https://wiki.orgamon.org/api.php?action=feedcontributions&feedformat=atom&user=192.168.115.95OrgaMon Wiki - Benutzerbeiträge [de]2026-05-01T19:11:35ZBenutzerbeiträgeMediaWiki 1.40.0https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=13354ERP.Assistent2004-11-02T20:43:42Z<p>192.168.115.95: </p>
<hr />
<div>Der Assistent markiert alle Tage farblich, an denen sich schon Monteuere auf der Baustelle befinden. Vorzugsweise sollte als Alternativ-Termin einer dieser gewählt werden.<br><br />
<br />
<font style="background-color:#CC0033;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> Bisheriger Termin<br><br />
<font style="background-color:#99FF33;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> gleicher Monteur / gleicher Ortsteil<br><br />
<font style="background-color:#66CC66;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> anderer Monteur / gleicher Ortsteil<br><br />
<font style="background-color:#99CCFF;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> gleicher Monteur / anderer Ortsteil<br><br />
<font style="background-color:#6699FF;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4585ERP.Assistent2004-11-02T20:43:26Z<p>192.168.115.95: </p>
<hr />
<div>Der Assistent markiert alle Tage farblich, an denen sich schon Monteuere auf der Baustelle befinden. Vorzugsweise sollte als Alternativ-Termin einer dieser gewählt werden.<br><br />
<br />
<font style="background-color:#CC0033;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> Bisheriger Termin<br><br />
<font style="background-color:#99FF33;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> gleicher Monteur / gleicher Ortsteil<br><br />
<font style="background-color:#66CC66;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> anderer Monteur / gleicher Ortsteil<br><br />
<font style="background-color:#99CCFF;color:white">&nbsp;&nbsp;&nbsp;&nbsp;</font> gleicher Monteur / anderer Ortsteil<br><br />
<font style="background-color:#6699FF;color:white">&nbsp;&nbsp;3&nbsp;&nbsp;</font> anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4584ERP.Assistent2004-11-02T20:38:29Z<p>192.168.115.95: </p>
<hr />
<div><font style="background-color:#CC0033;color:white">&nbsp;&nbsp;3&nbsp;&nbsp;</font> Bisheriger Termin<br><br />
<font color=#99FF33> gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4583ERP.Assistent2004-11-02T20:38:05Z<p>192.168.115.95: </p>
<hr />
<div><font style="background-color:#CC0033;color:white">&nbsp;&nbsp;&nbsp;</font> Bisheriger Termin<br><br />
<font color=#99FF33> gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4582ERP.Assistent2004-11-02T20:37:43Z<p>192.168.115.95: </p>
<hr />
<div><font style="background-color:#CC0033;color:white"> </font> Bisheriger Termin<br><br />
<font color=#99FF33> gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4581ERP.Assistent2004-11-02T20:35:48Z<p>192.168.115.95: </p>
<hr />
<div><font style="background-color:#666666;color:white">XXXX</font> Bisheriger Termin<br><br />
<font color=#99FF33> gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4580ERP.Assistent2004-11-02T20:34:26Z<p>192.168.115.95: </p>
<hr />
<div><font bgcolor=#CC0033#>XXXX</font> Bisheriger Termin<br><br />
<font color=#99FF33> gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4579ERP.Assistent2004-11-02T20:31:56Z<p>192.168.115.95: </p>
<hr />
<div><font bgcolor=#CC0033#>XXXX</font> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4578ERP.Assistent2004-11-02T20:31:38Z<p>192.168.115.95: </p>
<hr />
<div><font bgcolor=CC0033>XXXX</font> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4577ERP.Assistent2004-11-02T20:31:14Z<p>192.168.115.95: </p>
<hr />
<div><nowiki><font bgcolor=#CC0033>XXXX</font></nowiki> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4576ERP.Assistent2004-11-02T20:30:47Z<p>192.168.115.95: </p>
<hr />
<div><font bgcolor=#CC0033>XXXX</font> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4575ERP.Assistent2004-11-02T20:29:43Z<p>192.168.115.95: </p>
<hr />
<div><font backgroundcolor=#CC0033>XXXX</font> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4574ERP.Assistent2004-11-02T20:29:25Z<p>192.168.115.95: </p>
<hr />
<div><font bgcolor=#CC0033>XXXX</font> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=ERP.Assistent&diff=4573ERP.Assistent2004-11-02T20:29:10Z<p>192.168.115.95: </p>
<hr />
<div><font bgcolor=#CC0033>&nbsp&nbsp</font> Bisheriger Termin<br><br />
#99FF33 gleicher Monteur / gleicher Ortsteil<br><br />
#66CC66 anderer Monteur / gleicher Ortsteil<br><br />
#99CCFF gleicher Monteur / anderer Ortsteil<br><br />
#6699FF anderer Monteur / anderer Ortsteil<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Entwickler_Schnellstart&diff=4588Entwickler Schnellstart2004-10-28T20:49:35Z<p>192.168.115.95: </p>
<hr />
<div>Die Enwicklung des Gesamtsystems hat folgende Teilkomponenten die verschiedene Entwicklungsumgebungen benötigen.<br />
<br />
Datenbank: Firebird: IBExpert<br />
Core: Delphi 6<br />
WebShop: PHP<br />
Monda: Turbo Pascal 7.01<br />
JonDa: Java mit Netbeans 4.0 beta 1, JEdit mit Codeformatierungsplugin und Html-Ausgabe Plugin (Code2Hmtl)<br />
html: Beliebiger Texteditor<br />
<br><br />
PHP 4.3.x ->[[TWebShop]]<br />
Java ->[[JonDa]]<br />
<br><br />
<b>Delphi 6 Enterprise Installation</b><br />
<br><br />
delphi 6 BENUTZERDEFINIERT installieren.<br><br />
<br><br />
* frage nach "realtimedebugger" drwatson usw mit NEIN beantworten. Delphi soll hier keine Modifikation vornehmen<br />
* ohne Indy.<br />
<br><br />
folgende delphi-patches einspielen:<br />
gr_D6_Upd2_ent.exe<br />
del6_ent_rtl2_de.exe<br />
IBXDP607.EXE<br />
folgendes add-ons instalieren:<br />
.\delforex nach C:\programme kopieren, nun setup ausführen<br />
folgende vcls installieren<br />
D:\Andreas\DelphiDownloads\indy.9.0.14\Source\dclIndy60.dpk<br />
(bei problemen ev. C:\..indy*.bpl löschen!)<br />
D:\Andreas\DelphiDownloads\ibobjects\src4\IBO40_D6.bpg<br />
* von oben nach unten in der Gruppe alles versuchen zu insztallieren<br />
Fehlermeldungen wegen "ist nicht Entwurfszeitopackage" ignorieren<br />
D:\Andreas\DelphiDownloads\xmlparser\src\XmlComponents_D6_D7.dpk<br />
D:\Andreas\DelphiDownloads\jvcl.2.1\Install.bat<br />
D:\Andreas\DelphiDownloads\tms\src\TMSD6.dpk<br />
D:\Andreas\delphi\Components\Email4.dpk<br />
D:\Andreas\delphi\Components\ColorPickerButton.pas<br />
D:\Andreas\delphi\Components\Capi2Han.pas<br />
D:\Andreas\delphi\Components\GIFImage.pas<br />
D:\Andreas\delphi\Components\pngimage.pas<br />
D:\Andreas\delphi\Components\volumes.pas<br />
D:\Andreas\delphi\Components\Serial4.pas<br />
D:\Andreas\DelphiDownloads\md5\src\DCPdelphi6.dpk<br />
D:\Andreas\DelphiDownloads\vclzip\VCLZipD6_3.dpk<br />
D:\Andreas\delphi\Components\SysHot.pas<br />
D:\Andreas\DelphiDownloads\FlexCel\Packages\FlexCel60.dpk<br />
<br />
-- nur für Contutto<br />
<br />
D:\Andreas\delphi\Components\ShortcutLink.pas<br />
<br />
-- noch für aa3<br />
<br />
D:\Andreas\delphi\Components\browsedr.pas<br />
D:\Andreas\delphi\Components\xbase.pas<br />
<br />
Bei Tools->Umgebungsoptionen->Bibliothek, müssen noch alle Suchpfade eingetragen werden:<br />
<br />
BibliotheksPfad:<br />
<br />
$(DELPHI)\Lib;$(DELPHI)\Bin;$(DELPHI)\Imports;$(DELPHI)\Projects\Bpl;g:\delphi\components;g:\anfix32;G:\DelphiDownloads\jvcl\JCL\Source;G:\DelphiDownloads\jvcl\JVCL\Source;G:\DelphiDownloads\jvcl\JVCL\Common;g:\delphidownloads\vclzip;G:\DelphiDownloads\jvcl.2.1\JCL\Source;G:\DelphiDownloads\jvcl.2.1\JVCL\Source;G:\DelphiDownloads\jvcl.2.1\JVCL\Common;G:\delphidownloads\FlexCel\FlexCel;G:\delphidownloads\FlexCel\FlexCel\xlsadapter;G:\delphidownloads\indy.9.0.14\Source;G:\delphidownloads\capi\src;G:\delphidownloads\synedit\source;G:\delphidownloads\xmlparser\src;G:\delphidownloads\htmlparser\source;G:\DelphiDownloads\htmlparser\Source<br />
<br />
SuchPfad:<br />
<br />
$(DELPHI)\source\vcl;$(DELPHI)\source\rtl\Corba;$(DELPHI)\source\rtl\Corba40;$(DELPHI)\source\rtl\Sys;$(DELPHI)\source\rtl\Win;$(DELPHI)\source\rtl\common;$(DELPHI)\source\Internet;$(DELPHI)\source\clx;G:\DelphiDownloads\TurboPower\source;G:\DelphiDownloads\TurboPower\Packages;G:\delphidownloads\htmlparser\source;G:\DelphiDownloads\htmlparser\Source</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Hauptseite&diff=4595Hauptseite2004-10-28T15:26:42Z<p>192.168.115.95: </p>
<hr />
<div>Willkommen<br />
<br />
== OrgaMon Wiki - Die Online Dokumentation ==<br />
[[Bedienungsgrundsätze]], [[Technik|technischer Überblick]]<br><br />
<br><br />
<b>[[Personen]]</b><br><br />
&nbsp;&nbsp;[[Musikerverkettung]], [[Bearbeiter]]<br><br />
<b>[[Belege]]</b><br><br />
&nbsp;&nbsp;[[Mahnsystem]], [[Versand]], [[Zahlungsart]]<br><br />
<b>[[Order]]</b><br><br />
&nbsp;&nbsp;[[Buchungsfolge]], [[Agent]], [[Wareneingang]]<br><br />
<b>[[Warenwirtschaft]]</b><br><br />
&nbsp;&nbsp;[[Artikel]], [[Sortimente]], [[Verlage]], [[Lager]], [[Inventur]], [[Artikelpakete]]<br><br />
<b>[[Resourcemanagement]]</b><br><br />
&nbsp;&nbsp;[[Aufträge]], [[Import]], [[Export]], [[Geolokalisierung]], [[Baustellenverwaltung]], [[Monteure]], [[Terminarbeitsplatz]]<br />
, [[MonDa]], [[JonDa]]<br><br />
<b>Qualitätsmanagement</b><br><br />
&nbsp;&nbsp;[[QM.Konzepte|Konzepte]], [[QM.Bearbeiter|Bearbeiter]], [[QM.Gruppen|Gruppen]], [[QM.Rechte|Rechte]]<br><br />
<br />
<br><br />
<b>Hilfskomponenten</b><br><br />
&nbsp;&nbsp;[[CareTaker]], [[keepcon]], [[Systemeinstellungen]], [[Tagesabschluss]], [[Tagwache]], [[Datensicherung]], [[OLAP]], [[Drucken]]<br />
<br />
<b>Installation</b><br><br />
&nbsp;&nbsp;[[Installation.Arbeitsplatz|Arbeitsplatz]], [[Datenbank]], [[Linux]], [[WebShop]]<br><br />
<b>[[Entwickler]]</b><br><br />
&nbsp;&nbsp;[[eCommerce]], [[Entwickler Schnellstart]], [[Linux]]<br><br />
<br />
<br><br />
[[to do]]<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=QM.Gruppen&diff=14427QM.Gruppen2004-10-28T15:14:37Z<p>192.168.115.95: </p>
<hr />
<div>_Gruppen<br />
<br />
eine Phase(Meilenstein) kann einer Gruppe zugeordnet werden. Damit ist gemeint:<br />
Bearbeiter dieser Gruppe sind für den Verlauf dieser Phase verantwortlich, oder:<br />
diese Phase fällt in den Verantwortungsbereich dieser Gruppe.<br />
Zu einem Auftrag kann nun eine Liste aller beteiligten Gruppen angezeigt werden.<br />
Des weiteren ist möglich festzustellen, an welcher Gruppe es im Moment "hängt".<br />
So ist auch möglich, nur "eigene" Aufträge anzeigen zu lassen: Das sind alle,<br />
die offene Meilensteine enthält für welche die eigene Gruppe zuständig ist.<br />
-> eigener Handlungsbedarf ist in diesem Fall gefragt.<br />
Man kann mehreren Gruppen angehören, und so mehrere Aufgabengebiete abdecken.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=QM.Konzepte&diff=14426QM.Konzepte2004-10-28T15:14:24Z<p>192.168.115.95: </p>
<hr />
<div>relaxx User (Endbenutzerhinweise)<br />
relaxx Grundbegriffe (Begriffsklärung)<br />
<br />
_typ-Profile von Auftragspositionen<br />
<br />
typ-Profile ermöglichen Abläufe der Auftragsbearbeitung vorzubereiten. Ein Profil<br />
legt fest welche Überwachungspunkte zu einem Auftrag gespeichert werden.<br />
Profil=Vorlage für einen Lebenszyklus<br />
pro Position gibt es ein Lebenszyklus<br />
pro Auftrag gibt es einen (mix)Lebenszyklus (addierte Lebenszyklen aller Positionen)<br />
z.B. Profil "PC" Eingang/Angebot/Angebot ok/KGA/KGA ok/Banf/Comics<br />
z.B. Profil "Software" Eingang/Angebot/Angebot ok/KGA/KGA ok/Lizenzen/Lizenzen ok<br />
z.B. Profil "Kabel"<br />
z.B. Profil "Teile"<br />
<br />
jeder Position eines Auftrags wird ein Profil zugeordnet. Über Meilensteine wird<br />
jede einzelne Position überwacht, und es kann festgestellt werden wie jeder ein-<br />
zelne Status einer Auftragszeile sich darstellt. Aus einem Intelligenten Mix aus<br />
allen Stati lässt sich der Gesamtstatus des Auftragses darstellen. Ich nehmen an<br />
es ist eine Art "das schwächste Glied" Regel. D.H. der Gesamtauftrag ist immer<br />
nur so weit wie die "langsamste" Position, es lassen sich dadurch auch Liefer-<br />
verzögerungen besser lokalisieren.<br />
Das Erreichen von Meilensteinen soll mit der Auslösung eines eMail-Versandes<br />
gekoppelt<br />
<br />
_Benutzer<br />
<br />
* Bearbeiter sollen durch die Zuordnung zu Verantwortlichen das recht erhalten<br />
Änderungen an Aufträgen gegeben werden.<br />
* Änderungen durch Bearbeiter sollen durch ihr Kürzel gekennzeichnet werden<br />
* Es gibt Bearbeiter mit "nur lesen" Rechten<br />
<br />
_Arbeitsbereich<br />
<br />
Aufträge lassen sich völlig voneinander getrennten Arbeitsbereichen zuordnen.<br />
(in Sinne von "Mandanten"). Bearbeiter und Gruppen sind aber für alle Arbeits-<br />
bereiche gleich.<br />
<br />
_Kunden-Kurz Infos<br />
<br />
die Kunden sollen nur als Kurzbegriffe in der Art einer lernenden Schreibhilfe<br />
zur Verfügung gestellt werden.<br />
<br />
relaxx Konzepte (Ursprüngliche Zielsetzung)<br />
<br />
_Anforderungsbeschreibung für ein EDV-System zur Auftragsabwicklung bei ITS TIS<br />
<br />
Über ITS TIS wird die gesamte Beschaffung aller Hardwarekomponenten im Werk Bruchsal<br />
abgewickelt. Das bedeutet, dass sowohl Netzwerkkomponenten aller Art als auch andere<br />
technische Geräte, wie Klimaanlagenteile oder digitale Uhren zum Auftragsvolumen gehören<br />
und deren Beschaffung und Inbetriebnahme somit verwaltet werden müssen.<br />
<br />
Vom Auftragseingang bis zur Inbetriebnahme sind mehrere Stellen (bis zu neun)<br />
am Prozess beteiligt. Deshalb ist derzeit jemand notwendig, der entscheidet,<br />
welche Aufgaben für die Bearbeitung des Auftrags durchzuführen sind, terminiert,<br />
koordiniert und die Aufträge entsprechend weiterleitet. Auch Rückfragen mit dem<br />
Antragssteller gehören in diesen Bereich.<br />
<br />
Bei hohem Auftragvolumen kann es aufgrund dieses komplexen, größtenteils manuell<br />
gesteuerten Prozessablaufs zu Koordinationsschwierigkeiten kommen. Der gesamten<br />
Ablauf und dessen Dokumentation lassen sich nur schwer nachvollziehen. Die<br />
Fehlerwahrscheinlichkeit kann nur durch große Konzentration aller Beteiligter<br />
gering gehalten werden.<br />
<br />
_Anforderungen<br />
<br />
Aus der Situationsbeschreibung leiten sich folgende Anforderungen an ein zukünftig<br />
einzusetzende EDV-System ab:<br />
<br />
fachlich<br />
<br />
· Übersichtlichkeit<br />
· Der Aufbau von Stammdaten, wie etwa Artikel, Kunde oder Lieferant darf nicht<br />
Vorraussetzung zur Erstellung eines Auftrags sein<br />
· Geräte aller Art müssen erfassbar sein<br />
· Auswahl der Aufträge nach verschiedenen Tätigkeitsfeldern und automatische<br />
Weiterleitung an den nächsten Aufgabenbereich<br />
· Historie zu jedem Auftrag, d.h. der Arbeitsfortschritt muss für jeden Auftrag<br />
mit Arbeitsplatz, Datum und Kommentar dokumentierbar sein.<br />
· gemeinsamer Bereich für alle Prozessbeteiligten, aber auch spezifische Bereiche<br />
für arbeitsplatzbezogene Aufgaben<br />
· Erstellung und Ausdruck von Dokumenten<br />
· evtl. automatische e-mail-Generierung<br />
· Terminplanung für jeden Auftrag soll möglich sein1<br />
· Ressourcenplanung für die beteiligten Stellen soll einsehbar sein<br />
<br />
technisch<br />
<br />
· Betriebssystem einsetzbar unter Windows NT, Windows 2000, UNIX ...<br />
· Datenbank: (MS-) SQL<br />
(af): firebird SQL Server wird<br />
eingesetzt (für Win32 und linux).<br />
· Programmiersprache: Visual Basic ????<br />
(af): Delphi, ist (später) ein Linux-Client gewünscht<br />
dann auch kylix.<br />
· Design: Windowskonform<br />
· Schnittstellen Microsoftprodukte, evtl. SAP<br />
· Kommunikation evtl. automatische e-mail-Generierung<br />
<br />
_Auftragsübersicht<br />
<br />
· Ein zentrales Fenster als Informationsquelle für alle Prozessbeteiligte.<br />
· Auswahl nach Arbeitsbereichen,<br />
????<br />
d.h. die Aufträge werden entsprechend ihres<br />
Arbeitsfortschritts (es ist noch kein Datum für diesen Bereich hinterlegt)<br />
aufgelistet<br />
????<br />
Bemerkung: Der aktuelle Arbeitsvortschritt ist der Punkt im<br />
