybridfestplatten vereinen die Festplatten- und SSD Technologien. Samsung brachte 2007 die ersten Hybridplatten auf den Markt. Diese setzten sich damals aber nicht durch, da die Betriebssysteme noch nicht über die notwendigen Optimierungsroutinen verfügten, um die SSD Technologie in ihrem vollen Potential auszuschöpfen. Momentan gibt es wenig Angebot für Hybridfestplatten. Ein Beispiel ist die Momentus XT von Seagate. Diese nutzt die herkömmliche Festplattentechnologie mit einer Kapazität von bis zu 750GB, kombiniert mit einer 4GB SSD mit SLC-Technologie. Für das Zusammenspiel von Festplatte und SSD setzt Seagate die Adaptive Memory Technology ein. Häufig verwendete Daten werden in den SSD Bereich geschrieben, um diese beim nächsten Aufruf schneller zur Verfügung stellen zu können. Laut Seagate soll der Bootvorgang um bis zu 100% schneller sein als mit einer herkömmlichen Festplatte. Es benötigt allerdings mehrere Bootvorgänge, bis die Hybridplatte alle notwendigen Daten auf den SSD Part ausgelagert hat. Die Platte muss sozusagen das System erst einmal kennenlernen. Adaptive Memory funktioniert ähnlich wie ein Cache, nur das die Daten auch bei Stromabschaltung erhalten bleiben. Der eigentliche Cache wie bei einer herkömmlichen Festplatte ist aber auch vorhanden, da sonst die Performance erheblich leiden würde.

==Grafikkarte==
Eine Grafikkarte steuert in einem Personal Computer die Bildschirmanzeige. Bei Ausführung eines Programmes berechnet der Prozessor die Daten, leitet diese an die Grafikkarte weiter und die Grafikkarte wandelt die Daten so um, dass der Monitor alles als Bild wiedergeben kann.
==CD-ROM Laufwerk==
Ein CD-ROM-Laufwerk (auch CD-Laufwerk genannt) ist ein Gerät zum Lesen von CDs und im speziellen CD-ROMs. Die CD rotiert darin mit einer Drehzahl zwischen 100 und 15000 U/min und wird von einem schwachen Laser (Klasse 1) abgetastet, der sich radial auf einem Schlitten bewegt.
==Soundkarte==
Eine Soundkarte im eigenen Gehäuse auch Audio-Interface, ist Teil der Hardware eines Computersystems und verarbeitet analoge und digitale Audiosignale.
==Netzwerkkarte==
Eine Netzwerkkarte ist eine elektronische Schaltung zur Verbindung eines Computers mit einem lokalen Netzwerk zum Austausch von Daten.

==PC-Netzteil==
Ein PC-Netzteil, auch Computer-Netzteil, ist ein Schaltnetzteil für den Einsatz als Stromversorgung in Mikrocomputern. Die in den meisten Fällen eingebauten Lüfter dienen nicht nur der Eigenkühlung, sondern ganz oder teilweise auch der Kühlung der sonstigen im Computergehäuse eingebauten Komponenten.

=Installation vom Betriebssytem=
Auf der Seite www.ubuntu.com downloadete ich die Version 9.10 Desktop.Sobald es fertig war brannte ich es auf CD.
So jetzt konnte ich mit Installation anfangen. Beim ersten Schriit musste man die Sprache auswählen. Beim zweiten Schritt musste man die Zeit auswählen.
Beim dritten Schritt musste ich die Tastaturbelegung einstellen.Beim 4 Schritt musste man die Festplatte vorbereiten.Beim fünften Schritt hab ich die Partitionen vorbereiten.Man sollte genug Speicherplatz zur Verfügung stellen. Beim sechsten Schritt sollte man seinen Namen eingeben und das Passwort erstellen.Beim letzten Schritt musste man die Installation bestädigen.So fertig jetzt PC neustarten.

Computer

2015-04-20T07:02:01Z

Jan: /* Umdrehungszahl der HDD */

=Bestandteile=
==Gehäuse==
Ein Gehäuse ist eine feste Hülle, die einen empfindlichen Inhalt schützend umgibt.
==Motherboard==
Die Motherboard ist die zentrale Platine eines Computers. Auf ihr sind die einzelnen Bauteile wie Hauptprozessor (CPU), Speicher, der BIOS-Chip mit der integrierten Firmware, Schnittstellen-Bausteine und Steckplätze für Erweiterungskarten montiert; sie besteht aus mehreren Lagen.
==Prozessor==
Ein Prozessor ist eine Maschine oder eine elektronische Schaltung, welche gemäß übergebener Befehle andere Maschinen oder elektrische Schaltungen steuert. Am populärsten sind Prozessoren als zentrale Recheneinheiten von Computern, in denen sie Befehle von Software ausführen.
==Prozessorkühler==
Als Prozessorkühler werden Kühlkörper bezeichnet, die auf die speziellen Anforderungen bei der Kühlung von Mikroprozessoren ausgelegt sind. Meist sind es Kühler-Lüfterkombinationen, verbreitet sind auch rein passive Kühlkörper und Wasserkühler.
==Arbeitsspeicher==
Der Arbeitsspeicher oder Hauptspeicher ist in der Informationstechnik der Speicher eines Computers, in dem Datenobjekte, also Programme und die von diesen in Mikroprozessoren zu verarbeitenden Nutzdaten, abgelegt und zu einem späteren Zeitpunkt (unverändert) abgerufen werden können.
==Festplatte==

Ein Festplattenlaufwerk (englisch hard disk drive = HDD), oft auch als Festplatte oder Hard Disk (abgekürzt HD) bezeichnet, ist ein magnetisches Speichermedium der Computertechnik, welches Daten auf die Oberfläche einer rotierenden Scheibe schreibt. Dazu wird die hartmagnetische Beschichtung der Plattenoberfläche entsprechend der aufzuzeichnenden Information magnetisiert. Durch die Remanenz erfolgt die Speicherung der Information.

[[Datei:hdd.jpg|x400px|rechts|Einzelteile einer Festplatte]]

Das Auslesen der Information erfolgt durch Abtastung der Magnetisierung der Plattenoberfläche.

Neuerdings werden mit vergleichbaren Speicherkapazitäten Flash-Speicher, sogenannte Solid-State-Drives (SSDs) und Hybridspeicher (Kombination aus SSD und Festplatte) angeboten, die über dieselben Schnittstellen (SATA, usw.) angesprochen und vereinfacht als „Festplatten“ bezeichnet werden. Preislich liegen SSDs aktuell deutlich über HDDs.

===Aufbau===

Eine Festplatte besteht aus folgenden Baugruppen:

* einer oder mehreren rotierbar gelagerten Scheiben

* einer Achse, auch Spindel genannt, auf der die Scheiben übereinander montiert sind

* einem Elektromotor als Antrieb für die Scheibe(n)

* beweglichen Schreib-/Leseköpfen (Heads)

* jeweils einem Lager für Platter (meistens hydrodynamische Gleitlager) sowie für die Schreib-/Leseköpfe (auch Magnetlager)

* einem Antrieb für die Schreib-/Leseköpfe

* der Steuerelektronik für Motor- und Kopfsteuerung

* einem DSP für Verwaltung, Bedienung des Interfaces, Steuerung der Schreib/Leseköpfe.

