at.linux-FAQ

• Internet-Zugang
  • Netzwerkgrundlagen & -dokumenation?
  • Linux und PPP?
  • Wie stelle ich die Geschwindigkeit einer PPP-Verbindung fest?
  • Linux und ISDN?
  • Linux und �sterreichische ADSL-, ISDN- oder Kabelzug�nge?
• Mein eigenes Netzwerk
  • Welchen IP-Adre�bereich kann ich f�r ein privates Netz nutzen?
  • Mein Netzwerk geht nicht. Wie finde ich den Fehler?
  • Funktioniert meine Netzwerkkarte?
  • Warum kann ich andere Rechner nicht anpingen?
  • ping oder traceroute?
  • Appletalk und Linux?
• ipchains, Firewall, Masquerading, Port-Forwarding
  • Dokumentation zu iptables, ipchains, ipfwadm
  • Wie erm�gliche ich �ber meinen Linux-PC anderen Rechnern den Zugang zum Internet?
  • Welche Programme gibt es sonst noch f�r Router/Firewall/Gateway?
  • Ich habe eine Firewall, und das Programm bzw. Protokoll xyz funktioniert nicht!
  • Wie kann ich feststellen, ob mein Linux-Rechner gehackt worden ist?
• Secure Shell
  • Was ist so gef�hrlich am telnet-Zugang f�r root?
  • Wie logge ich mich mit telnet als root ein?
  • Wo gibt es Dokumentation zur ssh?
  • Kostenlose ssh-Clients f�r Windows?
  • Wie logge ich mich mit ssh als root ein?

Netzwerkgrundlagen & -dokumenation?

Internet-Protokolle

Linux und PPP?

PPP ganz allgemein

PPP Callback

Wie stelle ich die Geschwindigkeit einer PPP-Verbindung fest?

Das Script /etc/ppp/ip-up wird laut man pppd mit f�nf Parametern aufgerufen.

1. interface-name

2. tty-device

3. speed

4. local-IP-address

5. remote-IP-address

6. ipparam

Dieser dritte Parameter gibt aber nur die serielle Geschwindigkeit an. F�r die Leitungsgeschwindigkeit kann man im Chat-Script ein REPORT CONNECT einf�gen. Mit der Option -r filename kann man sich sogar die Datei aussuchen.

Linux und ISDN?

Linux und �sterreichische ADSL-, ISDN- oder Kabelzug�nge?

Die definitive Referenz ist das �Austrian Highspeed Internetconnection & Linux HOWTO�.

Welchen IP-Adre�bereich kann ich f�r ein privates Netz nutzen?

Die Adre�bereiche f�r private TCP/IP-Netze sind in RFC-1918 �Address Allocation for Private Internets� festgelegt.

Mein Netzwerk geht nicht. Wie finde ich den Fehler?

Zun�chst einmal muss die Ausgabe folgender Kommandos stimmen:

ip addr
ip route
iptables -L -v -n
iptables -L -v -n -t nat

Bei manchen Distributionen fehlt das Programm ip bzw. geh�rt nicht zum Kern ip (Debian: apt-get install iproute). Statt dessen gibt es ifconfig und route -n.

Die n�chste Frage ist dann, was genau nicht geht. Also welches Protokoll, welcher Client, welcher Server, Proxy oder nicht. Und ob der Fehler alle Dienste der Server-Maschine betrifft, oder alle Server-Maschinen, oder �berhaupt jeden Teil von TCP/IP. Siehe dazu Funktioniert meine Netzwerkkarte?, Warum kann ich andere Rechner nicht anpingen? und ping oder traceroute?.

Funktioniert meine Netzwerkkarte?

Wenn der richtige Treiber den I/O-Bereich der Karte richtig erkannt hat und eine �vern�nftige� Ethernet-Adresse ausliest, dann ist die H�lfte des Weges geschafft. Die betreffenden Kernelmeldungen sieht man so:

dmesg | grep eth

Siehe dazu auch �Wie ermittle ich die Ethernet-Adresse (MAC) meiner Netzwerk-Karte?�.

Mit richtig erkanntem I/O-Bereich kann man Pakete senden, aber erst mit einem funktionierenden Interrupt wird auch empfangen. Das l�sst sich so �berpr�fen:

grep eth /proc/interrupts

Wenn keine Ausgabe kommt, oder der Z�hler (das zweite Feld) auf Null bleibt, ist der Fehler offensichtlich. Wenn die Netzwerkkarte sich allerdings den Interrupt mit anderen Ger�ten teilt, wird einerseits die Diagnose schwierig, andererseits macht ein geteilter Interrupt an sich manchmal schon Probleme. Mittels BIOS, Jumper (ISA-Bus-Karten) oder Einstellungen im EEPROM l�sst sich das unter Umst�nden �ndern. Siehe dazu .

Warum kann ich andere Rechner nicht anpingen?

Ich kann von meinem Linux-Rechner aus keinen Rechner anpingen (100% packet loss). Netzwerk-Einstellungen (und Kernel-Konfiguration) habe ich aber korrekt und ganz genau nach Anleitung vorgenommen, die Netzwerkkarte wird richtig erkannt. Am Kabel kann es auch nicht liegen, das habe ich getestet. Was mache ich blo� falsch?