Meilenstein der noch keine Abschluss-Datum gespeichert hat.<br />
· Durch Doppelklick auf den gewünschten Auftrag oder durch Markierung des<br />
gewünschten Auftrags und Pulldown-menue‚ ‘Wechseln zu - Auftrag‘ wird das<br />
Fenster ‘Auftrag‘ zur Detailansicht geöffnet.<br />
· Die Auftragsnummer wird vom System vergeben und ist nicht änderbar<br />
· ‘Nächste Stelle‘ kann hier oder in der Auftragsdetailansicht verändert werden.<br />
Hier, indem ein anderer Bereich ausgewählt wird. Datum und User werden in<br />
diesem Fall hinterlegt.<br />
<br />
_Weitere Pull-down-Menüs zu Auftrags-Detailansicht<br />
<br />
_Auftrag - Detailansicht<br />
<br />
· Hier werden alle Angaben zum Auftrag eingegeben und somit auch angezeigt..<br />
· Eingabefelder mit können geöffnet werden, da ihre Inhalte über die<br />
Größe des aktuellen Eingabefensters hinausgehen können.<br />
· Über die Eingabe Geräteinbetriebnahmeprotokoll sollen das zugehörige Dokument<br />
erstellt (Entweder Word aufrufen oder von diesem Programm heraus erstellen oder ?)<br />
und ausgedruckt werden<br />
· Über die Eingabe Abruf soll das zugehörige Dokument erstellt (s.o.) und<br />
ausgedruckt werden<br />
· Die Sortierung im Positionsfenster ist absteigend (nach Positionen), um sofort<br />
zu zeigen, aus wie viel Einzelpositionen ein Auftrag besteht.<br />
· In den Feldern der einzelnen Arbeitsschritte soll durch Doppelklick das aktuelle<br />
Datum eingestellt werden. Das Datum kann aber auch direkt eingetragen werden.<br />
Der User soll zwecks Dokumentation ebenfalls hinterlegt werden. (Was ist bei<br />
Änderungen ?)<br />
<br />
_Grundsätzliche Anforderungen an jedes Ein/Ausgabe-Fenster<br />
<br />
· Alle Ausgaben sollen nach jedem Ausgabefeld sortierbar sein<br />
· Die Änderungen aller Ein-/Ausgabefenster sollen nur nach explizitem Speichern<br />
in die Datenbank übernommen werden.<br />
· Hardcopy soll möglich sein<br />
<br />
_Noch nicht berücksichtigt<br />
<br />
Wenn die technischen Klärungen abgeschlossen sind, soll automatisch ein e-mail<br />
an den IT-Beauftragten und den Ansprechpartner für die technische Klärung geschickt<br />
werden (ähnlich einer Auftragsbestätigung).<br />
<br />
Mögliche Veränderungen im derzeitigen Ablauf: Zum Zeitpunkt der Bestellung soll<br />
versucht werden die Angaben zur technischen Klärung zusammenzustellen. (Derzeit<br />
erst nach Eingang der Lieferung) Zweck:<br />
Durch längere Reaktionszeiten können die Liefertermine besser kalkuliert und damit<br />
auch eingehalten werden.<br />
<br />
_Datenbank-Design 1.0<br />
<br />
grundsätzlich: RID ("Referential Identifier", Zahl, die den Record eindeutig identifiziert und<br />
sich so für Referenzen auf diesen Record anbietet)<br />
*_R (Referenz auf den RID der Tabelle "*")<br />
+<Tabellen-Name> (Es handelt sich um eine untergeordnete Tabelle zu der zusetzt<br />
genannten. Beispiel: TIERHALTER hat +TIER. In Tier ist sicherlich<br />
das Feld TIERHALTER_R enthälten, welches das TIER eindeutig zu<br />
einem Tierhalter zuordnet)<br />
<br />
<Tabellen-Name>: (<Felder>,...)<br />
<br />
ROHSTOFF: (RID,TEXT)<br />
Hier sind häufig benutzte Auftrags-Zutaten gespeichert. Man kann ein Profil zuordnen,<br />
wird im Auftrag ein ROHSTOFF mit PROFIL übernommen, so werden alle Phasen (als Meilensteine)<br />
in den Auftrag kopiert.<br />
+PROFIL: (RID,NAME:STRING,DAUER,ROHSTOFF_R)<br />
Dauer ist die Summe der DAUER aller zugeordneten PHASEn. Pro ROHSTOFF lassen<br />
sich mehrere PROFILe speichern (z.B. "kleiner Dienstweg", "großer Dienstweg",<br />
"Beschaffung intern", "Beschaffung via Versand", "Beschaffung via Mediamarkt")<br />
++PHASE: (RID,NAME:STRING,DAUER,INFO:TEXT,PROFIL_R,GRUPPE_R)<br />
In der Info werden die Benutzerdefinierten Daten abgelegt. GRUPPE_R enthält<br />
eine Info wer für diese Phase zuständig ist.<br />
DAUER ist die zu erwartende Zeit, die das Abarbeiten dieser Phase benötigt.<br />
<br />
AUFTRAG: (RID,BEARBEITER_R,GRUPPE_R,ANLAGE:DATUM,BEGIN:DATUM,STATUS,ABSCHLUSS:DATUM)<br />
Verantwortlichkeit in GRUPPE_R. STATUS: Hier wird eine Dringlichkeit berechnet.<br />
"Planziele erfüllt" "16% verzögert" "3 Tage in Verzug" usw.<br />
(je ein Dokumentablage Verzeichnis pro Auftrag!)<br />
+POSTEN: (RID,AUFTRAG_R,BEARBEITER_R,PROFIL_R,GRUPPE_R)<br />
Einzelne Positionen des Auftrags. GRUPPE_R wieder Verantwortlicher.<br />
(je ein Dokumentablage Verzeichnis pro Posten!)<br />
++MEILENSTEIN: (RID,ART,ANLAGE:DATUM,BEGIN:DATUM,GRUPPE_R,ANSCHLUSS:DATUM)<br />
Einzelschritte einer Position.<br />
<br />
PERSON: (Merged Module aus HebuAdmin)<br />
langweilig - Personendaten<br />
+ANSCHRIFT: (Merged Module aus HebuAdmin)<br />
langweilig - Anschriften der Personen<br />
PLZ: (Merged Module aus HebuAdmin)<br />
langweilig - PLZ ganz Deutschland<br />
<br />
BEARBEITER: (RID,KUERZEL,NAME,NTANMELDENAME,INFO)<br />
Alle Buchungswege werden über den Bearbeiter dokumentiert.<br />
GRUPPE: (RID,TEXT,INFO,MITGLIEDERLISTE_R)<br />
Rechte werden in Benutzergruppen geregelt. Verantwortlich ist jeweils<br />
eine GRUPPE<br />
+MITGLIEDERLISTE: (RID,BEARBEITER_R)<br />
Teilt BEARBEITER einer Gruppe zu.<br />
<br />
aktuellere Datenbank-Designs können mit IB-Expert abgerufen werden.<br />
<br />
_Datenbank: Bedeutung der Datenfelder<br />
<br />
"ABSCHLUSS" ist jetzt Abschluss "Soll"-> manuelle Eingabe durch den Benutzer<br />
"ABSCHLUSS_C" ist das berechnete Ende-Datum des Gesamt-Auftrages<br />
"EINGANG" ist das Startdatum aller Berechnungen<br />
<br />
relaxx Admin<br />
<br />
_Installation<br />
<br />
1) Anwendung selbst: (auf jedem win32 Client Arbeitsplatz notwendig)<br />
<br />
aktuelle Version: siehe www.cargobay.de/relaxx.html<br />
<br />
(bei jedem Release-Wechsel auf jedem Client notwendig)<br />
<br />
2) Datenbank SQL-Server "firebird": (wähle eine Maschine die stabil durchläuft<br />
und für alle aus TCP/IP Sicht erreichbar ist)<br />
<br />
a) ... ist eine Linux-Maschine (empfohlen): siehe www.raib.de/download<br />
(Linux/firebird Neuling? Einfach nach<br />
www.cargobay.de/HOWTO_install_another_suse.html vorgehen)<br />
b) ... ist eine Win32-Maschine: siehe www.raib.de/download<br />
<br />
relaxx.gdb (=leere Datenbank, mit der man starten kann) (findet man auf einem<br />
relaxx-Client in .\relaxx\Leere Datenbank) auf eine !!lokale!! Partition des<br />
Servers in ein beliebiges Datenbankverzeichnis für relaxx legen. Den Pfad gut<br />
merken, den muss man eintragen in ...<br />
<br />
3) Anwendung mit der Datenbank verbinden:<br />
<br />
"C:\programme\relaxx\relaxx.ini" editieren:<br />
[System]<br />
DataBaseName=<Computername des Servers>:<Pfad+Name der Datenbank aus Server-Sicht><br />
<br />
also z.B.<br />
<br />
// typischer Eintrag, wenn Sie sich für einen win32-Server entschieden haben<br />
DataBaseName=brutus:C:\Anwendungsdaten\relaxx\relaxx.gdb<br />
// typischer Eintrag, wenn Sie sich für einen linux-Server entschieden haben<br />
DataBaseName=192.168.115.80:/freigabe/relaxx.gdb<br />
<br />
bei vielen Client Installationen kan die ini-Einstellung auch zentral<br />
verwaltet werden, dadurch lassen sich alle Clients "auf einen Schlag" mit<br />
einer anderen Datenbank verbinden (Klar: Neustart von Relaxx erforderlich).<br />
Anstelle eines Datenbank-Pfades lässt sich auch eine weitere Datei angeben<br />
in der die eigentliche Datenbank angegeben wird. Dies wird dadurch erreicht,<br />
dass in der relaxx.ini einfach eine Datei einer ini-Datei angegeben wird.<br />
<br />
also z.B.<br />
<br />
DataBaseName=G:\Anwendungen\relaxx\relaxx.ini<br />
<br />
in G:\Anwendungen\relaxx\relaxx.ini wird dann die Datenbank angegeben (oder<br />
wieder eine Referenz).<br />
<br />
4) Anwendung starten:<br />
erster Start: Start->Programme->relaxx->relaxx : Ein Update der Datenbank wird durchgeführt<br />
zweiter Start: Start->Programme->relaxx->relaxx : Ein Benutzer wird angelegt<br />
zweiter Start: Start->Programme->relaxx->relaxx : - keine Aktion mehr ! -<br />
-> weitere Clients starten<br />
<br />
_Start der Anwendung<br />
<br />
relaxx ist ein ICN-Dienst und kann für Benutzer-Profile zugeordnet werden.<br />
Im Windows Startmenü ist er folgendermassen zu finden:<br />
<br />
Start->Business->Procedures->Relaxx<br />
<br />
* Er wird installiert nach "<ProgrammePfadLautSystem>\anfisoft\relaxx"<br />
Q: Soll im Setup das Anlegen von ICONs unterlassen werden?<br />
Q: Ist die Technologie eines "template" MSI möglich, das ein "unattended"<br />
Setup durchführt. Das MSI würde nur noch 2 Informationen enthalten:<br />
aktuelle Version: Rev. "1.23.0.0"<br />
"\\InstServer\Install\anfisoft\relaxx\Setup-relaxx-1023.exe"<br />
<br />
_Datenbankinternas<br />
<br />
Auftragsnummern-Vergabe<br />
=======================<br />
<br />
Der GENERATOR "GEN_AUFTRAG" enthält die nächste zu vergebende (interne) Auftrags<br />
nummer. Bei Änderungen muss ausgeschlossen werden, dass g größer ist alle alle<br />
bisher vergebenen nummern. Die Nummern sind unter Tabelle AUFTRAG Feld RID einsehbar.<br />
Eine Sortierung nach dieser Spalte macht die höchste bisher vergebene Nummer<br />
sichtbar.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=QM.Bearbeiter&diff=14428QM.Bearbeiter2004-10-28T15:12:51Z<p>192.168.115.95: </p>
<hr />
<div>_Benutzer<br />
<br />
* Bearbeiter sollen durch die Zuordnung zu Verantwortlichen das recht erhalten<br />
Änderungen an Aufträgen gegeben werden.<br />
* Änderungen durch Bearbeiter sollen durch ihr Kürzel gekennzeichnet werden<br />
* Es gibt Bearbeiter mit "nur lesen" Rechten</div>192.168.115.95https://wiki.orgamon.org/index.php?title=QM.Konzepte&diff=4567QM.Konzepte2004-10-28T15:12:36Z<p>192.168.115.95: </p>
<hr />
<div>relaxx User (Endbenutzerhinweise)<br />
relaxx Grundbegriffe (Begriffsklärung)<br />
<br />
_typ-Profile von Auftragspositionen<br />
<br />
typ-Profile ermöglichen Abläufe der Auftragsbearbeitung vorzubereiten. Ein Profil<br />
legt fest welche Überwachungspunkte zu einem Auftrag gespeichert werden.<br />
Profil=Vorlage für einen Lebenszyklus<br />
pro Position gibt es ein Lebenszyklus<br />
pro Auftrag gibt es einen (mix)Lebenszyklus (addierte Lebenszyklen aller Positionen)<br />
z.B. Profil "PC" Eingang/Angebot/Angebot ok/KGA/KGA ok/Banf/Comics<br />
z.B. Profil "Software" Eingang/Angebot/Angebot ok/KGA/KGA ok/Lizenzen/Lizenzen ok<br />
z.B. Profil "Kabel"<br />
z.B. Profil "Teile"<br />
<br />
jeder Position eines Auftrags wird ein Profil zugeordnet. Über Meilensteine wird<br />
jede einzelne Position überwacht, und es kann festgestellt werden wie jeder ein-<br />
zelne Status einer Auftragszeile sich darstellt. Aus einem Intelligenten Mix aus<br />
allen Stati lässt sich der Gesamtstatus des Auftragses darstellen. Ich nehmen an<br />
es ist eine Art "das schwächste Glied" Regel. D.H. der Gesamtauftrag ist immer<br />
nur so weit wie die "langsamste" Position, es lassen sich dadurch auch Liefer-<br />
verzögerungen besser lokalisieren.<br />
Das Erreichen von Meilensteinen soll mit der Auslösung eines eMail-Versandes<br />
gekoppelt<br />
<br />
_Benutzer<br />
<br />
* Bearbeiter sollen durch die Zuordnung zu Verantwortlichen das recht erhalten<br />
Änderungen an Aufträgen gegeben werden.<br />
* Änderungen durch Bearbeiter sollen durch ihr Kürzel gekennzeichnet werden<br />
* Es gibt Bearbeiter mit "nur lesen" Rechten<br />
<br />
_Gruppen<br />
<br />
eine Phase(Meilenstein) kann einer Gruppe zugeordnet werden. Damit ist gemeint:<br />
Bearbeiter dieser Gruppe sind für den Verlauf dieser Phase verantwortlich, oder:<br />
diese Phase fällt in den Verantwortungsbereich dieser Gruppe.<br />
Zu einem Auftrag kann nun eine Liste aller beteiligten Gruppen angezeigt werden.<br />
Des weiteren ist möglich festzustellen, an welcher Gruppe es im Moment "hängt".<br />
So ist auch möglich, nur "eigene" Aufträge anzeigen zu lassen: Das sind alle,<br />
die offene Meilensteine enthält für welche die eigene Gruppe zuständig ist.<br />
-> eigener Handlungsbedarf ist in diesem Fall gefragt.<br />
Man kann mehreren Gruppen angehören, und so mehrere Aufgabengebiete abdecken.<br />
<br />
_Arbeitsbereich<br />
<br />
Aufträge lassen sich völlig voneinander getrennten Arbeitsbereichen zuordnen.<br />
(in Sinne von "Mandanten"). Bearbeiter und Gruppen sind aber für alle Arbeits-<br />
bereiche gleich.<br />
<br />
_Kunden-Kurz Infos<br />
<br />
die Kunden sollen nur als Kurzbegriffe in der Art einer lernenden Schreibhilfe<br />
zur Verfügung gestellt werden.<br />
<br />
relaxx Konzepte (Ursprüngliche Zielsetzung)<br />
<br />
_Anforderungsbeschreibung für ein EDV-System zur Auftragsabwicklung bei ITS TIS<br />
<br />
Über ITS TIS wird die gesamte Beschaffung aller Hardwarekomponenten im Werk Bruchsal<br />
abgewickelt. Das bedeutet, dass sowohl Netzwerkkomponenten aller Art als auch andere<br />
technische Geräte, wie Klimaanlagenteile oder digitale Uhren zum Auftragsvolumen gehören<br />
und deren Beschaffung und Inbetriebnahme somit verwaltet werden müssen.<br />
<br />
Vom Auftragseingang bis zur Inbetriebnahme sind mehrere Stellen (bis zu neun)<br />
am Prozess beteiligt. Deshalb ist derzeit jemand notwendig, der entscheidet,<br />
welche Aufgaben für die Bearbeitung des Auftrags durchzuführen sind, terminiert,<br />
koordiniert und die Aufträge entsprechend weiterleitet. Auch Rückfragen mit dem<br />
Antragssteller gehören in diesen Bereich.<br />
<br />
Bei hohem Auftragvolumen kann es aufgrund dieses komplexen, größtenteils manuell<br />
gesteuerten Prozessablaufs zu Koordinationsschwierigkeiten kommen. Der gesamten<br />
Ablauf und dessen Dokumentation lassen sich nur schwer nachvollziehen. Die<br />
Fehlerwahrscheinlichkeit kann nur durch große Konzentration aller Beteiligter<br />
gering gehalten werden.<br />
<br />
_Anforderungen<br />
<br />
Aus der Situationsbeschreibung leiten sich folgende Anforderungen an ein zukünftig<br />
einzusetzende EDV-System ab:<br />
<br />
fachlich<br />
<br />
· Übersichtlichkeit<br />
· Der Aufbau von Stammdaten, wie etwa Artikel, Kunde oder Lieferant darf nicht<br />
Vorraussetzung zur Erstellung eines Auftrags sein<br />
· Geräte aller Art müssen erfassbar sein<br />
· Auswahl der Aufträge nach verschiedenen Tätigkeitsfeldern und automatische<br />
Weiterleitung an den nächsten Aufgabenbereich<br />
· Historie zu jedem Auftrag, d.h. der Arbeitsfortschritt muss für jeden Auftrag<br />
mit Arbeitsplatz, Datum und Kommentar dokumentierbar sein.<br />
· gemeinsamer Bereich für alle Prozessbeteiligten, aber auch spezifische Bereiche<br />
für arbeitsplatzbezogene Aufgaben<br />
· Erstellung und Ausdruck von Dokumenten<br />
· evtl. automatische e-mail-Generierung<br />
· Terminplanung für jeden Auftrag soll möglich sein1<br />
· Ressourcenplanung für die beteiligten Stellen soll einsehbar sein<br />
<br />
technisch<br />
<br />
· Betriebssystem einsetzbar unter Windows NT, Windows 2000, UNIX ...<br />
· Datenbank: (MS-) SQL<br />
(af): firebird SQL Server wird<br />
eingesetzt (für Win32 und linux).<br />
· Programmiersprache: Visual Basic ????<br />
(af): Delphi, ist (später) ein Linux-Client gewünscht<br />
dann auch kylix.<br />
· Design: Windowskonform<br />
· Schnittstellen Microsoftprodukte, evtl. SAP<br />
· Kommunikation evtl. automatische e-mail-Generierung<br />
<br />
_Auftragsübersicht<br />
<br />
· Ein zentrales Fenster als Informationsquelle für alle Prozessbeteiligte.<br />
· Auswahl nach Arbeitsbereichen,<br />
????<br />
d.h. die Aufträge werden entsprechend ihres<br />
Arbeitsfortschritts (es ist noch kein Datum für diesen Bereich hinterlegt)<br />
aufgelistet<br />
????<br />
Bemerkung: Der aktuelle Arbeitsvortschritt ist der Punkt im<br />
Meilenstein der noch keine Abschluss-Datum gespeichert hat.<br />
· Durch Doppelklick auf den gewünschten Auftrag oder durch Markierung des<br />
gewünschten Auftrags und Pulldown-menue‚ ‘Wechseln zu - Auftrag‘ wird das<br />
Fenster ‘Auftrag‘ zur Detailansicht geöffnet.<br />
· Die Auftragsnummer wird vom System vergeben und ist nicht änderbar<br />