* DDR-RAM für Betriebssystem, Programm, temporäre Daten und Festplattencache. Üblich sind derzeit 2 bis 64 MB.

* der Schnittstelle zum Ansprechen der Festplatte von außen und

* einem stabilen Gehäuse (siehe eigenes Kapitel unten).

===Schnittstellen===

[[Datei:sata.jpg|x300px|links]]
[[Datei:SCSI_Connectors..gif|mitte|x300px|]]
[[Datei:sata+esata.jpg|x300px|rechts]]

{| border="1" cellpadding="2" style="width:50%;background:#f9f9f9; border:1px #aaa solid; border-collapse:collapse;"
| colspan="2" align="center" width="50%" |'''Übertragungsraten der einzelnen Schnittstellen'''

|-
| Name
| Übertragungsrate

|-
| IDE
| 133 MB/s

|-
| SATA
| 150 MB/s

|-
| SATA II
| 300 MB/s

|-
| SATA III
| 600 MB/s

|-
| SCSI
| 320 MB/s

|-
| SAS
| 300 MB/s

|-
| SAS II
| 600 MB/s

|-
| SAS III
| 1200 MB/s

|-
| PCIe 3.0 x4
| 4000 MB/s

|-
| PCIe 3.0 x8
| 8000 MB/s

|}

===Leistungsmerkmale===

'''''Die Geschwindigkeit der Lese- und Schreibvorgänge ist von mehreren Faktoren abhängig. Zu diesen Faktoren zählen:'''''

=====Schnittstelle=====

Sie spielt eine große Rolle, da viele Festplatten einen sehr hohen Datendurchsatzstandard besitzen müssen sie dementsprechen, um auch die volle Transferrate erzielen zu können, über eine entsprechen starke Schnittstelle angeschlossen werden. (Bsp.: SATA3)

=====Umdrehungszahl der HDD=====

Diese Zahl gibt an, wie oft sich die Magnetscheibe(n) in einer Minute dreht.
Gängige Modelle sind hier:

* 5400rpm
* 7200rpm
* 10000rpm
* 15000rpm

Durch mehr Umdrehungen in der Minute ist es natürlich möglich auch schneller Daten von der Festplatte zu lesen bzw. zu schreiben. Dadurch steigt aber auch der Stromverbrauch und die Festplatte ist/wird lauter im Vergleich zu einer "Drehzahlniedrigeren".

=====Cache=====

Ein Festplattencache bezeichnet den schnellen Zwischenspeicher einer Festplatte, der Schreib- und Lesezugriffe auf einen Datenträger puffert, um den Einfluss der Latenzzeit und Datenübertragungsrate des Datenträgerzugriffs auf das System zu verringern.

Gängige Modelle:

* 16mb
* 32mb
* 64mb

===Baugrößen===

Mit der Zeit wurde die Festplattengröße auch immer geringer. Die gängigen Größen lauten:
(Natürlich ist es auch möglich eine 2,5" Platte in ein 3,5" Rahmen einzubauen. Dazu werden Einbaurahmen benötigt.)

*-5,25"
*-3,5"
*-2,5"
*-1,8"

[[Datei:Vergleich5,25zu1,8.jpg|x340px|rechts|Vergleich 5,25" zu 1,8"]]

[[Datei:Vergleich3,5zu2,5.jpg|x400px|links|Vergleich 3,5" zu 2,5"]]

===Einsatzgebiete===

Das Einsatzgebiet einer Festplatte ist sehr variabel bzw. unterschiedlich, denn nicht alle Festplatten sind zu jeder Arbeit geeignet. SCSI Festplatten zeichnen sich durch ihre hohe Lebensdauer und Ausdauerfähigkeit, besonders im 24-Stunden Modus aus. Deswegen kommen viele SCSI Platten auch im/in Serverbetrieb/RAIDs vor. Ausserdem kann man an einen SCSI Controller bis zu 16 Festplatten anschliessen, was IDE/SATA nicht bietet.

SATA Festplatten sind aber sehr gut für Desktop-PCs/Laptops geeignet. Sie bieten das beste "Preis/Leistung/Kapazität/Geschwindigkeits"-Verhältnis.
Doch neben diesen Festplatten darf man die SSD nicht verachten.
Gerade in der letzten Zeit werden viele SSDs nachgerüstet. Sie sind besonders für Ressourcenlastige High-End Rechner sehr beliebt.

===RAID===

„Redundant Array of Independent Disks“, also „Redundante Anordnung unabhängiger Festplatten“

Ein RAID-System dient zur Organisation mehrerer physischer Festplatten eines Computers zu einem logischen Laufwerk, das eine höhere Datenverfügbarkeit bei Ausfall einzelner Festplatten und/oder einen größeren Datendurchsatz erlaubt als ein einzelnes physisches Laufwerk.

Während die meisten in Computern verwendeten Techniken und Anwendungen darauf abzielen, Redundanzen (das Vorkommen doppelter Daten) zu vermeiden, werden bei RAID-Systemen redundante Informationen gezielt erzeugt, damit beim Ausfall einzelner Komponenten das RAID als Ganzes seine Integrität und Funktionalität behält und nach Ersetzen der ausgefallenen Komponente durch einen sogenannten Rebuild der ursprüngliche Zustand wiederhergestellt werden kann.

Diese Redundanz darf aber nicht mit einer Datensicherung gleichgesetzt werden.
Kombinationen

[[Datei:RAID 0.svg.png|x200px|rechts]]

RAID 0: Striping – Beschleunigung ohne Redundanz

RAID 0 bietet gesteigerte Transferraten, indem die beteiligten Festplatten in zusammenhängende Blöcke gleicher Größe aufgeteilt werden, wobei diese Blöcke quasi im Reißverschlussverfahren zu einer großen Festplatte angeordnet werden. Somit können Zugriffe auf allen Platten parallel durchgeführt werden (engl. striping, was „in Streifen zerlegen“ bedeutet, abgeleitet von stripe, der „Streifen“). Die Datendurchsatz-Steigerung (bei sequentiellen Zugriffen, aber besonders auch bei hinreichend hoher Nebenläufigkeit) beruht darauf, dass die notwendigen Festplatten-Zugriffe in höherem Maße parallel abgewickelt werden können.

[[Datei:RAID 1.svg.png|x200px|links]]

RAID 1: Mirroring – Spiegelung

RAID 1 ist der Verbund von mindestens zwei Festplatten. Ein RAID 1 speichert auf allen Festplatten die gleichen Daten (Spiegelung) und bietet somit volle Redundanz. Die Kapazität des Arrays ist hierbei höchstens so groß wie die kleinste beteiligte Festplatte.

Ein enormer Vorteil von RAID 1 gegenüber allen anderen RAID-Verfahren liegt in seiner Einfachheit. Beide Platten sind identisch beschrieben und enthalten alle Daten eines Systems, somit kann (die passende Hardware vorausgesetzt) normalerweise auch jede Platte einzeln in zwei unabhängigen Rechnern (intern oder im externen Laufwerk) unmittelbar betrieben und genutzt werden. Aufwändige Rebuilds sind nur dann notwendig, wenn die Platten wieder redundant betrieben werden sollen. Im Störfall wie auch bei Migrationen bzw. Upgrades bedeutet das einen enormen Vorteil.