Mit einem ping auf eine IP-Adresse �berpr�ft man viele Dinge auf einmal.

1. Die Netzwerkkarte kann senden.

2. Pakete des Typs ICMP ECHO_REQUEST passieren alle Paketfilter und Router bis zum Ziel.

3. Der Zielrechner antwortet mit ICMP ECHO_RESPONSE

4. Pakete dieses Typs passieren alle Paketfilter und Router auf dem Weg zur�ck.

5. Die Netzwerkkarte kann empfangen.

Bei einem ping auf einen Rechnernamen kommt auch noch die Aufl�sung von Namen auf IP-Adressen hinzu.

Im Fehlerfall muss man diese Dinge dann einzeln angehen. Wichtig ist auch, dass man klein anf�ngt. 127.0.0.1, dann Adresse der Netzwerkkarte, dann Adresse eines Rechner im selben Segment, Vorderseite des Routers, R�ckseite des Routers, …

ping oder traceroute?

traceroute liefert in nicht-trivialen Netzwerken meist mehr Hinweise als ping.

Allerdings arbeitet die traditionelle Implementierung von traceroute mit UDP-Paketen (Port 33434 laut /etc/services) w�hrend ping Pakete des Typs ICMP/ECHO verwendet. Unter Umst�nde wird eines der Verfahren durch einen dazwischenliegenden Paketfilter blockiert.

tracert unter Windows verwendet genau wie ping Pakete des Typs ICMP/ECHO. Manche Implementierung von traceroute bieten dieses Verhalten mit der Option -I.

Will man ganze Adressbereiche in einem Durchgang pingen, empfiehlt sich nmap.

nmap -n -sP 192.168.1.0/24

Appletalk und Linux?

Dokumentation zu iptables, ipchains, ipfwadm

Es gibt eine ganze Reihe von HOWTOs

Die Website der Kernel-Entwickler bietet FAQ, HOWTOs und Tutorials in verschiedenen Sprachen

de.comp.security.firewall FAQ

Firewall Handbuch f�r LINUX 2.0 und 2.2

Wie erm�gliche ich �ber meinen Linux-PC anderen Rechnern den Zugang zum Internet?

Ein LINUX-PC als Internet-, Datei-, Druck-, Fax-, Scanner- und Einwahlserver (stark SuSE-lastig):

Zu den grundlegenden Stufen gibt es reichlich HOWTOs

Und ein sehr ausf�hrlicher �Linux Network Administrators Guide�

Welche Programme gibt es sonst noch f�r Router/Firewall/Gateway?

Kommt darauf an, was man unter �Internet� versteht und wie ernsthaft man es betreiben will. Die einfache L�sung ist Masquerading (auch als NAT bekannt). F�r �mehr Power� ben�tigt man weitere Programme.

HTTP & FTP (�surfen�)

E-Mail

News

Ich habe eine Firewall, und das Programm bzw. Protokoll xyz funktioniert nicht!

Anleitungen f�r viele Protokolle gibt es unter .

Wie kann ich feststellen, ob mein Linux-Rechner gehackt worden ist?

Und was mach ich dann!?

Linux Security HOWTO

Intrusion Detection FAQ

Was ist so gef�hrlich am telnet-Zugang f�r root?

Mit telnet findet die �bertragung unverschl�sselt statt. Ein Abh�ren der Verbindung (z.B. mit , oder ) wirft jedem Eindringling das root-Passwort im Klartext vor die F��e. Siehe dazu auch

Dieses Argument gilt allerdings f�r alle Logins. Ganz besonders, wenn anschlie�end su ausgef�hrt wird. Besser ist es, stattdessen oder zu verwenden.

Wie logge ich mich mit telnet als root ein?

• Der Oberlehrer:

  Pfui, so etwas sagt man nicht. Zur Strafe lernst du Was ist so gef�hrlich am telnet-Zugang f�r root? auswendig.

• Der Brutalo:

  mv /etc/securetty /etc/securetty.disabled

• Die alte Antwort:

  In /etc/login.defs gibt es den Eintrag CONSOLE. Normalerweise verweist er auf /etc/securetty. Einfach auskommentieren.

• Die neue Antwort:

  Im Verzeichnis /etc/pam.d/ verweisen einzelnen Konfigurationsdateien (etwa login) auf das PAM-Modul pam_securetty.so. Einfach auskommentieren.

Wo gibt es Dokumentation zur ssh?

Open SSH

The Secure Shell TM Frequently Asked Questions

Ssh (Secure Shell) FAQ - Frequently asked questions

Ein Buch von O'Reilly (mit einer Schnecke auf der Titelseite)

SSH Communications Security

Kostenlose ssh-Clients f�r Windows?

Der Favorit ist PuTTY von Simon Tatham

Im FAQ zu SSH finden sich eine Liste von Alternativen

Wie logge ich mich mit ssh als root ein?

In /etc/ssh/sshd_config fehlt folgender Eintrag:

PermitRootLogin yes

Bei manchen Distribution ist dies auch der Default-Wert, dort funktioniert es auf Anhieb.