· ‘Nächste Stelle‘ kann hier oder in der Auftragsdetailansicht verändert werden.<br />
Hier, indem ein anderer Bereich ausgewählt wird. Datum und User werden in<br />
diesem Fall hinterlegt.<br />
<br />
_Weitere Pull-down-Menüs zu Auftrags-Detailansicht<br />
<br />
_Auftrag - Detailansicht<br />
<br />
· Hier werden alle Angaben zum Auftrag eingegeben und somit auch angezeigt..<br />
· Eingabefelder mit können geöffnet werden, da ihre Inhalte über die<br />
Größe des aktuellen Eingabefensters hinausgehen können.<br />
· Über die Eingabe Geräteinbetriebnahmeprotokoll sollen das zugehörige Dokument<br />
erstellt (Entweder Word aufrufen oder von diesem Programm heraus erstellen oder ?)<br />
und ausgedruckt werden<br />
· Über die Eingabe Abruf soll das zugehörige Dokument erstellt (s.o.) und<br />
ausgedruckt werden<br />
· Die Sortierung im Positionsfenster ist absteigend (nach Positionen), um sofort<br />
zu zeigen, aus wie viel Einzelpositionen ein Auftrag besteht.<br />
· In den Feldern der einzelnen Arbeitsschritte soll durch Doppelklick das aktuelle<br />
Datum eingestellt werden. Das Datum kann aber auch direkt eingetragen werden.<br />
Der User soll zwecks Dokumentation ebenfalls hinterlegt werden. (Was ist bei<br />
Änderungen ?)<br />
<br />
_Grundsätzliche Anforderungen an jedes Ein/Ausgabe-Fenster<br />
<br />
· Alle Ausgaben sollen nach jedem Ausgabefeld sortierbar sein<br />
· Die Änderungen aller Ein-/Ausgabefenster sollen nur nach explizitem Speichern<br />
in die Datenbank übernommen werden.<br />
· Hardcopy soll möglich sein<br />
<br />
_Noch nicht berücksichtigt<br />
<br />
Wenn die technischen Klärungen abgeschlossen sind, soll automatisch ein e-mail<br />
an den IT-Beauftragten und den Ansprechpartner für die technische Klärung geschickt<br />
werden (ähnlich einer Auftragsbestätigung).<br />
<br />
Mögliche Veränderungen im derzeitigen Ablauf: Zum Zeitpunkt der Bestellung soll<br />
versucht werden die Angaben zur technischen Klärung zusammenzustellen. (Derzeit<br />
erst nach Eingang der Lieferung) Zweck:<br />
Durch längere Reaktionszeiten können die Liefertermine besser kalkuliert und damit<br />
auch eingehalten werden.<br />
<br />
_Datenbank-Design 1.0<br />
<br />
grundsätzlich: RID ("Referential Identifier", Zahl, die den Record eindeutig identifiziert und<br />
sich so für Referenzen auf diesen Record anbietet)<br />
*_R (Referenz auf den RID der Tabelle "*")<br />
+<Tabellen-Name> (Es handelt sich um eine untergeordnete Tabelle zu der zusetzt<br />
genannten. Beispiel: TIERHALTER hat +TIER. In Tier ist sicherlich<br />
das Feld TIERHALTER_R enthälten, welches das TIER eindeutig zu<br />
einem Tierhalter zuordnet)<br />
<br />
<Tabellen-Name>: (<Felder>,...)<br />
<br />
ROHSTOFF: (RID,TEXT)<br />
Hier sind häufig benutzte Auftrags-Zutaten gespeichert. Man kann ein Profil zuordnen,<br />
wird im Auftrag ein ROHSTOFF mit PROFIL übernommen, so werden alle Phasen (als Meilensteine)<br />
in den Auftrag kopiert.<br />
+PROFIL: (RID,NAME:STRING,DAUER,ROHSTOFF_R)<br />
Dauer ist die Summe der DAUER aller zugeordneten PHASEn. Pro ROHSTOFF lassen<br />
sich mehrere PROFILe speichern (z.B. "kleiner Dienstweg", "großer Dienstweg",<br />
"Beschaffung intern", "Beschaffung via Versand", "Beschaffung via Mediamarkt")<br />
++PHASE: (RID,NAME:STRING,DAUER,INFO:TEXT,PROFIL_R,GRUPPE_R)<br />
In der Info werden die Benutzerdefinierten Daten abgelegt. GRUPPE_R enthält<br />
eine Info wer für diese Phase zuständig ist.<br />
DAUER ist die zu erwartende Zeit, die das Abarbeiten dieser Phase benötigt.<br />
<br />
AUFTRAG: (RID,BEARBEITER_R,GRUPPE_R,ANLAGE:DATUM,BEGIN:DATUM,STATUS,ABSCHLUSS:DATUM)<br />
Verantwortlichkeit in GRUPPE_R. STATUS: Hier wird eine Dringlichkeit berechnet.<br />
"Planziele erfüllt" "16% verzögert" "3 Tage in Verzug" usw.<br />
(je ein Dokumentablage Verzeichnis pro Auftrag!)<br />
+POSTEN: (RID,AUFTRAG_R,BEARBEITER_R,PROFIL_R,GRUPPE_R)<br />
Einzelne Positionen des Auftrags. GRUPPE_R wieder Verantwortlicher.<br />
(je ein Dokumentablage Verzeichnis pro Posten!)<br />
++MEILENSTEIN: (RID,ART,ANLAGE:DATUM,BEGIN:DATUM,GRUPPE_R,ANSCHLUSS:DATUM)<br />
Einzelschritte einer Position.<br />
<br />
PERSON: (Merged Module aus HebuAdmin)<br />
langweilig - Personendaten<br />
+ANSCHRIFT: (Merged Module aus HebuAdmin)<br />
langweilig - Anschriften der Personen<br />
PLZ: (Merged Module aus HebuAdmin)<br />
langweilig - PLZ ganz Deutschland<br />
<br />
BEARBEITER: (RID,KUERZEL,NAME,NTANMELDENAME,INFO)<br />
Alle Buchungswege werden über den Bearbeiter dokumentiert.<br />
GRUPPE: (RID,TEXT,INFO,MITGLIEDERLISTE_R)<br />
Rechte werden in Benutzergruppen geregelt. Verantwortlich ist jeweils<br />
eine GRUPPE<br />
+MITGLIEDERLISTE: (RID,BEARBEITER_R)<br />
Teilt BEARBEITER einer Gruppe zu.<br />
<br />
aktuellere Datenbank-Designs können mit IB-Expert abgerufen werden.<br />
<br />
_Datenbank: Bedeutung der Datenfelder<br />
<br />
"ABSCHLUSS" ist jetzt Abschluss "Soll"-> manuelle Eingabe durch den Benutzer<br />
"ABSCHLUSS_C" ist das berechnete Ende-Datum des Gesamt-Auftrages<br />
"EINGANG" ist das Startdatum aller Berechnungen<br />
<br />
relaxx Admin<br />
<br />
_Installation<br />
<br />
1) Anwendung selbst: (auf jedem win32 Client Arbeitsplatz notwendig)<br />
<br />
aktuelle Version: siehe www.cargobay.de/relaxx.html<br />
<br />
(bei jedem Release-Wechsel auf jedem Client notwendig)<br />
<br />
2) Datenbank SQL-Server "firebird": (wähle eine Maschine die stabil durchläuft<br />
und für alle aus TCP/IP Sicht erreichbar ist)<br />
<br />
a) ... ist eine Linux-Maschine (empfohlen): siehe www.raib.de/download<br />
(Linux/firebird Neuling? Einfach nach<br />
www.cargobay.de/HOWTO_install_another_suse.html vorgehen)<br />
b) ... ist eine Win32-Maschine: siehe www.raib.de/download<br />
<br />
relaxx.gdb (=leere Datenbank, mit der man starten kann) (findet man auf einem<br />
relaxx-Client in .\relaxx\Leere Datenbank) auf eine !!lokale!! Partition des<br />
Servers in ein beliebiges Datenbankverzeichnis für relaxx legen. Den Pfad gut<br />
merken, den muss man eintragen in ...<br />
<br />
3) Anwendung mit der Datenbank verbinden:<br />
<br />
"C:\programme\relaxx\relaxx.ini" editieren:<br />
[System]<br />
DataBaseName=<Computername des Servers>:<Pfad+Name der Datenbank aus Server-Sicht><br />
<br />
also z.B.<br />
<br />
// typischer Eintrag, wenn Sie sich für einen win32-Server entschieden haben<br />
DataBaseName=brutus:C:\Anwendungsdaten\relaxx\relaxx.gdb<br />
// typischer Eintrag, wenn Sie sich für einen linux-Server entschieden haben<br />
DataBaseName=192.168.115.80:/freigabe/relaxx.gdb<br />
<br />
bei vielen Client Installationen kan die ini-Einstellung auch zentral<br />
verwaltet werden, dadurch lassen sich alle Clients "auf einen Schlag" mit<br />
einer anderen Datenbank verbinden (Klar: Neustart von Relaxx erforderlich).<br />
Anstelle eines Datenbank-Pfades lässt sich auch eine weitere Datei angeben<br />
in der die eigentliche Datenbank angegeben wird. Dies wird dadurch erreicht,<br />
dass in der relaxx.ini einfach eine Datei einer ini-Datei angegeben wird.<br />
<br />
also z.B.<br />
<br />
DataBaseName=G:\Anwendungen\relaxx\relaxx.ini<br />
<br />
in G:\Anwendungen\relaxx\relaxx.ini wird dann die Datenbank angegeben (oder<br />
wieder eine Referenz).<br />
<br />
4) Anwendung starten:<br />
erster Start: Start->Programme->relaxx->relaxx : Ein Update der Datenbank wird durchgeführt<br />
zweiter Start: Start->Programme->relaxx->relaxx : Ein Benutzer wird angelegt<br />
zweiter Start: Start->Programme->relaxx->relaxx : - keine Aktion mehr ! -<br />
-> weitere Clients starten<br />
<br />
_Start der Anwendung<br />
<br />
relaxx ist ein ICN-Dienst und kann für Benutzer-Profile zugeordnet werden.<br />
Im Windows Startmenü ist er folgendermassen zu finden:<br />
<br />
Start->Business->Procedures->Relaxx<br />
<br />
* Er wird installiert nach "<ProgrammePfadLautSystem>\anfisoft\relaxx"<br />
Q: Soll im Setup das Anlegen von ICONs unterlassen werden?<br />
Q: Ist die Technologie eines "template" MSI möglich, das ein "unattended"<br />
Setup durchführt. Das MSI würde nur noch 2 Informationen enthalten:<br />
aktuelle Version: Rev. "1.23.0.0"<br />
"\\InstServer\Install\anfisoft\relaxx\Setup-relaxx-1023.exe"<br />
<br />
_Datenbankinternas<br />
<br />
Auftragsnummern-Vergabe<br />
=======================<br />
<br />
Der GENERATOR "GEN_AUFTRAG" enthält die nächste zu vergebende (interne) Auftrags<br />
nummer. Bei Änderungen muss ausgeschlossen werden, dass g größer ist alle alle<br />
bisher vergebenen nummern. Die Nummern sind unter Tabelle AUFTRAG Feld RID einsehbar.<br />
Eine Sortierung nach dieser Spalte macht die höchste bisher vergebene Nummer<br />
sichtbar.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Hauptseite&diff=4568Hauptseite2004-10-28T15:10:25Z<p>192.168.115.95: </p>
<hr />
<div>Willkommen<br />
<br />
== OrgaMon Wiki - Die Online Dokumentation ==<br />
[[Bedienungsgrundsätze]], [[Technik|technischer Überblick]]<br><br />
<br><br />
<b>[[Personen]]</b><br><br />
&nbsp;&nbsp;[[Musikerverkettung]], [[Bearbeiter]]<br><br />
<b>[[Belege]]</b><br><br />
&nbsp;&nbsp;[[Mahnsystem]], [[Versand]], [[Zahlungsart]]<br><br />
<b>[[Order]]</b><br><br />
&nbsp;&nbsp;[[Buchungsfolge]], [[Agent]], [[Wareneingang]]<br><br />
<b>[[Warenwirtschaft]]</b><br><br />
&nbsp;&nbsp;[[Artikel]], [[Sortimente]], [[Verlage]], [[Lager]], [[Inventur]], [[Artikelpakete]]<br><br />
<b>[[Resourcemanagement]]</b><br><br />
&nbsp;&nbsp;[[Aufträge]], [[Import]], [[Export]], [[Geolokalisierung]], [[Baustellenverwaltung]], [[Monteure]], [[Terminarbeitsplatz]]<br />
, [[MonDa]], [[JonDa]]<br><br />
<b>Qualitätsmanagement</b><br><br />
&nbsp;&nbsp;[[QM.Konzepte|Konzepte]], [[QM.Bearbeiter|Bearbeiter]], [[QM.Gruppen|Gruppen]], [[QM.Rechte|Rechte]], [[QM.2|2]], [[QM.3|3]]<br><br />
<br />
<br><br />
<b>Hilfskomponenten</b><br><br />
&nbsp;&nbsp;[[CareTaker]], [[keepcon]], [[Systemeinstellungen]], [[Tagesabschluss]], [[Tagwache]], [[Datensicherung]], [[OLAP]], [[Drucken]]<br />
<br />
<b>Installation</b><br><br />
&nbsp;&nbsp;[[Installation.Arbeitsplatz|Arbeitsplatz]], [[Datenbank]], [[Linux]], [[WebShop]]<br><br />
<b>[[Entwickler]]</b><br><br />
&nbsp;&nbsp;[[eCommerce]], [[Entwickler Schnellstart]], [[Linux]]<br><br />
<br />
<br><br />
[[to do]]<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Systemeinstellungen&diff=4611Systemeinstellungen2004-10-28T15:07:56Z<p>192.168.115.95: </p>
<hr />
<div>[[MwStSatzManuelleArtikel]]<br><br />
[[ZahlungInXTagen]]<br><br />
[[NachlieferungInfo]]<br><br />
[[BereitsGeliefertInfo]]<br><br />
[[StandardTextRechnung]]<br><br />
[[FreigabePfad]]<br><br />
[[BackupPacker]]<br><br />
[[BackupPackerArchivName]]<br><br />
[[SicherungsPfad]]<br><br />
[[SicherungsPrefix]]<br><br />
[[NichtMehrLieferbarInfo]]<br><br />
[[DatenbankBackupPfad]]<br><br />
[[TagesabschlussUm]]<br><br />
[[TagesabschlussAuf]]<br><br />
[[NachTagesAbschlussHerunterfahren]]<br><br />
[[TagWacheUm]]<br><br />
[[TagWacheAuf]]<br><br />
[[NachTagwacheHerunterfahren]]<br><br />
[[GermanParcel]]<br><br />
[[KontoInhaber]]<br><br />
[[KontoBankName]]<br><br />
[[KontoNummer]]<br><br />
[[KontoBLZ]]<br><br />
[[SpoolPath]]<br><br />
[[MusicPath]]<br><br />
[[PDFPathShop]]<br><br />
[[PDFPathApp]]<br><br />
[[PDFVersender]]<br><br />
[[PDFMail]]<br><br />
[[PDFAdmin]]<br><br />
[[PDFDokumentbetreff]]<br><br />
[[PDFSend]]<br><br />
[[ShopHost]]<br><br />
[[ShopPfad]]<br><br />
[[XMLRPCHost]]<br><br />
[[XMLRPCPort]]<br><br />
[[ScannerHost]]<br><br />
[[LabelHost]]<br><br />
[[VersandKosten]]<br><br />
[[PortoFreiAbBrutto]]<br><br />
[[Auftragsmedium]]<br><br />
[[Auftragsmotivation]]<br><br />
[[AuftragsGrundRückfrage]]<br><br />
[[SysdbaPasswort]]<br><br />
[[RangZeitfenster]]<br><br />
[[LieferzeitZeitfenster]]<br><br />
[[StandardLieferzeit]]<br><br />
[[PersonSchnelleRechnung]]<br><br />
[[Farbe]]<br><br />
[[Replikation]]<br><br />
[[OrtFormat]]<br><br />
[[TimeServer]]<br><br />
[[GOT]]<br><br />
[[BezahlteBelegeLöschen]]<br><br />
[[BelegSetzeMengeNullBeiPreisNull]]<br><br />
[[BelegRechnungGlattstellen]]<br><br />
[[BearbeiterSprache]]<br><br />
[[EinzelpreisNetto]]<br><br />
[[Mahnschwelle]]<br><br />
[[Mahnfälligkeitstoleranz]]<br><br />
[[MahnungAusgelicheneDazwischenAnzeigen]]<br><br />
[[MahnungErstAbUnausgeglichenheit]]<br><br />
[[MahnungGebuehr1]]<br><br />
[[MahnungGebuehr2]]<br><br />
[[MahnungGebuehr3]]<br><br />
[[MahnungZinsSatzPrivat]]<br><br />
[[MahnungZinsSatzGewerblich]]<br><br />
[[MahnungMindestZins]]<br><br />
[[MahnungMahnstufeZinsEintritt]]<br><br />
[[MahnungAbstand]]<br><br />
[[Profil01]]<br><br />
[[Profil02]]<br><br />
[[Profil03]]<br><br />
[[Profil04]]<br><br />
[[Profil05]]<br><br />
[[Profil06]]<br><br />
[[Profil07]]<br><br />
[[Profil08]]<br><br />
[[Profil09]]<br><br />
[[Profil10]]<br><br />
[[Profil11]]<br><br />
[[Profil12]]<br><br />
[[Profil13]]<br><br />
[[Profil14]]<br><br />
[[Profil15]]<br><br />
[[Profil16]]<br><br />
[[Profil17]]<br><br />
[[Profil18]]<br><br />
[[LagerHoheDiversität]]<br><br />
[[EinzelPositionNetto]]<br><br />
[[KommaFaktor]]<br><br />
[[BelegAnzeigeNachBuchen]]<br><br />
[[NachTagesAbschlussAnwendungNeustart]]<br><br />
[[htmlPath]]<br><br />
[[BilderURL]]<br><br />
[[WikiServer]]<br><br />
[[AuftragsObjektPfad]]<br><br />
[[FarbeStufe1]]<br><br />
[[FarbeStufe2]]<br><br />
[[FarbeStufe3]]<br><br />
[[FarbeStufe4]]<br><br />
[[FarbeStufe5]]<br><br />
[[csvQuelle]]<br><br />
[[AblageVerzögerung]]<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=QM.Rechte&diff=4772QM.Rechte2004-10-28T15:01:52Z<p>192.168.115.95: </p>
<hr />
<div>_Rechte-Verwaltung<br />
<br />
* relaxx verfügt über elementare Begriffe im Context "Rechte". Der neu angelegte<br />
User verfügt über keinerlei Rechte. Diese müssen durch den Admin zugeteilt werden.<br />
Zu das gewähren von Rechten werden mehr und mehr Aktionen für den Benutzer frei-<br />
geschaltet bzw. es verändert sich das Programmverhalten.<br />
* Benutzer mit dem ADMIN Recht können die Rechte anderer Benutzer einsehen und<br />
verwalten. Um ein Aussperren zu verhindern prüft relaxx bei jedem Programmstart,<br />
ob zumindest ein Benutzer das Recht ADMIN hat, ist dies nicht der Fall, so wird<br />
dem aktuellen User dieses Recht gegeben.<br />
* Das Setzen von Rechten ergolgt dadurch, das der Rechts-Begriff im Textfenster<br />
"Status Info, Zugriffsrechte usw." eingegeben wird, danach ein "=", danach<br />
"JA" (alles andere wird als NEIN interpretiert).<br />
* Wenn Sie prüfen wollen, wer ADMIN ist, machen Sie eine Doppelklick auf Ihr Benutzer<br />
kürzel. Es wird eine Liste aller Admins angezeigt.<br />
<br />
Bisher Implementierte Rechte:<br />
=============================<br />
<br />
ADMIN<br />
*****<br />
<br />
Reiter "Admin" wird ansprechbar<br />
<br />
BASISDATEN<br />
**********<br />
<br />
Reiter "Basisdaten" wird ansprechbar</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Hauptseite&diff=4566Hauptseite2004-10-28T15:01:39Z<p>192.168.115.95: </p>
<hr />
<div>Willkommen<br />
<br />
== OrgaMon Wiki - Die Online Dokumentation ==<br />
[[Bedienungsgrundsätze]], [[Technik|technischer Überblick]]<br><br />
<br><br />
<b>[[Personen]]</b><br><br />
&nbsp;&nbsp;[[Musikerverkettung]], [[Bearbeiter]]<br><br />
<b>[[Belege]]</b><br><br />
&nbsp;&nbsp;[[Mahnsystem]], [[Versand]], [[Zahlungsart]]<br><br />
<b>[[Order]]</b><br><br />
&nbsp;&nbsp;[[Buchungsfolge]], [[Agent]], [[Wareneingang]]<br><br />
<b>[[Warenwirtschaft]]</b><br><br />
&nbsp;&nbsp;[[Artikel]], [[Sortimente]], [[Verlage]], [[Lager]], [[Inventur]], [[Artikelpakete]]<br><br />
<b>[[Resourcemanagement]]</b><br><br />
&nbsp;&nbsp;[[Aufträge]], [[Import]], [[Export]], [[Geolokalisierung]], [[Baustellenverwaltung]], [[Monteure]], [[Terminarbeitsplatz]]<br />
, [[MonDa]], [[JonDa]]<br><br />
<b>Qualitätsmanagement</b><br><br />
&nbsp;&nbsp;[[QM.Bearbeiter|Bearbeiter]], [[QM.Gruppen|Gruppen]], [[QM.Rechte|Rechte]], [[QM.2|2]], [[QM.3|3]]<br><br />
<br />
<br><br />