[[Datei:RAID 10.png|rechts]]

RAID 10: Zusammenspiel von RAID 0 und RAID 1

Ein RAID-10-Verbund ist ein RAID 0 über mehrere RAID 1.
Es werden dabei die Eigenschaften der beiden RAIDs kombiniert:
Sicherheit und gesteigerte Schreib-/Lesegeschwindigkeit.

Ein RAID-10-Verbund benötigt mindestens vier Festplatten.

===Besonderheiten===

====SSD====

Hinter der Abkürzung „SSD“ versteckt sich eine neue Speichertechnologie, die langfristig die herkömmliche Festplatte ablösen soll. SSD bedeutet „Solid State Disk“ oder auch „Solid State Drive“, was im Deutschen etwa mit „Festkörperlaufwerk- oder –platte“ zu übersetzen ist.

Ein SSD-Laufwerk ist ein nichtflüchtiger Massenspeicher, der Informationen in Flash-Bausteinen ablegt, so wie wir sie aus den Speicherkarten von Handy, Kamera und MP3-Player kennen. Nichtflüchtig bedeutet, dass der Speicher nicht dauerhaft mit Strom versorgt werden muss, um sich die gespeicherten Daten behalten zu können. So können Computer, die eine SSD verwenden, genau wie ein Computer mit Festplatte, einfach ausgeschaltet werden und beim nächsten Start sind alle Daten wieder vorhanden. Der Arbeitsspeicher (RAM) des Computers ist, nur um ein Beispiel zu nennen, ein flüchtiger Speicher. Schaltet man den Computer aus, gehen alle Informationen, die sich im Arbeitsspeicher befinden, verloren.

In einer SSD läuft der Speichervorgang rein elektronisch ab, was bedeutet, dass es keine mechanischen/beweglichen Teile mehr gibt. Daraus resultieren eine höhere Stoßresistenz, geringere Abwärme und ein vollkommen lautloser Betrieb. Der Stromverbrauch sinkt durch den Wegfall von beweglichen Bauteilen ebenfalls, was vor allem Notebooks zu Gute kommt und die Akkulaufzeit verlängert.

====Unterschied zwischen HDD und SSD====

Die altbekannte Festplatte ist nach wie vor der meist eingesetzte Massenspeicher auf der ganzen Welt. Durch immer weiter fallende Speicherpreise im Flash-Sektor treten SSD und HDD allerdings auch auf dem Endanwendermarkt zunehmend in Konkurrenz. Ein Vergleich der beiden Technologien ist also keines Falls mehr uninteressant.

'''''Die Gemeinsamkeiten/Unterschiede:'''''

* Festplatte und SSD gehören zu den Massenspeichern und eignen sich als Medium für persönliche Dateien und für die Installation von Betriebssystemen.

* Beide Massenspeicherarten sind „nichtflüchtige“ Speicher, was bedeutet, dass keine Stromversorgung für den Erhalt der Daten gewährleistet sein muss.

* HDD und SSD kommunizieren beide zumeist über das S-ATA Interface mit dem Rest des Computers.

* Festplatte und SSD verfügen über einen Controller, der die Datenströme entsprechend verwaltet.

'''''Die Unterschiede:'''''

* SSDs verzichten im Gegensatz zu Festplatten vollkommen auf mechanische Bauteile

* SSDs verwenden Flash-Speicherzellen (MLC oder SLC) um die Daten zu speichern, während Festplatten Informationen in magnetischer Form festhalten.

* SSDs arbeiten somit komplett lautlos und sind viel resistenter gegen starke äußerliche Einwirkungen.

* SSDs weisen einen geringeren Stromverbrauch auf, was sich ebenfalls in einer geringeren Abwärme äußert und sich positiv auf die Akkulaufzeit und die gesamte Systemtemperatur auswirkt.

* Festplatten gibt es bereits mit Kapazitäten von bis zu 1,5 TB. Die größte erhältliche SSD kann gerade einmal 256 GB aufweisen, auch wenn schon Modelle mit 512 GB vorgestellt worden sind.

* SSDs haben durch den Einsatz von Flash-Speicherbausteinen extrem geringe Zugriffszeiten von deutlich unter einer Millisekunde, was sich positiv auf das Arbeiten am Computer auswirkt. Schnelle Festplatten knacken gerade einmal die 10 Millisekunden-Grenze. Dies liegt daran, dass der Lese- und Schreibkopf der Festplatte vor dem eigentlichen Lesevorgang erst einmal an die richtige Stelle bewegt werden muss – das kostet Zeit.

* SSDs verfügen über wesentlich höhere Transferraten, was sich positiv auf die Gesamtperformance des Computers auswirkt.

====Hybridfestplatte====

Hybridfestplatten vereinen die Festplatten- und SSD Technologien. Samsung brachte 2007 die ersten Hybridplatten auf den Markt. Diese setzten sich damals aber nicht durch, da die Betriebssysteme noch nicht über die notwendigen Optimierungsroutinen verfügten, um die SSD Technologie in ihrem vollen Potential auszuschöpfen. Momentan gibt es wenig Angebot für Hybridfestplatten. Ein Beispiel ist die Momentus XT von Seagate. Diese nutzt die herkömmliche Festplattentechnologie mit einer Kapazität von bis zu 750GB, kombiniert mit einer 4GB SSD mit SLC-Technologie. Für das Zusammenspiel von Festplatte und SSD setzt Seagate die Adaptive Memory Technology ein. Häufig verwendete Daten werden in den SSD Bereich geschrieben, um diese beim nächsten Aufruf schneller zur Verfügung stellen zu können. Laut Seagate soll der Bootvorgang um bis zu 100% schneller sein als mit einer herkömmlichen Festplatte. Es benötigt allerdings mehrere Bootvorgänge, bis die Hybridplatte alle notwendigen Daten auf den SSD Part ausgelagert hat. Die Platte muss sozusagen das System erst einmal kennenlernen. Adaptive Memory funktioniert ähnlich wie ein Cache, nur das die Daten auch bei Stromabschaltung erhalten bleiben. Der eigentliche Cache wie bei einer herkömmlichen Festplatte ist aber auch vorhanden, da sonst die Performance erheblich leiden würde.

==Grafikkarte==
Eine Grafikkarte steuert in einem Personal Computer die Bildschirmanzeige. Bei Ausführung eines Programmes berechnet der Prozessor die Daten, leitet diese an die Grafikkarte weiter und die Grafikkarte wandelt die Daten so um, dass der Monitor alles als Bild wiedergeben kann.
==CD-ROM Laufwerk==
Ein CD-ROM-Laufwerk (auch CD-Laufwerk genannt) ist ein Gerät zum Lesen von CDs und im speziellen CD-ROMs. Die CD rotiert darin mit einer Drehzahl zwischen 100 und 15000 U/min und wird von einem schwachen Laser (Klasse 1) abgetastet, der sich radial auf einem Schlitten bewegt.
==Soundkarte==
Eine Soundkarte im eigenen Gehäuse auch Audio-Interface, ist Teil der Hardware eines Computersystems und verarbeitet analoge und digitale Audiosignale.
==Netzwerkkarte==
ine Netzwerkkarte ist eine elektronische Schaltung zur Verbindung eines Computers mit einem lokalen Netzwerk zum Austausch von Daten.
==PC-Netzteil==
Ein PC-Netzteil, auch Computer-Netzteil, ist ein Schaltnetzteil für den Einsatz als Stromversorgung in Mikrocomputern. Die in den meisten Fällen eingebauten Lüfter dienen nicht nur der Eigenkühlung, sondern ganz oder teilweise auch der Kühlung der sonstigen im Computergehäuse eingebauten Komponenten.

=Installation vom Betriebssytem=
Auf der Seite www.ubuntu.com downloadete ich die Version 9.10 Desktop.Sobald es fertig war brannte ich es auf CD.
So jetzt konnte ich mit Installation anfangen. Beim ersten Schriit musste man die Sprache auswählen. Beim zweiten Schritt musste man die Zeit auswählen.
Beim dritten Schritt musste ich die Tastaturbelegung einstellen.Beim 4 Schritt musste man die Festplatte vorbereiten.Beim fünften Schritt hab ich die Partitionen vorbereiten.Man sollte genug Speicherplatz zur Verfügung stellen. Beim sechsten Schritt sollte man seinen Namen eingeben und das Passwort erstellen.Beim letzten Schritt musste man die Installation bestädigen.So fertig jetzt PC neustarten.

IPTables - from scratch

2015-04-16T13:47:47Z

Jan: /* Ein VPN-Tunnel */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
stop)
echo "stoppe firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT'''
'''iptables -A INPUT -i lo -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===FORWARD===
Um den an die Firewall angeschlossenen Rechnern einen Netzzugang zu gestatten müssen wir deren DNS Anfragen zulassen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p udp --dport 53 -m state --state NEW -j ACCEPT'''

;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-i ''': Hier wird die Schnittstelle definiert auf der die Anfragen an die Firewall eingehen
:'''-o''': Hier wird die Schnittstelle definiert auf die Anfragen die Firewall verlassen
:'''FORWARD''': Damit die Firewall weiß, dass das Paket weitergeleitet werden soll
:'''--dport''': Hier wird der Zielport der Anfragen definiert

===MULTIPORT===

Ausser dem DNS müssen zum arbeiten noch andere Ports geöffnet werden. Um nicht für jeden eine einzelne Regel anlegen zu müssen bietet sich die Nutzung des Parameters Multiport an.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i vmbr1 -o vmbr0 -p udp --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp -m multiport --dport 22,25,80,443,143 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax

:'''-m multiport''': Hiermit weiß die Firewall, daß unter '''--dport''' mehrere Ports hinterlegt wurden

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:''' PREROUTING''': Die Aktion soll noch vor einer Routingentscheidung durchgeführt werden

====DNAT für alle Protokolle/Ports - one IP====

iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP

Alle Pakete die an die Adresse $1stIP gehen werden an die Adresse $2nIP umgeleitet

====DNAT auf einen Port====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP

Alle Pakete die an den Port $EINGANGSPORT der Adresse $1stIP gehen werden an die Adresse $2nIP umgeleitet

====DNAT Portumleitung====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

Alle Pakete die an den Port $EINGANGSPORT der Adresse $1stIP gehen werden an den Port $WUNSCHPORT der Adresse $2nIP umgeleitet

(Wenn die Destination IP der Host ist, reicht die Schnittstellenangabe!
iptables -t nat -A PREROUTING -p tcp -i $WANDEV --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

====FORWARD====

iptables -t nat -A PREROUTING -j DNAT -i $WAN -p tcp --dport $EINGANGSPORT --to $2ndIP:$WUNSCHPORT
iptables -A FORWARD -p tcp -d $2ndIP --dport $WUNSCHPORT -j ACCEPT -m state --state NEW

==== FULL NAT ====
iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP
iptables -t nat -A POSTROUTING -s $2ndIP -j SNAT --to-destination $1stIP

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,

=netstat-nat and conntrack=
*[[netstat-nat]]
*[[conntrack]]

=DNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="4567"
1stIP="WEITERLEITUNGS-IP"
2ndIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $1stIP
iptables -t nat -A PREROUTING -d $2ndIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $1stIP --to $2ndIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

;Verwendete Syntax
:'''-N innat''': Hier wird eine neue Kette mit dem Namen "innat" angelegt

=mark=

iptables -t mangle -A PREROUTING -j MARK -p tcp --dport 25 --set-mark 9
iptables -t nat -A PREROUTING -j REDIRECT -p tcp --dport 25 --to 52525
iptables -A INPUT -j ACCEPT -m mark --mark 9

Alle ankommenden Pakete, die den angegebenen Bedingungen entsprechen (hier: TCP-Pakete mit Zielport 25) werden markiert. Es sind bis zu 32 verschiedene Markierungen möglich.

Anhand dieser Markierungen können die Pakete nun, wie in unserem Beispiel auf einen anderen Port (52525) umgeleitet werden, ohne, dass dieser Port nach aussen geöffnet werden muss.

Weiterhin werden im obigen Beispiel alle eingehenden Pakete, die den Marker 9 targen automatisch von der Firewall durchgelassen.

=Mangle=

iptables -t mangle -A FORWARD -p tcp -i $LAN -o $WAN --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400

=VPN Tunnel zulassen=

Über den switch policy ist es möglich alle Pakete, die zu einem bestimmten VPN-Tunnel gehören durch die Firewall zu lassen.

==ACHTUNG!==

Dies funktioniert nicht, wenn der Tunnel genattet wird!

==Ein VPN-Tunnel==

iptables -A FORWARD -i $LAN -o $WAN -s $LEFTNET -d $RIGHTNET -m policy --dir out --pol ipsec -m state --state NEW -j ACCEPT

iptables -A FORWARD -i $WAN -o $LAN -s $RIGHTNET -d $LEFTNET -m policy --dir in --pol ipsec -m state --state NEW -j ACCEPT

;Verwendete Syntax
:'''$LAN''': Bezeichnet die dem Netzwerk zugewandte Schnittstelle
:'''$WAN''': Bezeichnet die dem Internet zugewandte Schnittstelle
:'''$LEFTNET''': Bezeichnet das auf unserer Seite hinter der Firewall liegende Netzwerk
:'''$RIGHTNET''': Bezeichnet das auf der anderen Seite des VPN-Tunnels liegende Netzwerk
:'''-m policy''': Ruft das Modul "policy" auf
:'''--pol ipsec''': Bezeichnet die zu betrachtende policy. Hier IPSEC
:'''--dir in/out''': Legt die Richtung fest in welcher Richtung die policy betrachtet werden soll

iptables -A INPUT -i eth0 -p esp -m state --state NEW -j ACCEPT

ESP-Protokoll zulassen

==Mehrere VPN-Tunnel==

Wenn wir auf unserer Firewall mehrere Tunnel haben, die wir entsprechend filtern wollen, bietet es sich an eine neue Kette zu erstellen. Das Ergebnis ist zwar in beiden Fällen das Gleiche aber durch die Kette wird unsere Firewall übersichtlicher und wir sparen uns auch einiges an Schreibarbeit.