<b>Hilfskomponenten</b><br><br />
&nbsp;&nbsp;[[CareTaker]], [[keepcon]], [[Systemeinstellungen]], [[Tagesabschluss]], [[Tagwache]], [[Datensicherung]], [[OLAP]], [[Drucken]]<br />
<br />
<b>Installation</b><br><br />
&nbsp;&nbsp;[[Installation.Arbeitsplatz|Arbeitsplatz]], [[Datenbank]], [[Linux]], [[WebShop]]<br><br />
<b>[[Entwickler]]</b><br><br />
&nbsp;&nbsp;[[eCommerce]], [[Entwickler Schnellstart]], [[Linux]]<br><br />
<br />
<br><br />
[[to do]]<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=To_do&diff=13371To do2004-10-28T14:59:35Z<p>192.168.115.95: </p>
<hr />
<div>[[todo Versand]]<br><br />
[[todo System]]<br><br />
[[todo Kunden]]<br><br />
[[todo Belege]]<br><br />
[[todo Artikel]]<br><br />
[[todo Sonstiges]]<br><br />
[[todo Lager]]<br><br />
[[todo Konten]]<br><br />
[[todo WebShop]]<br><br />
[[todo Qualitätssicherung]]<br><br />
<br><br />
[[todo Musikverlag]]<br><br />
[[todo Resourcemanagement]]<br><br />
[[todo ErgoPrax]]<br><br />
[[todo IT-Freiberufler]]<br><br />
[[todo IT-Dienstleister]]<br><br />
[[todo Landschaftspflege]]<br><br />
[[todo Schlosserei]]<br><br />
[[todo aktuell]]<br><br />
[[todo MonDa]]<br><br />
[[todo JonDa]]<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Hauptseite&diff=4564Hauptseite2004-10-28T14:58:54Z<p>192.168.115.95: </p>
<hr />
<div>Willkommen<br />
<br />
== OrgaMon Wiki - Die Online Dokumentation ==<br />
[[Bedienungsgrundsätze]], [[Technik|technischer Überblick]]<br><br />
<br><br />
<b>[[Personen]]</b><br><br />
&nbsp;&nbsp;[[Musikerverkettung]], [[Bearbeiter]]<br><br />
<b>[[Belege]]</b><br><br />
&nbsp;&nbsp;[[Mahnsystem]], [[Versand]], [[Zahlungsart]]<br><br />
<b>[[Order]]</b><br><br />
&nbsp;&nbsp;[[Buchungsfolge]], [[Agent]], [[Wareneingang]]<br><br />
<b>[[Warenwirtschaft]]</b><br><br />
&nbsp;&nbsp;[[Artikel]], [[Sortimente]], [[Verlage]], [[Lager]], [[Inventur]], [[Artikelpakete]]<br><br />
<b>[[Resourcemanagement]]</b><br><br />
&nbsp;&nbsp;[[Aufträge]], [[Import]], [[Export]], [[Geolokalisierung]], [[Baustellenverwaltung]], [[Monteure]], [[Terminarbeitsplatz]]<br />
, [[MonDa]], [[JonDa]]<br><br />
<b>Qualitätsmanagement</b><br><br />
&nbsp;&nbsp;[[QM.Bearbeiter|Bearbeiter]], [[QM.Gruppe|Gruppe]], [[QM.1|1]], [[QM.2|2]], [[QM.3|3]]<br><br />
<br />
<br><br />
<b>Hilfskomponenten</b><br><br />
&nbsp;&nbsp;[[CareTaker]], [[keepcon]], [[Systemeinstellungen]], [[Tagesabschluss]], [[Tagwache]], [[Datensicherung]], [[OLAP]], [[Drucken]]<br />
<br />
<b>Installation</b><br><br />
&nbsp;&nbsp;[[Installation.Arbeitsplatz|Arbeitsplatz]], [[Datenbank]], [[Linux]], [[WebShop]]<br><br />
<b>[[Entwickler]]</b><br><br />
&nbsp;&nbsp;[[eCommerce]], [[Entwickler Schnellstart]], [[Linux]]<br><br />
<br />
<br><br />
[[to do]]<br></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux&diff=4603Linux2004-10-11T08:31:39Z<p>192.168.115.95: </p>
<hr />
<div>[[Linux.rsync|rsync als Backuplösung]]<br><br />
[[Linux.xntpd|immer genaue Uhrzeit (für alle)]]<br><br />
[[Linux.Grundlagen|Grundlagen]]<br><br />
[[Linux.samba|Festplatte im Netz (für alle)]]<br><br />
[[linux.firebird|Firebird SQL Server]]<br><br />
<br />
<br><br />
1) Worum geht es<br />
<br />
* WARNUNG: Dieses HOWTO enthält Erfahrungsberichte und/oder Infos ohne<br />
jeglichen Anspruch auf Korrektheit. Alles ist hoch experimentell und nicht<br />
ausgiebig getestet. Es handelt sich eigentlich um ein lyrisches Werk freier<br />
Geister, einen Bezug zur Relalität (insbesondere ein Zusammenhang mit der<br />
Computertechnik) darf niemals vermutet werden. Eine Art Garantieanspruch aus<br />
diesen freien Gedankenexplosioen abzuleiten grenzt an Wahnsinn.<br />
<br />
* Wir wollen mit diesem Dokument das Neuaufsetzen eines Suse Workgroup-Servers<br />
beschreiben. Nach einem Crash soll es z.B. Alexander (vom HeBu-Musikverlag)<br />
möglich sein, ohne viel Nachdenken einen neuen suse-linux-server aufzusetzen!<br />
* Die Sache ist recht umfangreich, mal in Kurzform: Alle wollen über linux<br />
ins InterNet. Es läuft dort der SQL Server firebird. Alle (win32&MACs) nutzen<br />
Plattenplatz (via samba,netatalk). Der Port 80 soll auf einen Win32 Rechner<br />
geroutet werden.<br />
* ehm nochwas; frage niemals: "was sind server?"<br />
* Mitarbeiter:<br />
<br />
Andre Wolff , Entwickler<br />
Thilo Frey , Entwickler<br />
Andreas Filsinger , Entwickler (Projektleiter)<br />
<br />
2) Bitte mitarbeiten!<br />
<br />
MITARBEIT: Dem Paket liegt eine .rev Datei bei - es handelt dabei um den<br />
Source-Code dieses Dokumentes, das Dir gerade in der html-Form vorliegt.<br />
Es ist eine einfache .txt Datei, dummerweise mit der Dateiendung .rev.<br />
Diese Textdatei einfach abändern/erweitern (am besten mit notepad,write) und an<br />
andreas@filsinger.de mailen. Der macht dann ne neue Release draus. Nicht<br />
vergessen im unten Dokumentteil eine neue Revnummer zu beginnen (+Datum) und<br />
die Änderungen kurz zu dokumentieren.<br />
<br />
3) Erster (Kalt-)Start<br />
Rechner an, gleich ins System-Bios gehen, dazu <Entf> drücken,<br />
wenn die "Drives"-Erkennung läuft. Im BIOS nun<br />
->Advanced?!->Boot Device 0-><br />
von "HDD-0" auf "CDROM" umstellen,<br />
damit der Rechner von der DVD bootet. (das geht bei jedem BIOS anders)<br />
->Suse 7.3 DVD rein<br />
(oder 8.0, sorry dann alles bissel anders: aber besser!!)<br />
->Save and exit<br />
...Rechner bootet neu, und macht den ersten (Warm-)Start<br />
<br />
4) Suse DVD bootet ...<br />
<br />
Rechner erkennt, dass er von der DVD booten kann<br />
<br />
7.3<br />
"Manual Installation" bestätigen<br />
Bildschirm (farbe/mono)<br />
Tastaturbelegung Deutsch<br />
Installation/System starten<br />
Installation/Update starten<br />
Quellmedium CD-ROM auswählen<br />
YAST-Version grafisch wählen<br />
Laden aller (USB) Treiber bestätigen<br />
Installationssprache Deutsch<br />
Tastaturlayout "deutsch" und Zeitzone "Europa/Deutschland" wählen<br />
Installationsmodus "Neuinstallation" wählen<br />
Vorgeschlagene Partition ändern (Muss wegen Reiserfs gemacht werden)<br />
<br />
8.0<br />
Installation / deutsch / Neuinstallation<br />
<br />
8.2<br />
Manuelle Installation<br />
<br />
5) Festplatte einrichten:<br />
Also wir machen 3 Partitionen:<br />
<br />
"boot" kleine Mini-Partition: damit das booten immer klappt (ext2 oder ext3-Dateisystem)<br />
<br />
"swap" mittlere Partition: da werden RAM Speicherbereiche rausgeschrieben,<br />
um Platz zu machen für wichtigere Daten.<br />
Grösse= RAM * 2 oder mehr, aber immer größer als das RAM!<br />
"linux" eigentlicher Betriebssystem Bereich und Anwender und<br />
Benutzerbereich<br />
<br />
Bei "Festplatte vor ..."<br />
den<br />
[X] Benutzerdefiniert wählen!<br />
3 Partitionen anlegen:<br />
<br />
0..2 Linux native (ext2 oder ext3) mounting-point "/boot"<br />
3..84 Linux swap ----- ----------------------<br />
85..5004 Linux native (!reiserfs!) mounting-point "/"<br />
<br />
2. Platte mal noch offen lassen<br />
<br />
6) "Standard mit Office" installieren<br />
<br />
"Benutzername usw." (sorry weis nicht mehr genau wann das kommt).<br />
Rechnername: linus<br />
pwd für den root (=Administrator im win32 Dialekt) erst mal auch so eingeben<br />
pwd: linus<br />
<br />
"Monitor ändern"<br />
EIZO-F56 aber beachten dass die vorgeschlagene Wiederholfrequenz<br />
herunterkorrigiert wird. etwa 70 Hz-72 Hz, was der jeweilige Monitor<br />
verträgt.<br />
"Hardware konfigurieren" wählen!<br />
->Netzwerk,<br />
erste Netzwerkkarte<br />
100 MBit-Karte: KarteIP fest, zb. 192.168.100.72, Maske so ok<br />
"Rechnername und Nameserver" wählen!<br />
->name: linus<br />
->domäne: pcworld<br />
NameServer: 194.25.2.132 (T-online)<br />
zweite Netzwerkkarte<br />
10 MBit-Karte: KarteIP fest, zb. 192.168.99.72, Maske so ok<br />
(anderes logisches Netzwerk!)<br />
"Rechnername und Nameserver" diesmal nicht notwendig!<br />
<br />
->ISDN<br />
Euro-ISDN,Deutsch,t-online usw.<br />
Zugangsdaten für den flat bereithalten<br />
->Sound<br />
normales Setup->meist auf 100% Lautstärke anpassen, da wir sonst<br />
später nix mehr hören.<br />
<br />
7) vor dem ersten Start(Logout,beenden,neustarten)<br />
ins bios gehen (Taste <Entf>), Bootlaufwerk<br />
von "CDROM" auf "HDD-0" umstellen! Damit der Rechner niemals versehentlich<br />
von CD-bootet.<br />
immer als root einloggen<br />
<br />
8) Pakete nachinstallieren<br />
(als (Benutzernamen=)root eingelogged?!)<br />
[suse->]system->configuration->yast 2->Software deinstallieren/installieren<br />
(Software install/remove)<br />
->ev. Pakete "suchen" knopf, names des Paketes angeben<br />
doppelklick auf das paket<br />
<br />
X samba serie: n<br />
X netatalk serie: n<br />
X vnc serie: xap<br />
<br />
Folgende Pakete müssen deinstalliert werden:<br />
<br />
7.3<br />
===<br />
<br />
D Personal-Firewall<br />
D SuSE-Firewall<br />
D ipchains<br />
<br />
9) T-DSL, leider muss geschraubt werden. <br />
<br />
(nicht SuSE 9.0)<br />
<br />
Details auf http://sdb.suse.de/en/sdb/html/cg_pmtu2.html.<br />
<br />
a) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/options<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
b) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/peers/pppoe<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
11) Netzwerk Verbindung prüfen<br />
<br />
auf einem win32 Rechner jetzt den Linux Server anpingen (per IP, nicht den )<br />
mehr Details siehe 22)<br />
<br />
ping 192.168.115.90<br />
<br />
12) Netatalk-konfiguration (zugriff auf einen Linux Share via MAC)<br />
<br />
(als (Benutzernamen=)root eingelogged?!)<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Editoren->Advanced Editor)<br />
a) /etc/rc.config:<br />
START_ATALK="no" auf START_ATALK="yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
b) /etc/atalk/atalkd.conf<br />
eth0 auf eth1<br />
# nur ändern, wennn 100 Mbit-Karte eth1 ist (Network/Basic -> Network card configuration)<br />
c) /etc/atalk/AppleVolumes.default<br />
Zeile ganz unten mit nur der Tilde<br />
~<br />
rauslöschen!<br />
neue Zeile (auch ganz unten)<br />
/freigabe/mac "user" options:noadouble<br />
d) terminal fenster starten (muschel)<br />
cd /freigabe<br />
mkdir mac<br />
chmod 0777 -R /mac<br />
rcatalk start<br />
<br />
-> nach ca. 1 minute müsste "linus" sichtbar sein, ev. als<br />
linus/linus verbinden!<br />
<br />
e) Diagnose<br />
<br />
nbplkup<br />
<br />
14) Einsatz als firebird-raib<br />
<br />
8.0<br />
===<br />
<br />
raib ist ein RAID 5 Array aus 3 unabhängigen firebird servern und einem Master.<br />
Zum einsatz kommt ein (selbstgebautes) Server Blade mit 4 Rechnern. Dazu muss<br />
nach erfolgreicher Installation der Hardware-Scan beim booten (hwscan) deaktiviert<br />
werden, da diese Rechner ohne Keyboard und Maus laufen. hwscan stoppt sonst<br />
das Hochfahren und bringt einen Maus-Auswahldialog.<br />
<br />
15) DVD ist weg - und man muss Software nachinstallieren:<br />
<br />
<br />
Unter YaSt2, Software, Softwarequelle, eine FTP Quelle anlegen<br />
<br />
Servername: ftp.gwdg.de <br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/9.0 <br />
<br />
8.2<br />
===<br />
<br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/8.2 <br />
<br />
<br />
<br />
16) Firebird Datenbank Crash?<br />
<br />
konkrete Verwendung einzelner Befehle für fix, backup und restore.<br />
siehe ibreorg.bat in der Anlage. (der ist leider für Win32-DOS-Box!)<br />
die Befehle müssten auch unter linux so gehen. der Pfad ist aber<br />
<br />
/opt/interbase/bin/gbak ....<br />
<br />
--- snip<br />
@echo off<br />
REM -------------------------------------------------<br />
REM Reparatur einer inkonsistenten FireBird Datenbank<br />
REM<br />
REM (c) Andreas Filsinger, www.cargobay.de<br />
REM -------------------------------------------------<br />
REM<br />
REM Usage<br />
REM<br />
REM reorg <Pfad und Name der Datenbank OHNE ".gdb"><br />
REM<br />
REM --------------------------------------------<br />
REM<br />
REM ACHTUNG: richtigen Pfad ermitteln, indem Sie nach der<br />
REM Datei gbak.exe suchen lassen. Und hier eintragen:<br />
REM<br />
SET IBBIN=D:\programme\borland\interbase\bin\<br />
REM<br />
REM --------------------------------------------<br />
REM 1) fix erros<br />
REM<br />
%IBBIN%gfix -mend -full -ignore -user "SYSDBA" -password "masterkey" %1.gdb<br />
REM --------------------------------------------<br />
REM 2) backup fixed base<br />
REM<br />
%IBBIN%gbak -backup -v -ignore -garbage -user "SYSDBA" -password "masterkey" %1.gdb %1_neu.gbk<br />
REM --------------------------------------------<br />
REM 3) restore base<br />
REM<br />
REM zusätzlich noch "-i" wenn Indizes deaktiviert werden sollen<br />
REM<br />
%IBBIN%gbak -r -v -p 8192 -user "SYSDBA" -password "masterkey" %1_neu.gbk %1_neu.gdb<br />
REM --------------------------------------------<br />
REM 4) check new one<br />
REM<br />
%IBBIN%gfix -v -f -user "SYSDBA" -password "masterkey" %1_neu.gdb<br />
REM --------------------------------------------<br />
--- snap<br />
<br />
Bemerkungen<br />
===========<br />
<br />
a) Backup-möglich aber fail beim Restore: wegen inkonsistenter Indizes<br />
ich habe mal erlebt, das foreign Key nicht mehr konsistent waren, und deshalb<br />
der restore abgebrochen hat. Alle Indizes kann man jedoch als inaktiv restoren,<br />
(Option -i )<br />
nach löschen /clearen der "Schuldigen" kann man alle indizes wieder aktivieren,<br />
wieder ein backup, wieder ein restore -> alles wieder gut.<br />
(Sourcecode dazu im HeBuAdmin Projekt)<br />
damit der HebuAdmin alle indizes sehen kann braucht er "out.txt". Das ist die<br />
Ausgabe eines erfolgreichen restores, der alle indizes enthält.<br />
Unter linux gibt man die Ausgabe von gbak mit 2>/freigabe/out.txt in eine Datei<br />
aus.<br />
<br />
firebird-Erkenntnis<br />
===================<br />
<br />
internal gds software consistency check (partner index description not found (175))<br />
<br />
dieser Fehler tritt beim löschen eines Datensatzes auf, der eventuell durch einen<br />
foreign key einer anderen Tabelle referenziert werden könnte. Ist dieser key<br />
deactiviert so kann keine Aussage getroffen werden, ob das löschen ok ist, dieser<br />
interne Fehler ist die Folge!!<br />
<br />
17) Routing, Masquerading und Firewall<br />
<br />
Alle Arbeitsplatz-Rechner sicher und einfach ins InterNet zu bringen<br />
ist hierbei vorrangiges Ziel.<br />
<br />
a) Skript "myfirewall.sh" (in der Anlage sicherlich aktueller als dieser Snapshot)<br />
nach /root kopieren.<br />
<br />
--- snip<br />
# !/bin/bash<br />
IPTABLES=/usr/sbin/iptables<br />
DEV_LOC=eth0<br />
DEV_EXT=ppp0<br />
DNS_EXT=194.25.2.129<br />
# for IF in $DEV_LOC $DEV_EXT do<br />
# Kernelmodule laden<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/log_martians<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/log_martians<br />
<br />
<br />
# done<br />
<br />
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br />
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses<br />
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate<br />
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate<br />
<br />
# Zu Anfang alles verbieten (Default Policy)<br />
$IPTABLES -P INPUT ACCEPT<br />
$IPTABLES -P OUTPUT ACCEPT<br />
$IPTABLES -P FORWARD ACCEPT<br />
<br />
# Alle Regelketten, die sich noch im Speicher befinden k"nnten, l"schen<br />
$IPTABLES -F<br />
$IPTABLES -t nat -F<br />
$IPTABLES -X<br />
<br />
# Verbindungen fr Testzwecke am eigenen Rechner ber das Loopback. Einige<br />
# lokale Prozesse wie BIND verwenden das Loopback fr die interne Kommunikation<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
# Alle externen Verbindungsversuche und ander Merkwrdigkeiten werden hier<br />
# aufgefangen, im SYSLOG vermerkt und dann unsch„dlich gemacht<br />
$IPTABLES -N nirwana<br />
# $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP "<br />
# $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP "<br />
# $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP "<br />
# $IPTABLES -A nirwana -p TCP -j DROP<br />
<br />
# Kernelmodule masq und forwarding aktivieren (dyn. IP vom Provider)<br />
echo "1" > /proc/sys/net/ipv4/ip_dynaddr<br />
echo "1" > /proc/sys/net/ipv4/ip_forward<br />
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE<br />
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br />
<br />
# Für alle bestehenden ein- und ausgehenden Verbindungen. Dritte Regel<br />
# verhindert alle Verbindungen die Auáen kommen<br />
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
# $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana<br />
<br />
# Zugriff auf internen WEB-Server<br />
# $IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
<br />
# WinMx auf fred!<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 6699 -j DNAT --to 192.168.115.3:6699<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p udp --dport 6257 -j DNAT --to 192.168.115.3:6257<br />
<br />
# Ping ins Internet erlauben, eingehende werden von der NIRWANA-Rule abgefangen<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT<br />
<br />
# DNS<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d $DNS_EXT -m state --state NEW -j ACCEPT<br />
<br />
# HTTP<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT<br />
<br />
# FTP<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT<br />
<br />
# Alle Pakete, die bis hierher kommen nach nirwana<br />
$IPTABLES -A INPUT -j nirwana<br />
$IPTABLES -A OUTPUT -j nirwana<br />
$IPTABLES -A FORWARD -j nirwana<br />
--- snap<br />
<br />
<br />
__zukünfiges thema: lokales umlenken lokaler Port traffics. Z.b. aller verkehr aus dem Internet<br />
soll umgeleitet werden von "80" auf "8080".<br />
<br />
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT \<br />
--to-ports 8080<br />
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner \! --uid-owner 13 \<br />
-j REDIRECT --to-ports 8080<br />
<br />
Should work. I tested it on my own firewall, although I just tested it<br />
with netcat, not a real proxy.<br />
<br />
Locally generated packets don't go through the PREROUTING chain, so you<br />
have to manipulate them in OUTPUT, and you also have to differentiate<br />
them from the proxy's outgoing packets, hence the match against uid 13<br />
(proxy), taken from /etc/passwd.<br />
<br />
Unfortunately, you'll have to enable owner match support in your kernel<br />
for the second line to work, so you might have to recompile (it's one of<br />
the features labelled experimental).<br />
<br />
Jason<br />
<br />
__zukünfiges thema: Bandbreiten verteilung: siehe artikel in c't 01/03. Kommt aber<br />
sicher stablier ab "suse 8.2", das es kernel >2.4.19 erfordert.<br />
<br />
b) mit<br />
<br />
chmod 755 /root/myfirewall.sh<br />
<br />
macht man dieses Script ausführbar. Nun starten ...<br />
<br />
/root/myfirewall.sh<br />
<br />
c) Automatischer Start der Firewall beim booten ...<br />
<br />
Als root einloggen und folgende Zeilen eingeben:<br />
<br />
ln -s /root/myfirewall.sh /etc/init.d/rc2.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc3.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc5.d/S30myfirewall <RETURN><br />
<br />
fehlt noch: "K" links, myfirewall sollte echtes Script werden, das<br />
"start" und "stop" auswerten kann.<br />
<br />
d) Eintrag in /etc/rc.config ändern: IP_FORWARD="no" auf "yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
18) lokaler SMTP Forwarder<br />
<br />
* win32 outlook express clients sollen bei der email-Konten-Einstellung den<br />
Eintrag "smtp-Server:" von dem "wirklichen" Server auf die IP des Linux-Servers<br />
umstellen können. POP Eintrag MUSS bleiben.<br />
* Der Linux Server muss ausgehende Mails mit 100 MBit/s annehmen, und<br />
lokal zwischenspeichern.<br />
* Der smtp Dienst von Linux muss eine autentifizierung des Users verlangen.<br />
(wie bei heutigen smtps üblich, mit dem gleichen Konto/pwd wie für pop3)<br />
* Der Linux Server sollte als "relay" fungieren, und die mail somit völlig<br />
unangetastet lassen.<br />
* Durch die Identifizierung mit dem smtp "Konto-Name" muss der Linux Server<br />
ermitteln (in einer config-Datei) wer der wirkliche smtp Server im Internet<br />
ist. Der Server muss nun (in aller Ruhe) dafür sorgen dass die Mail zugestellt<br />
wird. Es sollte kein "fester" relay-smtp für "alle" email-Konten benutzt werden.<br />
<br />
<br />
---------------------------------------------------------------------------------------<br />
Aufsetzen des Mailservers postfix<br />
---------------------------------------------------------------------------------------<br />
<br />
Andre Wolff 24.4.2003<br />
<br />
---------------------------------------------------------------------------------------<br />
<br />
<br />
---------------<br />
1. Installation<br />
---------------<br />
<br />
Postfix wird bei der Version 8.2 standardmäßig installiert. Zur Überprüfung, ob postfix<br />
installiert und aktiv ist, wie folgt vorgehen:<br />
<br />
- Aufrufen des YAST2-Kontrollzentrum<br />
- Auswahl System<br />
- Den Runlevel-Editor starten<br />
- Auf "Runlevel-Eigenschaften..." klicken<br />
<br />
In der nun angezeigten Liste sollte ein Eintrag postfix vorhanden sein. Ist dieser als aktiv<br />
gekennzeichnet und für die Runlevels 3 und 5 konfiguriert, ist alles Ok. Sollte der Eintrag<br />
postfix nicht vorhanden sein, muß das Programm evtl. nachinstalliert werden:<br />
<br />
- Runlevel-Editor ggf. wieder beenden<br />
- Aus dem YAST2-Kontrollzentrum "Software" auswählen<br />
- Auswahl "Software installieren oder löschen"<br />
- Im Kombinationsfeld Filter den Eintrag "Suche" auswählen und im Suchfeld<br />
postfix eingeben und auf die Schaltfläche "Suche" klicken<br />
- in der Paketliste postfix auswählen und auf Schaltfläche "Akzeptieren" klicken<br />
<br />
----------------<br />
2. Konfiguration<br />
----------------<br />
<br />
Da SuSE versucht alle wichtigen Programme direkt aus YAST oder YAST2 heraus automatisch <br />
zu konfigurieren, wir aber das Mail-System unseren Bedürfnissen explizit anpassen wollen,<br />
muß die automatische Konfiguration für postfix abgeschaltet werden:<br />
<br />
- Im YAST2-Kontrollzentrum "System|Editor für /etc/sysconfig-Dateien" auswählen<br />
- Dann Auswahl "Network|Mail|General"<br />
- Ändern des Eintrages "MAIL_CREATE_CONFIG" von yes auf no und Sysconfig-Editor <br />
beenden<br />
<br />
<br />
Datei "main.cf" anpassen<br />
<br />
Datei /etc/postfix/main.cf mit einem Editor öffnen. Die Einträge wie folgt ändern<br />
oder das '#'-Zeichen entfernen :<br />
<br />
myhostname = smtp.hebu.de<br />
mydomain = hebu.de<br />
mynetworks = 192.168.100.0/24,127.0.0.0/8<br />
smtpd_banner = $myhostname ESMTP<br />
relay_domains = $mydestination, <dom1>, <dom2>, ...<br />
<br />
<br />
Anpassen des Firewall-Skriptes<br />
<br />
Eintrag in /root/fwdsl.start nach dem Eintrag "Samba aus dem internen Netz":<br />
<br />
#--------------------------------------------------------------------------------<br />
# E-Mail zum relayen<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
---------------------------------------------------------------------------------<br />
<br />
Folgende Erweiterung für DNS eintragen <br />
<br />
#--------------------------------------------------------------------------------<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p UDP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p TCP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
#--------------------------------------------------------------------------------<br />
<br />
<br />
Bei den E-Mail-Clients muß nun der neue SMTP-Server eingetragen werden.<br />
<br />
Bei Outlook und Outlook-Express unter "Extras|Konten" die Registerkarte "E-Mail" auswählen.<br />
Dann mit einem Doppelklick die Eigenschaften des gewünschte Mailkontos öffnen. Auf der<br />
Registerkarte Server bei "Postausgang (SMTP)" die IP-Adresse des neuen Mail-Relays<br />
eintragen.<br />
<br />
19) Bandbreiten Management<br />
<br />
Hier: Der eMail-Ausgangsstrom soll uns nicht die Bandbreite des Web-Shop mindern.<br />
<br />
* Noch nicht Teil dieses Bugets - aber bitte im Hinterkopf behalten: Durch Einträge<br />
mit Hilfe von iptabels kann ab Kernel 2.4.20 die bandbreite gewisser dienste<br />
vorbestimmt werden. Ich suche mal den Artikel in der c't. Wir starten, wenn<br />
Suse 8.2 bei mir vorliegt (ist vorbestellt!)<br />
<br />
20) lokaler DNS Forwarder<br />
<br />
* DNS-Adressen wechseln ganz im Gegensatz zu HTML-Inhalten nicht so<br />
häufig. Deshalb will ich keinen vollständigen Proxy einsetzten. Aber ich<br />
will nicht, dass jede (wiederholte) DNS Anfrage ins INternet rausgepustet<br />
wird! Bis sich alle Datenbanken weltweit angeglichen haben kann schon mal<br />
ein halber Tag vergehen, also können wir auch guten gewissens DNS anfragen<br />
cache, etwa mit einer Haltbarkeit der cache inhalte von 10 min ?!. Deshalb<br />
ist ein Caching unbedenklich, und auch be-sonders lohnend, da einige UDP/TCP<br />
Verbindungsaufbau-Vorgänge lokal abgewickelt werden können!<br />
* Die Idee liegt nahe, hey man könnte den Linux-Server doch auch als<br />
Name-Server (DNS-relay) einsetzen. Egal welcher Provider dann angewählt ist<br />
(=welcher nameserver auch immer angegeben werden muss) der lokale DNS-Server<br />
leitet alle Anfragen immer an die richtige Adresse (nämlich an den Nameserver<br />
draussen im INternet) weiter. Wie die jeweiligen namenserver heissen steht ja<br />
in der /etc/resolv.conf. Die Clients müssen nix mehr umstellen (im Feld<br />
Nameserver)! Gateway UND Nameserver haben dann die gleiche Zieladresse.<br />
Adresse<br />
<br />
Zuerst werden die Pakete [bind9] aus der Serie [n] sowie die [bind9-utils] <br />
installiert und in Yast2 im "Runlevel-Editor" - "Runlevel eigenschaften" <br />
Named auf "start" gesetzt.<br />
<br />
Danach in der Datei "/etc/named.conf" folgende, mit den Pfeilen markierten <br />
Anpassungen eintragen:<br />
<br />
-------------------------------------------------------------------------<br />
<br />
options {<br />
<br />
-> auth-nxdomain no;<br />
<br />
# The directory statement defines the name server's<br />
# working directory<br />
<br />
directory "/var/named";<br />
# The forwarders record contains a list of servers to<br />
# which queries should be forwarded. Enable this line and<br />
# modify the IP-address to your provider's name server.<br />
# Up to three servers may be listed.<br />
<br />
# forwarders { 10.11.12.13; 10.11.12.14; };<br />
<br />
-> forwarders { 194.25.2.129; 212.185.248.148; };<br />
<br />
# Enable the next entry to prefer usage of the name<br />
# server declared in the forwarders section.<br />
<br />
-> forward first;<br />
<br />
# The listen-on record contains a list of local network<br />
# interfaces to listen on. Optionally the port can be<br />
# specified. Default is to listen on all interfaces found<br />
# on your system. The default port is 53.<br />
<br />
# listen-on port 53 { 127.0.0.1; };<br />
<br />
# The listen-on-v6 record enables or disables listening<br />
# on IPV6 interfaces. Allowed values are 'any' and 'none'<br />
# or a list of addresses. IPv6 can only be used with<br />
# kernel 2.4 in this release.<br />
<br />
listen-on-v6 { any; };<br />
<br />
# The next three statements may be needed if a firewall<br />
# stands between the local server and the internet.<br />
<br />
# query-source address * port 53;<br />
# transfer-source * port 53;<br />
# notify-source * port 53;<br />
<br />
# The allow-query record contains a list of networks or<br />
# IP-addresses to accept and deny queries from. The<br />
# default is to allow queries from all hosts.<br />
<br />
# allow-query { 127.0.0.1; };<br />
<br />
# If notify is set to yes (default), notify messages are<br />
# sent to other name servers when the the zone data is<br />
# changed. Instead of setting a global 'notify' statement<br />
# in the 'options' section, a separate 'notify' can be<br />
# added to each zone definition.<br />
<br />
notify no;<br />
};<br />
<br />
# The following three zone definitions don't need any modification.<br />
# The first one defines localhost while the second defines the<br />
# reverse lookup for localhost. The last zone "." is the<br />
# definition of the root name servers.<br />
<br />
zone "localhost" in {<br />
type master;<br />
file "localhost.zone";<br />
};<br />
<br />
zone "0.0.127.in-addr.arpa" in {<br />
type master;<br />
file "127.0.0.zone";<br />
};<br />
<br />
zone "." in {<br />
type hint;<br />
file "root.hint";<br />
};<br />
<br />
# You can insert further zone records for your own domains below.<br />
---------------------------------------------------------------------<br />
<br />
<br />
<br />
Jetzt ist noch in der Datei "/etc/resolv.conf" anzugeben, dass man zur <br />
Namensauflösung den lokalen DNS-Server benutzt.<br />
<br />
------------------------------------------------------------------------<br />
<br />
search<br />
nameserver 127.0.0.1<br />
<br />
------------------------------------------------------------------------<br />
<br />
<br />
Damit die "/etc/resolv.conf" nicht bei jeder Einwahl wieder überschrieben <br />
wird muss der Parameter "MODIFY_RESOLV_CONF_DYNAMICALLY" in der Datei <br />
"/etc/sysconfig/network/config" auf "no" gesetzt werden. Um aber bei Änderungen<br />
an der DNS Konfiguration des Providers nicht vor der Tür zu stehen sollte in <br />
der gleichen Datei die Option "MODIFY_NAMED_CONF_DYNAMICALLY" auf "yes" gesetzt<br />
werden. Dadurch werden die "forwarders" in der"/etc/named.conf" bei jeder <br />
Einwahl aktualisiert.<br />
<br />
<br />
Nun müssen die neuen Gegebenheiten der Firewall mitgeteilt werden. Folgende <br />
Zeilen werden im Script "/root/fwdsl.start" nach der Sektion <br />
<br />
"# E-Mail zum relayen" <br />
<br />
hinzugefügt.<br />
<br />
--------------------------------------------------------------------------------<br />
# DNS-Forwarding<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
------------------------------------------------------------------------<br />
<br />
<br />
Zum Abschluß werden auf den Windows-Clients in den Netzwerkeinstellungen bei den<br />
TCP/IP-Eigenschaften unter Gateway und DNS die IP-Adresse des LINUX-Servers<br />
angegeben.<br />
<br />
21) Fernwartung einiger Rechner im Netz von aussen via InterNet via VNC<br />
<br />
(beide Systeme (Zielsystem & Remotesystem) müssen eigentlich nur im InterNet<br />
sein! Der eine z.B. via ISDN, der andere z.B. via DSL, super natürlich: beide via DSL)<br />
<br />
auf jedem Win32-Ziel-Rechner installiert man den VNC-Server:<br />
(freier download unter www.tightvnc.com) Das myfirewall-Script muss<br />
für je einen Rechner um eine Script-Zeile erweitert werden.<br />
<br />
Es gibt auch einen Viewer(Client) für den MAC<br />
http://sourceforge.net/projects/cotvnc/<br />
<br />
# VNC für Brutus, Displaynummer=0 oder nix angeben<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
# VNC für Fred, Displaynummer=1<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5901 -j DNAT --to 192.168.115.3:5900<br />
# VNC für joe<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5902 -j DNAT --to 192.168.115.8:5900<br />
# usw. ...<br />
<br />
die aktuelle IP (die man "daheim" angeben muss) ermittelt man aus der gepachten IP-<br />
Adresse im InterNet (Rechter Mausklick auf die HomePage, Quelltext anzeigen, IP-Adresse<br />
rauskopieren). Beim einloggen gibt man neben der (aktuellen) IP die Displaynummer an, also<br />
217.217.20.118:1 (für z.B. fred) und das passwort wie immer. ACHTUNG: immer auf beiden<br />
Seiten 16 bit farben (= High-Color) verwenden! Den Rechner, den man fernwarten will:<br />
sollte ganz ganz schnell sein (ich meine das ernst), und ne super schnelle 2D Grafikkarte<br />
haben (z.B. Matrox G450). Der Rechner mit dem man fernwarten will: Der dreht leider eigentlich<br />