<pre>
iptables -N vpn-in-accept
iptables -A vpn-in-accept -m policy --dir in --pol ipsec -m state --state NEW -j ACCEPT
iptables -A vpn-in-accept -j RETURN
iptables -N vpn-out-accept
iptables -A vpn-out-accept -m policy --dir out --pol ipsec -m state --state NEW -j ACCEPT
iptables -A vpn-out-accept -j RETURN
</pre>

Und nun wenden wir die neue Kette an

<pre>
iptables -A FORWARD -i $LAN -o $WAN -s $LEFTNET -d $RIGHTNET -j vpn-out-accept
iptables -A FORWARD -i $WAN -o $LAN -s $RIGHTNET -d $LEFTNET -j vpn-in-accept
</pre>

IPTables - from scratch

2015-04-16T13:47:19Z

Jan: /* Ein VPN-Tunnel */

IPTables - from scratch

2015-04-16T13:42:32Z

Jan: /* Ein VPN-Tunnel */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
stop)
echo "stoppe firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT'''
'''iptables -A INPUT -i lo -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===FORWARD===
Um den an die Firewall angeschlossenen Rechnern einen Netzzugang zu gestatten müssen wir deren DNS Anfragen zulassen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p udp --dport 53 -m state --state NEW -j ACCEPT'''

;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-i ''': Hier wird die Schnittstelle definiert auf der die Anfragen an die Firewall eingehen
:'''-o''': Hier wird die Schnittstelle definiert auf die Anfragen die Firewall verlassen
:'''FORWARD''': Damit die Firewall weiß, dass das Paket weitergeleitet werden soll
:'''--dport''': Hier wird der Zielport der Anfragen definiert

===MULTIPORT===

Ausser dem DNS müssen zum arbeiten noch andere Ports geöffnet werden. Um nicht für jeden eine einzelne Regel anlegen zu müssen bietet sich die Nutzung des Parameters Multiport an.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.242.0/24 -j MASQUERADE -o eth0 '''
iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i vmbr1 -o vmbr0 -p udp --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A FORWARD -i vmbr1 -o vmbr0 -p tcp -m multiport --dport 22,25,80,443,143 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax

:'''-m multiport''': Hiermit weiß die Firewall, daß unter '''--dport''' mehrere Ports hinterlegt wurden

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:''' PREROUTING''': Die Aktion soll noch vor einer Routingentscheidung durchgeführt werden

====DNAT für alle Protokolle/Ports - one IP====

iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP

Alle Pakete die an die Adresse $1stIP gehen werden an die Adresse $2nIP umgeleitet

====DNAT auf einen Port====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP

Alle Pakete die an den Port $EINGANGSPORT der Adresse $1stIP gehen werden an die Adresse $2nIP umgeleitet

====DNAT Portumleitung====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

Alle Pakete die an den Port $EINGANGSPORT der Adresse $1stIP gehen werden an den Port $WUNSCHPORT der Adresse $2nIP umgeleitet

(Wenn die Destination IP der Host ist, reicht die Schnittstellenangabe!
iptables -t nat -A PREROUTING -p tcp -i $WANDEV --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

====FORWARD====

iptables -t nat -A PREROUTING -j DNAT -i $WAN -p tcp --dport $EINGANGSPORT --to $2ndIP:$WUNSCHPORT
iptables -A FORWARD -p tcp -d $2ndIP --dport $WUNSCHPORT -j ACCEPT -m state --state NEW

==== FULL NAT ====
iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP
iptables -t nat -A POSTROUTING -s $2ndIP -j SNAT --to-destination $1stIP

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,

=netstat-nat and conntrack=
*[[netstat-nat]]
*[[conntrack]]

=DNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="4567"
1stIP="WEITERLEITUNGS-IP"
2ndIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $1stIP
iptables -t nat -A PREROUTING -d $2ndIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $1stIP --to $2ndIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

;Verwendete Syntax
:'''-N innat''': Hier wird eine neue Kette mit dem Namen "innat" angelegt

=mark=

iptables -t mangle -A PREROUTING -j MARK -p tcp --dport 25 --set-mark 9
iptables -t nat -A PREROUTING -j REDIRECT -p tcp --dport 25 --to 52525
iptables -A INPUT -j ACCEPT -m mark --mark 9

Alle ankommenden Pakete, die den angegebenen Bedingungen entsprechen (hier: TCP-Pakete mit Zielport 25) werden markiert. Es sind bis zu 32 verschiedene Markierungen möglich.

Anhand dieser Markierungen können die Pakete nun, wie in unserem Beispiel auf einen anderen Port (52525) umgeleitet werden, ohne, dass dieser Port nach aussen geöffnet werden muss.

Weiterhin werden im obigen Beispiel alle eingehenden Pakete, die den Marker 9 targen automatisch von der Firewall durchgelassen.

=Mangle=

iptables -t mangle -A FORWARD -p tcp -i $LAN -o $WAN --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400

=VPN Tunnel zulassen=

Über den switch policy ist es möglich alle Pakete, die zu einem bestimmten VPN-Tunnel gehören durch die Firewall zu lassen.

==ACHTUNG!==

Dies funktioniert nicht, wenn der Tunnel genattet wird!

==Ein VPN-Tunnel==

iptables -A FORWARD -i $LAN -o $WAN -s $LEFTNET -d $RIGHTNET -m policy --dir out --pol ipsec -m state --state NEW -j ACCEPT

iptables -A FORWARD -i $WAN -o $LAN -s $RIGHTNET -d $LEFTNET -m policy --dir in --pol ipsec -m state --state NEW -j ACCEPT

iptables -A INPUT -i eth0 -p esp -m state --state NEW -j ACCEPT

;Verwendete Syntax
:'''$LAN''': Bezeichnet die dem Netzwerk zugewandte Schnittstelle
:'''$WAN''': Bezeichnet die dem Internet zugewandte Schnittstelle
:'''$LEFTNET''': Bezeichnet das auf unserer Seite hinter der Firewall liegende Netzwerk
:'''$RIGHTNET''': Bezeichnet das auf der anderen Seite des VPN-Tunnels liegende Netzwerk
:'''-m policy''': Ruft das Modul "policy" auf
:'''--pol ipsec''': Bezeichnet die zu betrachtende policy. Hier IPSEC
:'''--dir in/out''': Legt die Richtung fest in welcher Richtung die policy betrachtet werden soll

==Mehrere VPN-Tunnel==

Wenn wir auf unserer Firewall mehrere Tunnel haben, die wir entsprechend filtern wollen, bietet es sich an eine neue Kette zu erstellen. Das Ergebnis ist zwar in beiden Fällen das Gleiche aber durch die Kette wird unsere Firewall übersichtlicher und wir sparen uns auch einiges an Schreibarbeit.