(fast) immer Däumchen, der kann ruhig alt und schwach sein!!! Hier sollte nur eine gute Anbindung<br />
ans Internet sichergestellt werden! Hilfreich: etwas größere Auslösung wie das Ziel-System, aber<br />
auch High-Color! Wichtig: Passwörter möglichst >8 Zeichen.<br />
<br />
VNC - Remote Control des Servers mit Hilfe von z.B. einer Windows-Maschine.<br />
Für Leute, die nicht in den Serverraum laufen möchten, oder kein Geld mehr<br />
für einen Monitor am Linux-Rechner haben, weil das Betriebssystem so teuer war ;-)<br />
<br />
vnc-paket installieren (mit Yast 2)<br />
Terminal Session starten<br />
vncserver eingeben, pwd vergeben<br />
von irgendeiner anderen Maschine einloggen:<br />
192.168.115.72:1<br />
-pwd eingeben<br />
Es muss ein Terminal-Fenster erscheinen, dort kan man nun<br />
kde<br />
eingeben wenn man eine kde-session starten will...<br />
<br />
Suse 7.x<br />
========<br />
<br />
Damit der VNC- Server beim booten allein gestartet wird, genügt ein Eintrag in /etc/rc.d/rc.<br />
Die Zeile, die ganz unten (Suse 8.0: vor "exit 0") ergänzt werden muß lautet:<br />
<br />
su -l root -c "vncserver -cc 3 :1 -alwaysshared"<br />
<br />
Suse 8.0<br />
========<br />
<br />
Suse 8.1<br />
========<br />
<br />
** Obige Methode läuft nicht mehr unter Suse 8.1.<br />
<br />
Bemerkung: Es war mal bei 8.0 notwendig an einer Maschine, die den vncserver nicht<br />
mehr allein startet, wieder keyboard und monitor anzuschliesen, um sich "echt"<br />
(in kde) einzuloggen, danach lief wieder alles super.<br />
<br />
Suse 8.2<br />
========<br />
<br />
YaST2 / System / Editor für /etc/sysconfig-Dateien / Desktop / Display Manager:<br />
Die Variable DisplayManager_Remote_Access auf yes setzen.<br />
Auf der Konsole rcxdm restart eingeben.<br />
YaST2 / Netzwerkdienste / Netzwerkdienste (inetd) aufmachen und die 4<br />
Einträge mit "VNC" im Namen aktivieren.<br />
Andere Computer (auch Windows-Maschinen) können nun über den Browser den<br />
VNC-Server ansprechen. Dazu benötigt er Java.<br />
Die URL lautet: http://Vncserver-Rechner:5810.<br />
<br />
Wer auf der Client-Seite nicht im Webbrowser arbeiten will, benutzt den VNCViewer.<br />
Für diese Anwendung lautet nun der angefragte Hostname "Vncserver-Rechner:10"<br />
oder "Vncserver-Rechner:11", auch wieder mit IP-Adresse des Zielsystems möglich,<br />
z.B. 192.168.115.93:10.<br />
<br />
25) WIN32-Clients nutzen die Zeit des Linux-Rechner<br />
<br />
net time \\<IP-Adresse des Linux Servers><br />
<br />
ev. kleiner Batch schreiben, der beim Login immer ausgeführt<br />
wird.<br />
<br />
26) WIN32- Clients einrichten<br />
<br />
Windows 2000(W2K) XP<br />
<br />
a) Standard-Gateway (wegen Internetnutzung)<br />
<br />
Start->Einstellungen(Systemsteuerung)->Netzwerk- und DFÜ-Verbindungen->LAN Verbindung-><br />
Eigensxhaften->Internetverbindungen(TCP/IP)->Eigenschaften-><br />
Standardgateway: IP des Servers<br />
Bevorzugter DNS-Server: IP des Servers<br />
<br />
b) WINS Support einschalten (wegen keepcon-Namensauflösung)<br />
<br />
Start->Systemsteuerung->Netzwerkverbindungen->lan-verbindung(rechter<br />
mausklick)->eigenschaften->internetprotokoll(tcp/ip)->Eigentschaften->Erweit<br />
ert->WINS->Hinzufügen->IP des Servers eintragen.->ok->ok->schliessen.<br />
<br />
Unverträglichkeit mit AVM KEN!<br />
<br />
AVM KEN Klient "InterNet" Installation auf dem Arbeitsplatz, der via Linux ins Internet will: nicht erlaubt<br />
AVM KEN Klient irgendwo auf anderen Arbeitsplatz im selben Netz: erlaubt<br />
AVM KEN Server irgendwo im Netz: erlaubt<br />
<br />
«fehlt(2)»:<br />
AVM KEN! Klient als reines "CAPI - Sharing" das müsste doch gehen? Oder?<br />
-> prüfen! (manche wollen weiterhin über den KEN!-Server faxen!)<br />
<br />
27) Eine andere Linux-Maschine will ins Internet<br />
<br />
1) YAST2 ->network ->routing ->Standart-Gateway=IP des Servers<br />
2) YAST2 ->advanced network ->DNS ->IP des Servers<br />
<br />
28) Kernel Updates<br />
(es soll niemand mehr sagen das sei schwierig!)<br />
<br />
nur für Suse 7.2 notwendig, (HISTORISCH - NICHT NOTWENDIG AB 7.3):<br />
<br />
Einspielen des Kernels 2.4.7<br />
<br />
Dies ist notwendig, da masquerading irgend einen Bug hat. Auch hat sich das<br />
einspielen als sehr heilsam für das ganze System herausgestellt. (Auch TDSL!)<br />
<br />
downloaden des Kernels (als rpm) von<br />
ftp.suse.com/pub/suse/i386/update/7.2/kernel/2.4.7/k_deflt-2.4.7-25.i386.rmp<br />
Terminal-Fenster starten, eingeben<br />
YaST <ENTER><br />
"paketverwaltung (update,install,auf..)"<br />
Paket einspielen<br />
Quelle (nun den obigen rpm lokalisieren)<br />
markieren mit Leertaste, damit installiert wird<br />
<F10> zum Installieren drücken<br />
YaST beenden, ein cleanup wird durchgeführt<br />
mk_initrd <ENTER><br />
lilo <ENTER><br />
-> system neu booten!!!<br />
<br />
29) Win32-Kiste: Der Apache-Web Server<br />
<br />
dieses Kapitel gehört eigentlich nicht hier herein - aber es hat mit dem<br />
Routing zu tun, so dass es doch die Linux Installation überhaupt erst ver-<br />
ständlich macht! Anforderung: Kommt eine http:/ Anfrage aus dem Internet<br />
auf den Linux Rechner zu (auf Port 80) muss er diese Anfrage auf einen<br />
anderen Rechner im Netz routen (sorry auf eine win32-Kiste). Dieser hat eine<br />
feste IP-Adresse in lokalen Netz. Es ist ein Windows 2000 Rechner mit Apache<br />
Web Server installiert. Die Anwort geht wieder an den Linux, und dann raus<br />
ins Internet. Weil wir eine Suchmaschine (in form einer ISAPI-DLL) nur für<br />
win32 haben, (und dem IIS von Microsoft nicht (mehr) trauen) wird auf win32<br />
der Apache Web-Server installiert. Der kann wunderbar ISAPI-Dlls ausführen!<br />
In der Anlage findet man die Apache-Konfiguration: httpd.conf (Die bestehende<br />
Konfiguration sollte nicht überschrieben werden, sondern nur geänderte Punkte<br />
eintragen) Die geänderten Punkte sind:<br />
<br />
a) von ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options none<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
zu ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options ExecCGI<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
b) von ...<br />
<br />
# To use CGI scripts:<br />
#<br />
# AddHandler cgi-script .cgi<br />
<br />
zu ...<br />
<br />
# To use CGI scripts:<br />
#<br />
<br />
AddHandler cgi-script .cgi<br />
AddHandler isapi-isa .dll<br />
<br />
Ich hatte den apache 1.3.22 installiert!<br />
<br />
http://httpd.apache.org/dist/httpd/binaries/win32/apache_1.3.22-win32-x86.exe<br />
<br />
in die .\cgi-bin muss die HebuWeb.dll (Delphi Open-Source Projekt auf www.cargobay.de)<br />
kopiert werden. Die Inhalte des Suchverzeichnisses müssen mal von "williams" beim<br />
Hebu-Musikverlage gesichert werden. Die DLL enthällt fest Pfadangaben für die<br />
"Datenbankdateien" diese sollte man noch durch eine ini-Datei festlegen können.<br />
Der feste Pfad ist im Moment noch "C:\HeBu\"<br />
<br />
«fehlt(2)»: HebuWeb.dll durch Ini-Datei configuerierbar machen<br />
<br />
30) Win32-Kiste: AutoStart, AutoLogin von Windows 2000,XP<br />
<br />
Nach einem Stromausfall sollten natürlich alle Systeme selber wieder hochfahren.<br />
Mit einem "Login"-Schirm am nächsten morgen ist natürlich niemand geholfen.<br />
<br />
1a) Automatischer Benutzer-Login<br />
<br />
Zunächst braucht man einen Benutzer mit einem Passwort. Der manuelle Login sollte<br />
natürlich funktionieren. Nun<br />
<br />
mit Start->Ausführen->regedit folgende Einträge anwählen<br />
<br />
"HKEY_LOCAL_MACHINE" -> "SOFTWARE" -> "Microsoft" -><br />
"Windows NT" -> "CurrentVersion" -> "Winlogon"<br />
<br />
AutoAdminLogon:REG_SZ:1<br />
DefaultPassword:REG_SZ:<das PWD><br />
DefaultUserName:REG_SZ:<der Benutzername><br />
<br />
Es kann sein dass es den "DefaultPassword" - "Wert" nicht gibt, dann mit<br />
"Neu->Zeichenfolge" anlegen (Typ ist String, wie alle Werte).<br />
<br />
1b) Nur XP<br />
<br />
Art der Anmeldung auf "klassisch" ändern. Start->Systemsteuerung->Benutzer<br />
verwalten->Art der Anmeldung->obere Option (Willkommensschirm verwenden)-><br />
deaktivieren!<br />
<br />
2) Automatischer Start von RouteIp UND<br />
Outlook Express<br />
<br />
rechter Mausklick auf Start->Öffnen(alle Benutzer)->Programme->Autostart<br />
<br />
in diesen Ordner eine Verknüpfung mit RouteIP (kann aus dem Menü mit rechtem<br />
Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
in diesen Ordner eine Verknüpfung mit Outlook-Express (kann aus dem Menü mit<br />
rechtem Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
(kleiner Exkurs: Warum Outlook: Es dient uns als eMail Empfänger auf der<br />
Apache Server Station. Outlook sollte auf 1 Minütiges Abfragen der Mail<br />
eingestellt sein, so dass immer eine aufrechterhaltung der Verbindung<br />
gewährt bleibt!)<br />
<br />
3) Automatischer Start von VNCViewer, Apache<br />
<br />
dies sollte automatisch erfolgen, wenn beide Programme als Windows 2000 Dienst<br />
installiert wurden. -> Aber lieber testen!<br />
<br />
31) keepcon, RouteIP.exe, ein kleiner Einstieg<br />
<br />
Dieses linux / win32 program ermittelt die aktuelle IP Adresse wie unser Server im<br />
Moment im Internet sichtbar ist, und patched die html-Seiten drausen<br />
im InterNet, um die aktuelle IP Adresse den surfern draussen unterzujubeln.<br />
Mehr Infos über RouteIP im InterNet www.cargobay.de**<br />
Mehr Infos über keepcon im InterNet www.cargobay.de<br />
<br />
** RouteIP wird langfristig durch keepcon ersetzt.<br />
keepcon siehe "http://www.cargobay.de/keepcon.html"<br />
<br />
32) Die Win32-Clients wollen Plattenplatz auf dem Linux nutzen ...<br />
<br />
Schritt 0)<br />
<br />
(Netzwerkkarte und Verkabelung sind Grundvoraussetzungen, darauf will<br />
und kann ich nicht eingehen)<br />
<br />
Schritt 1) (mache dich sichtbar)<br />
<br />
freie IP-Adresse des lokalen Adressraumes (192.168.100.1 .. 192.168.100.254)<br />
ausdenken, DOKUMENTIEREN in einem Netzwerkplan <br />
und unter Start->Einstellungen->Systemsteuerung->Netzwerk->Protokolle->TCP/IP-><br />
Eigenschaften->feste IP->Adresse eingeben (Maske ist immer 255.255.255.0)<br />
<br />
Schritt 2) (bist du sichtbar?)<br />
<br />
starte eine DOS-Box (Start->Zubehör->Eingabeaufforderung) und pinge den Samba-<br />
Arbeitgeber im Netz an.<br />
<br />
ping 192.168.100.72<br />
<br />
bevor hier keine Antwort kommt, braucht man gar nicht weitermachen!<br />
Nun einen Laufwerksbuchstaben auf den samba-Share mappen:<br />
Mit dem Windows-Explorer: extras->Netzlaufwerk verbinden<br />
<br />
Laufwerk: G:\ // Dein neues (Netz-)Laufwerk<br />
Ordner: \\192.168.115.72\user // (geht also auch ohne Namensauflösungsproblematik)<br />
<br />
Tip Netzwerkumgebung: Erwarte niemals, dass in der win32 - "netzwerkumgebung"<br />
der Linux-Rechner sichtbar ist, den Du gerade frisch eingebunden<br />
hast! Schaue erst in der "netzwerkumgebung" nach, frühestens<br />
30 min nachdem eh schon alles geht!<br />
<br />
34) samba & firewall & Windows<br />
<br />
Mit samba 2.2.5 und Windows XP Professional Service Pack 1 machten wir folgende<br />
Beobachtung:<br />
<br />
Windows XP Professional zeigt nach eigenem Neustart den samba-share<br />
als "gestört" an (rotes kleines "X" im Symbol). Der erste Zugriff<br />
erfolgt im Windows Explorer dann auch nach eine langen Denkpause.<br />
<br />
* Umstellen von "security=share" auf "security=user" im smb.conf<br />
brachte nichts! (incl. der ganzen Arbeit, die damit zusammenhängt<br />
(User anlegen)).<br />
* Umstellen der "Richtlinien" wie es die Newsgroups vorgeben brachte<br />
auch nichts!<br />
<br />
Start->Ausführen->gpedit.msc<br />
<br />
Computerkonfig->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlininen-><br />
Sicherheitsoptionen<br />
<br />
Microsoft-Netzwerk (client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden<br />
<br />
Idee: ev. alles auf einen echten samba PDC umstellen!<br />
todo: gpedit.msc mal beschreiben!<br />
<br />
Die Lösung: der Firewall auf dem samba Server sperrte den Port 445. Dieser ist<br />
jedoch für die Kommunikation notwendig. Hier die Gesamtbeschreibung<br />
die ich mit Hilfe von Walter Mautner erstellt habe.<br />
<br />
> Eventuell noch Port 445 dazugeben.<br />
<br />
Walter! Das war die Lösung (freu), Win XP versucht scheinbar vorrangig am<br />
Port 445 rumzuposaunen. Nur wenn ein hartnäckiger User auf den Windows<br />
Explorer einschlägt springt er auf den Port 137ff um!<br />
<br />
<br />
Port 53=DNS<br />
Port 1900=<br />
XP's Windows Messenger is attempting to communicate to an Internet host. To block Windows Messenger's broadcasts:<br />
Hive: HKEY_LOCAL_MACHINE<br />
Key: Software\Microsoft\DirectPlayNATHelp\DPNHUPnP<br />
Name: UPnPMode<br />
Type: REG_DWORD<br />
Value: 2 disabled<br />
With UPnPMode=2, Universal Plug and Play Network Address Translation (NAT) traversal discovery does not occur.<br />
<br />
(newsgroupbeitrag) "<br />
Unser Liebling (=Linux-Server) fungiert nicht nur als Samba-Sklave sondern<br />
auch als DSL-Router. Somit wurde flux eine firewall installiert (auch<br />
selbstgemacht via iptables).<br />
Weil wir gerne alles kontrollieren wirkt diese auch auf das intene Netz:<br />
Pflichtbewust wurden jedoch die smb Ports 136,137,138,445 geöffnet, damit<br />
die Clients mit samba sprechen können.<br />
<br />
Alles ging -- ausser bei Windows XP Prof Clients, diese hatten beim ersten<br />
Zugriff auf einen Share z.B. im Explorer doppelklick auf den<br />
Laufwerksbuchstaben eine "Wartezeit" von ca. 8 Sekunden (hey, das ist<br />
verdammt lange). Danach war alles in Butter. Bis zu dem Moment, wo etwa 15<br />
Minuten kein Zugriff auf diesen Share auf diesem Client erfolgte (oder<br />
sofort nach einem Neustart des Clients). Danach wieder diese Denkpause.<br />
<br />
Die Lösung war: XP Prof SP1 versucht eine Kontaktaufnahme mit dem<br />
Samba-Server auf Port 80 (in Worten !achtzig!). Wir hatten das als "Angriff"<br />
aus dem internen Netz gewertet und geDROPed. (Auf port 80 haben wir keinen<br />
dienst auf unserem Server!). Bis XP gemerkt hatte, dass auf port 80 nix<br />
geht, machte es einen Kurzschlaf (eben diese 8 Sekunden). Jetzt, nachdem wir<br />
(grmpf!) halt Port 80 geöffnet haben geht alles ohne Zeitverzögerung.<br />
Unnötig zu sagen das dieses Verhalten ausschließlich XP hat!<br />
"<br />
<br />
(newsgroupbeitrag) "<br />
einen DROP zu machen war wirklich gemein. Zumal man ja im internen<br />
Netz nicht unbedingt "Paket-Antwort-Bandbreite" sparen muss.<br />
<br />
http://www.pl-forum.de/t_netzwerk/iptables.html<br />
<br />
[ ...<br />
<br />
* DROP: Paket vernichten, keine Benachrichtigung des Absenders.<br />
<br />
* REJECT: Ähnlich DROP wird das Paket abgewiesen, jedoch erhält der Absender<br />
eine Antwort auf das Paket.<br />
<br />
... ]<br />
<br />
-> bleibt die Frage? Was will XP am Port 80?<br />
"<br />
<br />
Beim Verbindungsversuch vom Windows XP Explorer zum Samba-Server ist mir aufgefallen, daß der XP-Client über den Port<br />
1039 bzw 1040 eine Verbindung zum Port 80 des Linux-Servers aufzubauen versucht (sichtbar gemacht mit<br />
tail -f /var/log/messages auf der Linux-Box. Hier werden die Drops, die der Kernel verursacht, protokolliert). Nach<br />
Öffnen des Ports 80 für Pakete vom internen Netz gab es keine Wartezeiten beim Verbindungsaufbau mehr.<br />
<br />
Im folgenden ein Auszug aus dem aktuellen Firewall-Skript. Dabei sind die letzten beiden Zeilen von Bedeutung.<br />
<br />
Das passende firewall Script Auszug.<br />
<br />
<br />
# --------------------------------------------------------------------------------<br />
# Samba aus dem internen Netz<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 135 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 139 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 139 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 445 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# XP-Explorer versucht Verbindung von HIGH_PORT auf port 80 des Linux-Servers! Warum?!?<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 80 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# --------------------------------------------------------------------------------<br />
<br />
Die passenden Ports in der Zusammenfassung<br />
<br />
netbios-ns 137/udp # NETBIOS Name Service<br />
netbios-dgm 138/udp # NETBIOS Datagram Service<br />
netbios-ssn 139/tcp # NETBIOS Session Service<br />
microsoft-ds 445/udp # Direct-Hosted Service<br />
microsoft-ds 445/tcp # Direct-Hosted Service<br />
http 80/tcp www www-http # World Wide Web<br />
# nur bei XP Clients notwendig<br />
<br />
---------------------------------------------------------<br />
* ES FOLGT DER REVISION INFO TEIL IM FORMAT<br />
* Rev x.xxx ([ "vonDatum" "-" ] "bisDatum") <DeinName><br />
---------------------------------------------------------<br />
<br />
35) ATX-Netzteile<br />
<br />
Das beschriebene Linux-System wird überwiegend als Server benutzt. Es muss<br />
sichergestellt sein, dass nach einem Stromausfall das System selbst wieder<br />
hochfährt.<br />
<br />
* In der Regel kann man bei modernen ATX - Boards im BIOS einstellen was<br />
im "Power Fail" Fall, gemacht werden soll. "Always ON" würde hier die<br />
richtige Einstellung lauten.<br />
<br />
* Bei machen Boards ist diese Einstellung nicht vorhanden (K7SOM) oder<br />
sie funktioniert nicht (div. Soltek Boards). In diesem Fall ist durch<br />
einen einfachen Eingriff diese Funktion sichergestellt.<br />
<br />
1) Das ATX-Netzteil besitzt einen breiten Spannungsstecker, der im Main-<br />
board steckt. Hier ist das !grüne Kabel! (von dem es nur eines gibt) ca.<br />
1 cm oberhalb des Steckers abzuschneiden (1cm deshalb, damit man ggf.<br />
die alte Funktion wieder herstellen kan).<br />
2) Von einem unbenutzen Stromstecker ist eines der mittleren schwarzen<br />
Kabel nahe am Stecker abzuscheiden.<br />
3) Beide Kabel nun durch alle Kabelbinder hindurch zurückziehen damit sie<br />
ab dem Netzteilaustritt freiliegen. Nun beide abisolieren, und die<br />
blanken Ende "verzwirblen". Mit Isolierband die blanke Stelle isolieren<br />
und das neue Kabelpaar schön an vorhandene Kabelstränge mit Kabelbinder<br />
fixieren.<br />
<br />
Effekt: Das ATX-Netzteil startet IMMER in den "Full Power" Modus egal, ob<br />
dies durch das Board signalisiert wird oder nicht.<br />
<br />
36) USB Devices (Memory, Flash, MP3 Player) unter Linux<br />
<br />
Nach reinstecken des SONY Microfault 32 MByte Sticks ging erst mal nix. Ich sah zwar, dass das LED<br />
des Memory Sticks vertraut blinkte. Doch bekam ich keinen Zugriff. Ich musste<br />
<br />
md /root/usb<br />
mount -t vfat /dev/sda /root/usb<br />
<br />
eingeben. Sofort waren die Dateien in /root/usb/ sichtbar. Ich speicherte was drauf mit <br />
"cp". Zog den Stick raus: Wieder eine Enttäuschung: auf dem Win XP war die Datei nicht<br />
sichtbar. Also wurde die Datei nicht wirklich geschrieben (HEUL!)? Also versuchte<br />
ich vor dem Rausziehen beim nächsten mal unzumounten.<br />
<br />
umount /dev/sda<br />
<br />
(soviel zu Thema hotplug!) OK, das ging dann. Mein Wunsch war, beim Einsetzen des<br />
USB-Sticks das Lied darauf (.mp3) abzuspielen. In meiner Naivität plazierte ich einfach<br />
ein Script Namens /etc/hotplug/usb/usbfs. Es passierte natürlich nichts. grmpf!<br />
<br />
In fstab habe ich aber eine Zeile eingetragen, die mir das USB-Device auf den Desktop<br />
gezaubert hat (was mir nix bringt!). Mein Spieltrieb animierte mich durch umount das<br />
device auszuhängen. Das Desktop Symbol blieb - es lies sich auch fehlerfrei anklicken,<br />
was einen Mount verursachte!<br />
<br />
Also ein Script via hotplug zu starten wenn der usb reingeteckt wird gebe ich<br />
hiermit auf!</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux&diff=4507Linux2004-10-11T08:30:49Z<p>192.168.115.95: </p>
<hr />
<div>[[Linux.rsync|rsync als Backuplösung]]<br><br />
[[Linux.xntpd|immer genaue Uhrzeit (für alle)]]<br><br />
[[Linux.Grundlagen|Grundlagen]]<br><br />
[[Linux.samba|Festplatte im Netz (für alle)]]<br><br />
<br><br />
1) Worum geht es<br />
<br />
* WARNUNG: Dieses HOWTO enthält Erfahrungsberichte und/oder Infos ohne<br />
jeglichen Anspruch auf Korrektheit. Alles ist hoch experimentell und nicht<br />
ausgiebig getestet. Es handelt sich eigentlich um ein lyrisches Werk freier<br />
Geister, einen Bezug zur Relalität (insbesondere ein Zusammenhang mit der<br />
Computertechnik) darf niemals vermutet werden. Eine Art Garantieanspruch aus<br />
diesen freien Gedankenexplosioen abzuleiten grenzt an Wahnsinn.<br />
<br />
* Wir wollen mit diesem Dokument das Neuaufsetzen eines Suse Workgroup-Servers<br />
beschreiben. Nach einem Crash soll es z.B. Alexander (vom HeBu-Musikverlag)<br />
möglich sein, ohne viel Nachdenken einen neuen suse-linux-server aufzusetzen!<br />
* Die Sache ist recht umfangreich, mal in Kurzform: Alle wollen über linux<br />
ins InterNet. Es läuft dort der SQL Server firebird. Alle (win32&MACs) nutzen<br />
Plattenplatz (via samba,netatalk). Der Port 80 soll auf einen Win32 Rechner<br />
geroutet werden.<br />
* ehm nochwas; frage niemals: "was sind server?"<br />
* Mitarbeiter:<br />
<br />
Andre Wolff , Entwickler<br />
Thilo Frey , Entwickler<br />
Andreas Filsinger , Entwickler (Projektleiter)<br />
<br />
2) Bitte mitarbeiten!<br />
<br />
MITARBEIT: Dem Paket liegt eine .rev Datei bei - es handelt dabei um den<br />
Source-Code dieses Dokumentes, das Dir gerade in der html-Form vorliegt.<br />
Es ist eine einfache .txt Datei, dummerweise mit der Dateiendung .rev.<br />
Diese Textdatei einfach abändern/erweitern (am besten mit notepad,write) und an<br />
andreas@filsinger.de mailen. Der macht dann ne neue Release draus. Nicht<br />
vergessen im unten Dokumentteil eine neue Revnummer zu beginnen (+Datum) und<br />
die Änderungen kurz zu dokumentieren.<br />
<br />
3) Erster (Kalt-)Start<br />
Rechner an, gleich ins System-Bios gehen, dazu <Entf> drücken,<br />
wenn die "Drives"-Erkennung läuft. Im BIOS nun<br />
->Advanced?!->Boot Device 0-><br />
von "HDD-0" auf "CDROM" umstellen,<br />
damit der Rechner von der DVD bootet. (das geht bei jedem BIOS anders)<br />
->Suse 7.3 DVD rein<br />
(oder 8.0, sorry dann alles bissel anders: aber besser!!)<br />
->Save and exit<br />
...Rechner bootet neu, und macht den ersten (Warm-)Start<br />
<br />
4) Suse DVD bootet ...<br />
<br />
Rechner erkennt, dass er von der DVD booten kann<br />
<br />
7.3<br />
"Manual Installation" bestätigen<br />
Bildschirm (farbe/mono)<br />
Tastaturbelegung Deutsch<br />
Installation/System starten<br />
Installation/Update starten<br />
Quellmedium CD-ROM auswählen<br />
YAST-Version grafisch wählen<br />
Laden aller (USB) Treiber bestätigen<br />
Installationssprache Deutsch<br />
Tastaturlayout "deutsch" und Zeitzone "Europa/Deutschland" wählen<br />
Installationsmodus "Neuinstallation" wählen<br />
Vorgeschlagene Partition ändern (Muss wegen Reiserfs gemacht werden)<br />
<br />
8.0<br />
Installation / deutsch / Neuinstallation<br />
<br />
8.2<br />
Manuelle Installation<br />
<br />
5) Festplatte einrichten:<br />
Also wir machen 3 Partitionen:<br />
<br />
"boot" kleine Mini-Partition: damit das booten immer klappt (ext2 oder ext3-Dateisystem)<br />
<br />
"swap" mittlere Partition: da werden RAM Speicherbereiche rausgeschrieben,<br />
um Platz zu machen für wichtigere Daten.<br />
Grösse= RAM * 2 oder mehr, aber immer größer als das RAM!<br />
"linux" eigentlicher Betriebssystem Bereich und Anwender und<br />
Benutzerbereich<br />
<br />
Bei "Festplatte vor ..."<br />
den<br />
[X] Benutzerdefiniert wählen!<br />
3 Partitionen anlegen:<br />
<br />
0..2 Linux native (ext2 oder ext3) mounting-point "/boot"<br />
3..84 Linux swap ----- ----------------------<br />
85..5004 Linux native (!reiserfs!) mounting-point "/"<br />
<br />
2. Platte mal noch offen lassen<br />
<br />
6) "Standard mit Office" installieren<br />
<br />
"Benutzername usw." (sorry weis nicht mehr genau wann das kommt).<br />
Rechnername: linus<br />
pwd für den root (=Administrator im win32 Dialekt) erst mal auch so eingeben<br />
pwd: linus<br />
<br />
"Monitor ändern"<br />
EIZO-F56 aber beachten dass die vorgeschlagene Wiederholfrequenz<br />
herunterkorrigiert wird. etwa 70 Hz-72 Hz, was der jeweilige Monitor<br />
verträgt.<br />
"Hardware konfigurieren" wählen!<br />
->Netzwerk,<br />
erste Netzwerkkarte<br />
100 MBit-Karte: KarteIP fest, zb. 192.168.100.72, Maske so ok<br />
"Rechnername und Nameserver" wählen!<br />
->name: linus<br />
->domäne: pcworld<br />
NameServer: 194.25.2.132 (T-online)<br />
zweite Netzwerkkarte<br />
10 MBit-Karte: KarteIP fest, zb. 192.168.99.72, Maske so ok<br />
(anderes logisches Netzwerk!)<br />
"Rechnername und Nameserver" diesmal nicht notwendig!<br />
<br />
->ISDN<br />
Euro-ISDN,Deutsch,t-online usw.<br />
Zugangsdaten für den flat bereithalten<br />
->Sound<br />
normales Setup->meist auf 100% Lautstärke anpassen, da wir sonst<br />
später nix mehr hören.<br />
<br />
7) vor dem ersten Start(Logout,beenden,neustarten)<br />
ins bios gehen (Taste <Entf>), Bootlaufwerk<br />
von "CDROM" auf "HDD-0" umstellen! Damit der Rechner niemals versehentlich<br />
von CD-bootet.<br />
immer als root einloggen<br />
<br />
8) Pakete nachinstallieren<br />
(als (Benutzernamen=)root eingelogged?!)<br />
[suse->]system->configuration->yast 2->Software deinstallieren/installieren<br />
(Software install/remove)<br />
->ev. Pakete "suchen" knopf, names des Paketes angeben<br />
doppelklick auf das paket<br />
<br />
X samba serie: n<br />
X netatalk serie: n<br />
X vnc serie: xap<br />
<br />
Folgende Pakete müssen deinstalliert werden:<br />
<br />
7.3<br />
===<br />
<br />
D Personal-Firewall<br />
D SuSE-Firewall<br />
D ipchains<br />
<br />
9) T-DSL, leider muss geschraubt werden. <br />
<br />
(nicht SuSE 9.0)<br />
<br />
Details auf http://sdb.suse.de/en/sdb/html/cg_pmtu2.html.<br />
<br />
a) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/options<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
b) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/peers/pppoe<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
11) Netzwerk Verbindung prüfen<br />
<br />
auf einem win32 Rechner jetzt den Linux Server anpingen (per IP, nicht den )<br />
mehr Details siehe 22)<br />
<br />
ping 192.168.115.90<br />
<br />
12) Netatalk-konfiguration (zugriff auf einen Linux Share via MAC)<br />
<br />
(als (Benutzernamen=)root eingelogged?!)<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Editoren->Advanced Editor)<br />
a) /etc/rc.config:<br />
START_ATALK="no" auf START_ATALK="yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
b) /etc/atalk/atalkd.conf<br />
eth0 auf eth1<br />
# nur ändern, wennn 100 Mbit-Karte eth1 ist (Network/Basic -> Network card configuration)<br />
c) /etc/atalk/AppleVolumes.default<br />
Zeile ganz unten mit nur der Tilde<br />
~<br />
rauslöschen!<br />
neue Zeile (auch ganz unten)<br />
/freigabe/mac "user" options:noadouble<br />
d) terminal fenster starten (muschel)<br />
cd /freigabe<br />
mkdir mac<br />
chmod 0777 -R /mac<br />
rcatalk start<br />
<br />
-> nach ca. 1 minute müsste "linus" sichtbar sein, ev. als<br />
linus/linus verbinden!<br />
<br />
e) Diagnose<br />
<br />
nbplkup<br />
[[linux.firebird|Firebird SQL Server]]<br />
<br />
14) Einsatz als firebird-raib<br />
<br />
8.0<br />
===<br />
<br />
raib ist ein RAID 5 Array aus 3 unabhängigen firebird servern und einem Master.<br />
Zum einsatz kommt ein (selbstgebautes) Server Blade mit 4 Rechnern. Dazu muss<br />
nach erfolgreicher Installation der Hardware-Scan beim booten (hwscan) deaktiviert<br />
werden, da diese Rechner ohne Keyboard und Maus laufen. hwscan stoppt sonst<br />
das Hochfahren und bringt einen Maus-Auswahldialog.<br />
<br />
15) DVD ist weg - und man muss Software nachinstallieren:<br />
<br />
<br />
Unter YaSt2, Software, Softwarequelle, eine FTP Quelle anlegen<br />
<br />
Servername: ftp.gwdg.de <br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/9.0 <br />
<br />
8.2<br />
===<br />
<br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/8.2 <br />
<br />
<br />
<br />
16) Firebird Datenbank Crash?<br />
<br />
konkrete Verwendung einzelner Befehle für fix, backup und restore.<br />
siehe ibreorg.bat in der Anlage. (der ist leider für Win32-DOS-Box!)<br />
die Befehle müssten auch unter linux so gehen. der Pfad ist aber<br />
<br />
/opt/interbase/bin/gbak ....<br />
<br />
--- snip<br />
@echo off<br />
REM -------------------------------------------------<br />
REM Reparatur einer inkonsistenten FireBird Datenbank<br />
REM<br />
REM (c) Andreas Filsinger, www.cargobay.de<br />
REM -------------------------------------------------<br />
REM<br />
REM Usage<br />
REM<br />
REM reorg <Pfad und Name der Datenbank OHNE ".gdb"><br />
REM<br />
REM --------------------------------------------<br />
REM<br />
REM ACHTUNG: richtigen Pfad ermitteln, indem Sie nach der<br />
REM Datei gbak.exe suchen lassen. Und hier eintragen:<br />
REM<br />
SET IBBIN=D:\programme\borland\interbase\bin\<br />
REM<br />
REM --------------------------------------------<br />
REM 1) fix erros<br />
REM<br />
%IBBIN%gfix -mend -full -ignore -user "SYSDBA" -password "masterkey" %1.gdb<br />
REM --------------------------------------------<br />
REM 2) backup fixed base<br />
REM<br />
%IBBIN%gbak -backup -v -ignore -garbage -user "SYSDBA" -password "masterkey" %1.gdb %1_neu.gbk<br />
REM --------------------------------------------<br />
REM 3) restore base<br />
REM<br />
REM zusätzlich noch "-i" wenn Indizes deaktiviert werden sollen<br />
REM<br />
%IBBIN%gbak -r -v -p 8192 -user "SYSDBA" -password "masterkey" %1_neu.gbk %1_neu.gdb<br />
REM --------------------------------------------<br />
REM 4) check new one<br />
REM<br />
%IBBIN%gfix -v -f -user "SYSDBA" -password "masterkey" %1_neu.gdb<br />
REM --------------------------------------------<br />
--- snap<br />
<br />
Bemerkungen<br />
===========<br />
<br />
a) Backup-möglich aber fail beim Restore: wegen inkonsistenter Indizes<br />
ich habe mal erlebt, das foreign Key nicht mehr konsistent waren, und deshalb<br />
der restore abgebrochen hat. Alle Indizes kann man jedoch als inaktiv restoren,<br />
(Option -i )<br />
nach löschen /clearen der "Schuldigen" kann man alle indizes wieder aktivieren,<br />
wieder ein backup, wieder ein restore -> alles wieder gut.<br />
(Sourcecode dazu im HeBuAdmin Projekt)<br />
damit der HebuAdmin alle indizes sehen kann braucht er "out.txt". Das ist die<br />
Ausgabe eines erfolgreichen restores, der alle indizes enthält.<br />
Unter linux gibt man die Ausgabe von gbak mit 2>/freigabe/out.txt in eine Datei<br />
aus.<br />
<br />
firebird-Erkenntnis<br />
===================<br />
<br />
internal gds software consistency check (partner index description not found (175))<br />
<br />
dieser Fehler tritt beim löschen eines Datensatzes auf, der eventuell durch einen<br />
foreign key einer anderen Tabelle referenziert werden könnte. Ist dieser key<br />
deactiviert so kann keine Aussage getroffen werden, ob das löschen ok ist, dieser<br />
interne Fehler ist die Folge!!<br />
<br />
17) Routing, Masquerading und Firewall<br />
<br />
Alle Arbeitsplatz-Rechner sicher und einfach ins InterNet zu bringen<br />
ist hierbei vorrangiges Ziel.<br />
<br />
a) Skript "myfirewall.sh" (in der Anlage sicherlich aktueller als dieser Snapshot)<br />
nach /root kopieren.<br />
<br />
--- snip<br />
# !/bin/bash<br />
IPTABLES=/usr/sbin/iptables<br />
DEV_LOC=eth0<br />
DEV_EXT=ppp0<br />
DNS_EXT=194.25.2.129<br />
# for IF in $DEV_LOC $DEV_EXT do<br />
# Kernelmodule laden<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/log_martians<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/log_martians<br />
<br />
<br />
# done<br />
<br />
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br />