<pre>
iptables -N vpn-in-accept
iptables -A vpn-in-accept -m policy --dir in --pol ipsec -m state --state NEW -j ACCEPT
iptables -A vpn-in-accept -j RETURN
iptables -N vpn-out-accept
iptables -A vpn-out-accept -m policy --dir out --pol ipsec -m state --state NEW -j ACCEPT
iptables -A vpn-out-accept -j RETURN
</pre>

Und nun wenden wir die neue Kette an

<pre>
iptables -A FORWARD -i $LAN -o $WAN -s $LEFTNET -d $RIGHTNET -j vpn-out-accept
iptables -A FORWARD -i $WAN -o $LAN -s $RIGHTNET -d $LEFTNET -j vpn-in-accept
</pre>

Openswan zu openswan

2015-04-15T15:08:35Z

Jan:

==Komponenten==
*1 PC
*1 VM

==Zielbestimmung==

VPN zwischen PC und VM die Netze dahinter Tunneln

===Muss Kriterien===

*Netzwerke über Tunnel gegenseitig erreichbar

===Kann Kriterien===
*PSK
*Zertifikate
**ohne roadwarrior
**mit roadwarrior

==Umgebung==
===Software===

*Ubuntu 11.04 2.6.38-8-server
*Ubuntu 10.04.2 2.6.32-33-generic-pae

===Hardware===
*Router mit 2 Netzwerk-Schnittstellen
*ESXi Server (VMware)

==Funktionalität==
*IPsec Implementierung auf beiden Seiten installieren
apt-get install openswan
===Openswan konfigurieren ( PSK )===
Konfiguration ist auf beiden Rechnern gleich
====Tunnel Parameter definieren====
;Tunnelkonfiguration
/etc/ipsec.conf
conn par-tun
authby=secret
left=192.168.242.100
leftid=192.168.242.100
leftsubnet=172.23.242.0/24
right=192.168.249.121
rightid=192.168.249.121
rightsubnet=192.168.33.0/24
ike=3des-md5-modp1024
esp=3des-md5-96
pfs=yes
auto=start

;PSK-secret Definition

# <linke ID> <rechte ID> : <Type> <Secret>
192.168.242.100 192.168.249.121 : PSK "natuerliches mineralwasser"

;Konfiguration laden und Tunnel starten
ipsec setup --restart

;Tunnel neustarten
ipsec auto --delete par-tun
ipsec auto --add par-tun
ipsec auto --up par-tun

;Secrets neu einlesen
ipsec auto -rereadsecrets

====IPsec in Firewall eintragen====

iptables -A FORWARD -i $LAN -o $WAN -m policy --pol ipsec --mode tunnel --dir out -j ACCEPT
iptables -A FORWARD -i $WAN -o $LAN -m policy --pol ipsec --mode tunnel --dir in -j ACCEPT

===Zertifikate einrichten===
====Zertifizierungsstelle erstellen====

makepki ca

====Zertifikate erstellen====

makepki cert paragon
makepki cert tunesien

====Zertifikate übernehmen====
Auf der Zertifizierungsstelle

tar -cvzf paragon.tgz ca.crt ca.crl paragon.key paragon.crt
scp paragon.tgz paragon:/root
tar -cvzf tunesien.tgz ca.crt ca.crl tunesien.key tunesien.crt
scp tunesien.tgz tunesien:/root

Auf paragon

tar -xvzf paragon.tgz
cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt
cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt
cp -v paragon.key /etc/ipsec.d/private/
cp -v paragon.crt /etc/ipsec.d/certs/
Auf tunesien
tar -xvzf tunesien.tgz
cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt
cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt
cp -v tunesien.key /etc/ipsec.d/private/
cp -v tunesien.crt /etc/ipsec.d/certs/

====Zertifikate ansehen====
openssl x509 -noout -text -in filename.crt

===Zertifikate (ohne roadwarrior)===

====Konfigurationsdateien anpassen====

;Paragon
ipsec.conf
conn par-tun
authby=rsasig
leftcert=paragon.crt
left=192.168.242.100
leftrsasigkey=%cert
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"
leftsubnet=172.23.242.0/24
right=192.168.249.121
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"
rightrsasigkey=%cert
rightsubnet=192.168.33.0/24
ike=3des-md5-modp1024
esp=3des-md5-96
pfs=yes
auto=start

ipsec.secret
192.168.242.100 : RSA paragon.key ""

;tunesien
ipsec.conf
conn par-tun
authby=rsasig
left=192.168.242.100
leftrsasigkey=%cert
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"
leftsubnet=172.23.242.0/24
rightcert=tunesien.crt
right=192.168.249.121
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"
rightrsasigkey=%cert
rightsubnet=192.168.33.0/24
ike=3des-md5-modp1024
esp=3des-md5-96
pfs=yes
auto=start
ipsec.secret
192.168.249.121 : RSA tunesien.key ""

===Zertifikate ( mit roadwarrior )===

====Server====
ipsec.conf
conn par-tun
leftcert=paragon.crt
left=192.168.242.100
leftrsasigkey=%cert
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"
leftsubnet=172.23.242.0/24
right=%any
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"
rightrsasigkey=%cert
rightsubnet=192.168.33.0/24
ike=3des-md5-modp1536
esp=3des-md5-96
pfs=yes
authby=rsasig
auto=add

====Roadwarrior====
ipsec.conf

conn par-tun
left=192.168.242.100
leftrsasigkey=%cert
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"
leftsubnet=172.23.242.0/24
right=%defaultroute
rightcert=tunesien.crt
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"
rightsubnet=192.168.33.0/24
ike=3des-md5-modp1024
esp=3des-md5-96
pfs=yes
authby=rsasig
auto=start

Kommandos

2015-03-09T15:15:08Z

Jan: /* Optionen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Optionen==

-b, --bridge="" Attach containers to a pre-existing network bridge
-d, --daemon=false Enable daemon mode
--dns=[] Force Docker to use specific DNS servers
--fixed-cidr="" IPv4 subnet for fixed IPs (e.g. 10.20.0.0/16)
-l, --log-level="info" Set the logging level (debug, info, warn, error, fatal)

==Kommandos==

attach Attach to a running container
build Build an image from a Dockerfile
commit Create a new image from a container's changes
cp Copy files/folders from a container's filesystem to the host path
create Create a new container
diff Inspect changes on a container's filesystem
events Get real time events from the server
exec Run a command in a running container
export Stream the contents of a container as a tar archive
history Show the history of an image
images List images
import Create a new filesystem image from the contents of a tarball
info Display system-wide information
inspect Return low-level information on a container or image
kill Kill a running container
load Load an image from a tar archive
login Register or log in to a Docker registry server
logout Log out from a Docker registry server
logs Fetch the logs of a container
port Lookup the public-facing port that is NAT-ed to PRIVATE_PORT
pause Pause all processes within a container
ps List containers
pull Pull an image or a repository from a Docker registry server
push Push an image or a repository to a Docker registry server
rename Rename an existing container
restart Restart a running container
rm Remove one or more containers
rmi Remove one or more images
run Run a command in a new container
save Save an image to a tar archive
search Search for an image on the Docker Hub
start Start a stopped container
stats Display a live stream of one or more containers' resource usage statistics
stop Stop a running container
tag Tag an image into a repository
top Lookup the running processes of a container
unpause Unpause a paused container
version Show the Docker version information
wait Block until a container stops, then print its exit code

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

===Optionen===
-a, --attach=[] Mit STDIN, STDOUT oder STDERR verbinden
-d, --detach=false Detached mode: den Container im Hintergrund ausführen und neue Container ID anzeigen
--device=[] eine neue Hostdevice zum Container hinzufügen (z.B. --device=/dev/sdc:/dev/xvdc:rwm)
-e, --env=[] Umgebungsvariablen setzen
--entrypoint="" Den Standardeingang des Images überschreiebn
--expose=[] Einen Port oder einen Portbereich (z.B. --expose=5555-5599) öffnen. Dies wird dem Host nicht mitgeteilt.
-h, --hostname="" Container host name
-i, --interactive=false STDIN bleibt geöffnet, auch ohne "attach"
-m, --memory="" Speicherbegrenzung (RAM) (Format: <Zahl><Einheit>, Einheiten = b, k, m oder g)
--name="" Dem Container einen Namen zuweisen
-p, --publish=[] Dem Host die Ports eines Containers mitteilen
-t, --tty=false Eine pseudo-TTY zuweisen
-u, --user="" Username oder UID
-v, --volume=[] Bind mount a volume (e.g., from the host: -v /host:/container, from Docker: -v /container)

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

==Optionen==

-a, --all=false Alle Images anzeigen
-f, --filter=[] Suchfilter nutzen (z.B., 'dangling=true' um ein hängendes image zu finden)

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T15:08:48Z

Jan: /* Optionen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Optionen==

-b, --bridge="" Attach containers to a pre-existing network bridge
-d, --daemon=false Enable daemon mode
--dns=[] Force Docker to use specific DNS servers
--fixed-cidr="" IPv4 subnet for fixed IPs (e.g. 10.20.0.0/16)
-l, --log-level="info" Set the logging level (debug, info, warn, error, fatal)

==Kommandos==

attach Attach to a running container
build Build an image from a Dockerfile
commit Create a new image from a container's changes
cp Copy files/folders from a container's filesystem to the host path
create Create a new container
diff Inspect changes on a container's filesystem
events Get real time events from the server
exec Run a command in a running container
export Stream the contents of a container as a tar archive
history Show the history of an image
images List images
import Create a new filesystem image from the contents of a tarball
info Display system-wide information
inspect Return low-level information on a container or image
kill Kill a running container
load Load an image from a tar archive
login Register or log in to a Docker registry server
logout Log out from a Docker registry server
logs Fetch the logs of a container
port Lookup the public-facing port that is NAT-ed to PRIVATE_PORT
pause Pause all processes within a container
ps List containers
pull Pull an image or a repository from a Docker registry server
push Push an image or a repository to a Docker registry server
rename Rename an existing container
restart Restart a running container
rm Remove one or more containers
rmi Remove one or more images
run Run a command in a new container
save Save an image to a tar archive
search Search for an image on the Docker Hub
start Start a stopped container
stats Display a live stream of one or more containers' resource usage statistics
stop Stop a running container
tag Tag an image into a repository
top Lookup the running processes of a container
unpause Unpause a paused container
version Show the Docker version information
wait Block until a container stops, then print its exit code

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

===Optionen===
-a, --attach=[] Mit STDIN, STDOUT oder STDERR verbinden
-d, --detach=false Detached mode: den Container im Hintergrund ausführen und neue Container ID anzeigen
--device=[] eine neue Hostdevice zum Container hinzufügen (z.B. --device=/dev/sdc:/dev/xvdc:rwm)
-e, --env=[] Umgebungsvariablen setzen
--entrypoint="" Den Standardeingang des Images überschreiebn
--expose=[] Einen Port oder einen Portbereich (z.B. --expose=5555-5599) öffnen. Dies wird dem Host nicht mitgeteilt.
-h, --hostname="" Container host name
-i, --interactive=false STDIN bleibt geöffnet, auch ohne "attach"
-m, --memory="" Speicherbegrenzung (RAM) (Format: <Zahl><Einheit>, Einheiten = b, k, m oder g)
--name="" Dem Container einen Namen zuweisen
-p, --publish=[] Dem Host die Ports eines Containers mitteilen
-t, --tty=false Eine pseudo-TTY zuweisen
-u, --user="" Username oder UID
-v, --volume=[] Bind mount a volume (e.g., from the host: -v /host:/container, from Docker: -v /container)

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

==Optionen==

-a, --all=false Alle Images anzeigen
-f, --filter=[] Suchfilter nutzen (z.B., 'dangling=true')

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T15:06:09Z

Jan: /* image listen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Optionen==

-b, --bridge="" Attach containers to a pre-existing network bridge
-d, --daemon=false Enable daemon mode
--dns=[] Force Docker to use specific DNS servers
--fixed-cidr="" IPv4 subnet for fixed IPs (e.g. 10.20.0.0/16)
-l, --log-level="info" Set the logging level (debug, info, warn, error, fatal)

==Kommandos==

attach Attach to a running container
build Build an image from a Dockerfile
commit Create a new image from a container's changes
cp Copy files/folders from a container's filesystem to the host path
create Create a new container
diff Inspect changes on a container's filesystem
events Get real time events from the server
exec Run a command in a running container
export Stream the contents of a container as a tar archive
history Show the history of an image
images List images
import Create a new filesystem image from the contents of a tarball
info Display system-wide information
inspect Return low-level information on a container or image
kill Kill a running container
load Load an image from a tar archive
login Register or log in to a Docker registry server
logout Log out from a Docker registry server
logs Fetch the logs of a container
port Lookup the public-facing port that is NAT-ed to PRIVATE_PORT
pause Pause all processes within a container
ps List containers
pull Pull an image or a repository from a Docker registry server
push Push an image or a repository to a Docker registry server
rename Rename an existing container
restart Restart a running container
rm Remove one or more containers
rmi Remove one or more images
run Run a command in a new container
save Save an image to a tar archive
search Search for an image on the Docker Hub
start Start a stopped container
stats Display a live stream of one or more containers' resource usage statistics
stop Stop a running container
tag Tag an image into a repository
top Lookup the running processes of a container
unpause Unpause a paused container
version Show the Docker version information
wait Block until a container stops, then print its exit code

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

===Optionen===
-a, --attach=[] Mit STDIN, STDOUT oder STDERR verbinden
-d, --detach=false Detached mode: den Container im Hintergrund ausführen und neue Container ID anzeigen
--device=[] eine neue Hostdevice zum Container hinzufügen (z.B. --device=/dev/sdc:/dev/xvdc:rwm)
-e, --env=[] Umgebungsvariablen setzen
--entrypoint="" Den Standardeingang des Images überschreiebn
--expose=[] Einen Port oder einen Portbereich (z.B. --expose=5555-5599) öffnen. Dies wird dem Host nicht mitgeteilt.
-h, --hostname="" Container host name
-i, --interactive=false STDIN bleibt geöffnet, auch ohne "attach"
-m, --memory="" Speicherbegrenzung (RAM) (Format: <Zahl><Einheit>, Einheiten = b, k, m oder g)
--name="" Dem Container einen Namen zuweisen
-p, --publish=[] Dem Host die Ports eines Containers mitteilen
-t, --tty=false Eine pseudo-TTY zuweisen
-u, --user="" Username oder UID
-v, --volume=[] Bind mount a volume (e.g., from the host: -v /host:/container, from Docker: -v /container)

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

==Optionen==

-a, --all=false Alle Images anzeigen
-f, --filter=[] Suchfilter nutzen (z.B., 'xinux=true')

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T12:59:41Z

Jan: /* Optionen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Optionen==

-b, --bridge="" Attach containers to a pre-existing network bridge
-d, --daemon=false Enable daemon mode
--dns=[] Force Docker to use specific DNS servers
--fixed-cidr="" IPv4 subnet for fixed IPs (e.g. 10.20.0.0/16)
-l, --log-level="info" Set the logging level (debug, info, warn, error, fatal)

==Kommandos==

attach Attach to a running container
build Build an image from a Dockerfile
commit Create a new image from a container's changes
cp Copy files/folders from a container's filesystem to the host path
create Create a new container
diff Inspect changes on a container's filesystem
events Get real time events from the server
exec Run a command in a running container
export Stream the contents of a container as a tar archive
history Show the history of an image
images List images
import Create a new filesystem image from the contents of a tarball
info Display system-wide information
inspect Return low-level information on a container or image
kill Kill a running container
load Load an image from a tar archive
login Register or log in to a Docker registry server
logout Log out from a Docker registry server
logs Fetch the logs of a container
port Lookup the public-facing port that is NAT-ed to PRIVATE_PORT
pause Pause all processes within a container
ps List containers
pull Pull an image or a repository from a Docker registry server
push Push an image or a repository to a Docker registry server
rename Rename an existing container
restart Restart a running container
rm Remove one or more containers
rmi Remove one or more images
run Run a command in a new container
save Save an image to a tar archive
search Search for an image on the Docker Hub
start Start a stopped container
stats Display a live stream of one or more containers' resource usage statistics
stop Stop a running container
tag Tag an image into a repository
top Lookup the running processes of a container
unpause Unpause a paused container
version Show the Docker version information
wait Block until a container stops, then print its exit code

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

===Optionen===
-a, --attach=[] Mit STDIN, STDOUT oder STDERR verbinden
-d, --detach=false Detached mode: den Container im Hintergrund ausführen und neue Container ID anzeigen
--device=[] eine neue Hostdevice zum Container hinzufügen (z.B. --device=/dev/sdc:/dev/xvdc:rwm)
-e, --env=[] Umgebungsvariablen setzen
--entrypoint="" Den Standardeingang des Images überschreiebn
--expose=[] Einen Port oder einen Portbereich (z.B. --expose=5555-5599) öffnen. Dies wird dem Host nicht mitgeteilt.
-h, --hostname="" Container host name
-i, --interactive=false STDIN bleibt geöffnet, auch ohne "attach"
-m, --memory="" Speicherbegrenzung (RAM) (Format: <Zahl><Einheit>, Einheiten = b, k, m oder g)
--name="" Dem Container einen Namen zuweisen
-p, --publish=[] Dem Host die Ports eines Containers mitteilen
-t, --tty=false Eine pseudo-TTY zuweisen
-u, --user="" Username oder UID
-v, --volume=[] Bind mount a volume (e.g., from the host: -v /host:/container, from Docker: -v /container)

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T12:57:07Z

Jan: /* Run */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Optionen==

-b, --bridge="" Attach containers to a pre-existing network bridge
-d, --daemon=false Enable daemon mode

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

===Optionen===
-a, --attach=[] Mit STDIN, STDOUT oder STDERR verbinden
-d, --detach=false Detached mode: den Container im Hintergrund ausführen und neue Container ID anzeigen
--device=[] eine neue Hostdevice zum Container hinzufügen (z.B. --device=/dev/sdc:/dev/xvdc:rwm)
-e, --env=[] Umgebungsvariablen setzen
--entrypoint="" Den Standardeingang des Images überschreiebn
--expose=[] Einen Port oder einen Portbereich (z.B. --expose=5555-5599) öffnen. Dies wird dem Host nicht mitgeteilt.
-h, --hostname="" Container host name
-i, --interactive=false STDIN bleibt geöffnet, auch ohne "attach"
-m, --memory="" Speicherbegrenzung (RAM) (Format: <Zahl><Einheit>, Einheiten = b, k, m oder g)
--name="" Dem Container einen Namen zuweisen
-p, --publish=[] Dem Host die Ports eines Containers mitteilen
-t, --tty=false Eine pseudo-TTY zuweisen
-u, --user="" Username oder UID
-v, --volume=[] Bind mount a volume (e.g., from the host: -v /host:/container, from Docker: -v /container)

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T12:56:39Z

Jan: /* Switches */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Optionen==

-b, --bridge="" Attach containers to a pre-existing network bridge
-d, --daemon=false Enable daemon mode

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T12:45:38Z

Jan: /* Switches */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Switches==
-a, --attach=[] Attach to STDIN, STDOUT or STDERR.
-d, --detach=false Detached mode: run the container in the background and print the new container ID
-e, --env=[] Set environment variables

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T11:34:44Z

Jan: /* Allgemeines */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Switches==

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T11:32:12Z

Jan: /* image listen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
Ausgabe:
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T11:31:57Z

Jan: /* image listen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images
<pre>
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
</pre>

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T11:31:30Z

Jan: /* image listen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
zum anzeigen der vorhandenen images:
docker images

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB

=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]

Kommandos

2015-03-09T11:30:42Z

Jan: /* image herunterladen */

=Allgemeines=

Alle Befehle haben die Struktur

docker [Kommando]

==Run==

Mit dem Kommando "run" werden Container in Docker ausgeführt

Beispiel:
docker run ubuntu:14.04 /bin/echo 'Hallo Welt'

Syntax:
*docker -->
*run --> Kommando zum ausführen eines Containers
*ubuntu:14.04 -->

=image herunterladen=
docker pull ubuntu:10.04

Syntax:
*pull: weisst docker an ein image herunterzuladen
*ubuntu:10.04: name des images (hier Ubuntu 10.04)

=image listen=
*root@tac:~# docker images
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE
ubuntu 12.04 1f80e9ca2ac3 8 days ago 131.5 MB
ubuntu 10.04 3db9c44f4520 10 months ago 183 MB
=perstitent starten des containers mit dem namen humppa=
*root@tac:~# docker run -t -i -p 880:80 --name humppa ubuntu:10.04 bash
==in der maschine==
*root@64f3a5281e7e:/# cat /etc/issue
Ubuntu 10.04 LTS \n \l
*root@64f3a5281e7e:/# exit

*docker start -i ubuntu_persistent
*root@tac:~# docker start -i humppa
humppa
*root@64f3a5281e7e:/#
==apache2 installieren==
*root@64f3a5281e7e:/# apt-get update
*root@64f3a5281e7e:/# apt-get install apache2
*root@64f3a5281e7e:/# echo ServerName humppa >> /etc/apache2/apache2.conf
*root@64f3a5281e7e:/# service apache2 restart
==netstat listing==
*root@64f3a5281e7e:/# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
==container verlassen==
*root@64f3a5281e7e:/# exit

=wieder auf dem host=
*root@tac:~#
=container anzeigen=
*root@tac:~# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
64f3a5281e7e ubuntu:10.04 bash 29 minutes ago Exited (130) 2 seconds ago humppa
=container löschen=
*root@tac:~# docker rm 64f3a5281e7e
64f3a5281e7e
=container verlassen=
*CTRL+P danache CTRL+Q
=container wieder betreten=
*root@tac:~# docker attach 64f3a5281e7e

=beispiele=
*[[docker bind9]]
*[[docker bind9 und ssh]]
*[[mysql und mediawiki]]