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses<br />
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate<br />
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate<br />
<br />
# Zu Anfang alles verbieten (Default Policy)<br />
$IPTABLES -P INPUT ACCEPT<br />
$IPTABLES -P OUTPUT ACCEPT<br />
$IPTABLES -P FORWARD ACCEPT<br />
<br />
# Alle Regelketten, die sich noch im Speicher befinden k"nnten, l"schen<br />
$IPTABLES -F<br />
$IPTABLES -t nat -F<br />
$IPTABLES -X<br />
<br />
# Verbindungen fr Testzwecke am eigenen Rechner ber das Loopback. Einige<br />
# lokale Prozesse wie BIND verwenden das Loopback fr die interne Kommunikation<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
# Alle externen Verbindungsversuche und ander Merkwrdigkeiten werden hier<br />
# aufgefangen, im SYSLOG vermerkt und dann unsch„dlich gemacht<br />
$IPTABLES -N nirwana<br />
# $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP "<br />
# $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP "<br />
# $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP "<br />
# $IPTABLES -A nirwana -p TCP -j DROP<br />
<br />
# Kernelmodule masq und forwarding aktivieren (dyn. IP vom Provider)<br />
echo "1" > /proc/sys/net/ipv4/ip_dynaddr<br />
echo "1" > /proc/sys/net/ipv4/ip_forward<br />
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE<br />
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br />
<br />
# Für alle bestehenden ein- und ausgehenden Verbindungen. Dritte Regel<br />
# verhindert alle Verbindungen die Auáen kommen<br />
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
# $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana<br />
<br />
# Zugriff auf internen WEB-Server<br />
# $IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
<br />
# WinMx auf fred!<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 6699 -j DNAT --to 192.168.115.3:6699<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p udp --dport 6257 -j DNAT --to 192.168.115.3:6257<br />
<br />
# Ping ins Internet erlauben, eingehende werden von der NIRWANA-Rule abgefangen<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT<br />
<br />
# DNS<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d $DNS_EXT -m state --state NEW -j ACCEPT<br />
<br />
# HTTP<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT<br />
<br />
# FTP<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT<br />
<br />
# Alle Pakete, die bis hierher kommen nach nirwana<br />
$IPTABLES -A INPUT -j nirwana<br />
$IPTABLES -A OUTPUT -j nirwana<br />
$IPTABLES -A FORWARD -j nirwana<br />
--- snap<br />
<br />
<br />
__zukünfiges thema: lokales umlenken lokaler Port traffics. Z.b. aller verkehr aus dem Internet<br />
soll umgeleitet werden von "80" auf "8080".<br />
<br />
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT \<br />
--to-ports 8080<br />
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner \! --uid-owner 13 \<br />
-j REDIRECT --to-ports 8080<br />
<br />
Should work. I tested it on my own firewall, although I just tested it<br />
with netcat, not a real proxy.<br />
<br />
Locally generated packets don't go through the PREROUTING chain, so you<br />
have to manipulate them in OUTPUT, and you also have to differentiate<br />
them from the proxy's outgoing packets, hence the match against uid 13<br />
(proxy), taken from /etc/passwd.<br />
<br />
Unfortunately, you'll have to enable owner match support in your kernel<br />
for the second line to work, so you might have to recompile (it's one of<br />
the features labelled experimental).<br />
<br />
Jason<br />
<br />
__zukünfiges thema: Bandbreiten verteilung: siehe artikel in c't 01/03. Kommt aber<br />
sicher stablier ab "suse 8.2", das es kernel >2.4.19 erfordert.<br />
<br />
b) mit<br />
<br />
chmod 755 /root/myfirewall.sh<br />
<br />
macht man dieses Script ausführbar. Nun starten ...<br />
<br />
/root/myfirewall.sh<br />
<br />
c) Automatischer Start der Firewall beim booten ...<br />
<br />
Als root einloggen und folgende Zeilen eingeben:<br />
<br />
ln -s /root/myfirewall.sh /etc/init.d/rc2.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc3.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc5.d/S30myfirewall <RETURN><br />
<br />
fehlt noch: "K" links, myfirewall sollte echtes Script werden, das<br />
"start" und "stop" auswerten kann.<br />
<br />
d) Eintrag in /etc/rc.config ändern: IP_FORWARD="no" auf "yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
18) lokaler SMTP Forwarder<br />
<br />
* win32 outlook express clients sollen bei der email-Konten-Einstellung den<br />
Eintrag "smtp-Server:" von dem "wirklichen" Server auf die IP des Linux-Servers<br />
umstellen können. POP Eintrag MUSS bleiben.<br />
* Der Linux Server muss ausgehende Mails mit 100 MBit/s annehmen, und<br />
lokal zwischenspeichern.<br />
* Der smtp Dienst von Linux muss eine autentifizierung des Users verlangen.<br />
(wie bei heutigen smtps üblich, mit dem gleichen Konto/pwd wie für pop3)<br />
* Der Linux Server sollte als "relay" fungieren, und die mail somit völlig<br />
unangetastet lassen.<br />
* Durch die Identifizierung mit dem smtp "Konto-Name" muss der Linux Server<br />
ermitteln (in einer config-Datei) wer der wirkliche smtp Server im Internet<br />
ist. Der Server muss nun (in aller Ruhe) dafür sorgen dass die Mail zugestellt<br />
wird. Es sollte kein "fester" relay-smtp für "alle" email-Konten benutzt werden.<br />
<br />
<br />
---------------------------------------------------------------------------------------<br />
Aufsetzen des Mailservers postfix<br />
---------------------------------------------------------------------------------------<br />
<br />
Andre Wolff 24.4.2003<br />
<br />
---------------------------------------------------------------------------------------<br />
<br />
<br />
---------------<br />
1. Installation<br />
---------------<br />
<br />
Postfix wird bei der Version 8.2 standardmäßig installiert. Zur Überprüfung, ob postfix<br />
installiert und aktiv ist, wie folgt vorgehen:<br />
<br />
- Aufrufen des YAST2-Kontrollzentrum<br />
- Auswahl System<br />
- Den Runlevel-Editor starten<br />
- Auf "Runlevel-Eigenschaften..." klicken<br />
<br />
In der nun angezeigten Liste sollte ein Eintrag postfix vorhanden sein. Ist dieser als aktiv<br />
gekennzeichnet und für die Runlevels 3 und 5 konfiguriert, ist alles Ok. Sollte der Eintrag<br />
postfix nicht vorhanden sein, muß das Programm evtl. nachinstalliert werden:<br />
<br />
- Runlevel-Editor ggf. wieder beenden<br />
- Aus dem YAST2-Kontrollzentrum "Software" auswählen<br />
- Auswahl "Software installieren oder löschen"<br />
- Im Kombinationsfeld Filter den Eintrag "Suche" auswählen und im Suchfeld<br />
postfix eingeben und auf die Schaltfläche "Suche" klicken<br />
- in der Paketliste postfix auswählen und auf Schaltfläche "Akzeptieren" klicken<br />
<br />
----------------<br />
2. Konfiguration<br />
----------------<br />
<br />
Da SuSE versucht alle wichtigen Programme direkt aus YAST oder YAST2 heraus automatisch <br />
zu konfigurieren, wir aber das Mail-System unseren Bedürfnissen explizit anpassen wollen,<br />
muß die automatische Konfiguration für postfix abgeschaltet werden:<br />
<br />
- Im YAST2-Kontrollzentrum "System|Editor für /etc/sysconfig-Dateien" auswählen<br />
- Dann Auswahl "Network|Mail|General"<br />
- Ändern des Eintrages "MAIL_CREATE_CONFIG" von yes auf no und Sysconfig-Editor <br />
beenden<br />
<br />
<br />
Datei "main.cf" anpassen<br />
<br />
Datei /etc/postfix/main.cf mit einem Editor öffnen. Die Einträge wie folgt ändern<br />
oder das '#'-Zeichen entfernen :<br />
<br />
myhostname = smtp.hebu.de<br />
mydomain = hebu.de<br />
mynetworks = 192.168.100.0/24,127.0.0.0/8<br />
smtpd_banner = $myhostname ESMTP<br />
relay_domains = $mydestination, <dom1>, <dom2>, ...<br />
<br />
<br />
Anpassen des Firewall-Skriptes<br />
<br />
Eintrag in /root/fwdsl.start nach dem Eintrag "Samba aus dem internen Netz":<br />
<br />
#--------------------------------------------------------------------------------<br />
# E-Mail zum relayen<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
---------------------------------------------------------------------------------<br />
<br />
Folgende Erweiterung für DNS eintragen <br />
<br />
#--------------------------------------------------------------------------------<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p UDP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p TCP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
#--------------------------------------------------------------------------------<br />
<br />
<br />
Bei den E-Mail-Clients muß nun der neue SMTP-Server eingetragen werden.<br />
<br />
Bei Outlook und Outlook-Express unter "Extras|Konten" die Registerkarte "E-Mail" auswählen.<br />
Dann mit einem Doppelklick die Eigenschaften des gewünschte Mailkontos öffnen. Auf der<br />
Registerkarte Server bei "Postausgang (SMTP)" die IP-Adresse des neuen Mail-Relays<br />
eintragen.<br />
<br />
19) Bandbreiten Management<br />
<br />
Hier: Der eMail-Ausgangsstrom soll uns nicht die Bandbreite des Web-Shop mindern.<br />
<br />
* Noch nicht Teil dieses Bugets - aber bitte im Hinterkopf behalten: Durch Einträge<br />
mit Hilfe von iptabels kann ab Kernel 2.4.20 die bandbreite gewisser dienste<br />
vorbestimmt werden. Ich suche mal den Artikel in der c't. Wir starten, wenn<br />
Suse 8.2 bei mir vorliegt (ist vorbestellt!)<br />
<br />
20) lokaler DNS Forwarder<br />
<br />
* DNS-Adressen wechseln ganz im Gegensatz zu HTML-Inhalten nicht so<br />
häufig. Deshalb will ich keinen vollständigen Proxy einsetzten. Aber ich<br />
will nicht, dass jede (wiederholte) DNS Anfrage ins INternet rausgepustet<br />
wird! Bis sich alle Datenbanken weltweit angeglichen haben kann schon mal<br />
ein halber Tag vergehen, also können wir auch guten gewissens DNS anfragen<br />
cache, etwa mit einer Haltbarkeit der cache inhalte von 10 min ?!. Deshalb<br />
ist ein Caching unbedenklich, und auch be-sonders lohnend, da einige UDP/TCP<br />
Verbindungsaufbau-Vorgänge lokal abgewickelt werden können!<br />
* Die Idee liegt nahe, hey man könnte den Linux-Server doch auch als<br />
Name-Server (DNS-relay) einsetzen. Egal welcher Provider dann angewählt ist<br />
(=welcher nameserver auch immer angegeben werden muss) der lokale DNS-Server<br />
leitet alle Anfragen immer an die richtige Adresse (nämlich an den Nameserver<br />
draussen im INternet) weiter. Wie die jeweiligen namenserver heissen steht ja<br />
in der /etc/resolv.conf. Die Clients müssen nix mehr umstellen (im Feld<br />
Nameserver)! Gateway UND Nameserver haben dann die gleiche Zieladresse.<br />
Adresse<br />
<br />
Zuerst werden die Pakete [bind9] aus der Serie [n] sowie die [bind9-utils] <br />
installiert und in Yast2 im "Runlevel-Editor" - "Runlevel eigenschaften" <br />
Named auf "start" gesetzt.<br />
<br />
Danach in der Datei "/etc/named.conf" folgende, mit den Pfeilen markierten <br />
Anpassungen eintragen:<br />
<br />
-------------------------------------------------------------------------<br />
<br />
options {<br />
<br />
-> auth-nxdomain no;<br />
<br />
# The directory statement defines the name server's<br />
# working directory<br />
<br />
directory "/var/named";<br />
# The forwarders record contains a list of servers to<br />
# which queries should be forwarded. Enable this line and<br />
# modify the IP-address to your provider's name server.<br />
# Up to three servers may be listed.<br />
<br />
# forwarders { 10.11.12.13; 10.11.12.14; };<br />
<br />
-> forwarders { 194.25.2.129; 212.185.248.148; };<br />
<br />
# Enable the next entry to prefer usage of the name<br />
# server declared in the forwarders section.<br />
<br />
-> forward first;<br />
<br />
# The listen-on record contains a list of local network<br />
# interfaces to listen on. Optionally the port can be<br />
# specified. Default is to listen on all interfaces found<br />
# on your system. The default port is 53.<br />
<br />
# listen-on port 53 { 127.0.0.1; };<br />
<br />
# The listen-on-v6 record enables or disables listening<br />
# on IPV6 interfaces. Allowed values are 'any' and 'none'<br />
# or a list of addresses. IPv6 can only be used with<br />
# kernel 2.4 in this release.<br />
<br />
listen-on-v6 { any; };<br />
<br />
# The next three statements may be needed if a firewall<br />
# stands between the local server and the internet.<br />
<br />
# query-source address * port 53;<br />
# transfer-source * port 53;<br />
# notify-source * port 53;<br />
<br />
# The allow-query record contains a list of networks or<br />
# IP-addresses to accept and deny queries from. The<br />
# default is to allow queries from all hosts.<br />
<br />
# allow-query { 127.0.0.1; };<br />
<br />
# If notify is set to yes (default), notify messages are<br />
# sent to other name servers when the the zone data is<br />
# changed. Instead of setting a global 'notify' statement<br />
# in the 'options' section, a separate 'notify' can be<br />
# added to each zone definition.<br />
<br />
notify no;<br />
};<br />
<br />
# The following three zone definitions don't need any modification.<br />
# The first one defines localhost while the second defines the<br />
# reverse lookup for localhost. The last zone "." is the<br />
# definition of the root name servers.<br />
<br />
zone "localhost" in {<br />
type master;<br />
file "localhost.zone";<br />
};<br />
<br />
zone "0.0.127.in-addr.arpa" in {<br />
type master;<br />
file "127.0.0.zone";<br />
};<br />
<br />
zone "." in {<br />
type hint;<br />
file "root.hint";<br />
};<br />
<br />
# You can insert further zone records for your own domains below.<br />
---------------------------------------------------------------------<br />
<br />
<br />
<br />
Jetzt ist noch in der Datei "/etc/resolv.conf" anzugeben, dass man zur <br />
Namensauflösung den lokalen DNS-Server benutzt.<br />
<br />
------------------------------------------------------------------------<br />
<br />
search<br />
nameserver 127.0.0.1<br />
<br />
------------------------------------------------------------------------<br />
<br />
<br />
Damit die "/etc/resolv.conf" nicht bei jeder Einwahl wieder überschrieben <br />
wird muss der Parameter "MODIFY_RESOLV_CONF_DYNAMICALLY" in der Datei <br />
"/etc/sysconfig/network/config" auf "no" gesetzt werden. Um aber bei Änderungen<br />
an der DNS Konfiguration des Providers nicht vor der Tür zu stehen sollte in <br />
der gleichen Datei die Option "MODIFY_NAMED_CONF_DYNAMICALLY" auf "yes" gesetzt<br />
werden. Dadurch werden die "forwarders" in der"/etc/named.conf" bei jeder <br />
Einwahl aktualisiert.<br />
<br />
<br />
Nun müssen die neuen Gegebenheiten der Firewall mitgeteilt werden. Folgende <br />
Zeilen werden im Script "/root/fwdsl.start" nach der Sektion <br />
<br />
"# E-Mail zum relayen" <br />
<br />
hinzugefügt.<br />
<br />
--------------------------------------------------------------------------------<br />
# DNS-Forwarding<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
------------------------------------------------------------------------<br />
<br />
<br />
Zum Abschluß werden auf den Windows-Clients in den Netzwerkeinstellungen bei den<br />
TCP/IP-Eigenschaften unter Gateway und DNS die IP-Adresse des LINUX-Servers<br />
angegeben.<br />
<br />
21) Fernwartung einiger Rechner im Netz von aussen via InterNet via VNC<br />
<br />
(beide Systeme (Zielsystem & Remotesystem) müssen eigentlich nur im InterNet<br />
sein! Der eine z.B. via ISDN, der andere z.B. via DSL, super natürlich: beide via DSL)<br />
<br />
auf jedem Win32-Ziel-Rechner installiert man den VNC-Server:<br />
(freier download unter www.tightvnc.com) Das myfirewall-Script muss<br />
für je einen Rechner um eine Script-Zeile erweitert werden.<br />
<br />
Es gibt auch einen Viewer(Client) für den MAC<br />
http://sourceforge.net/projects/cotvnc/<br />
<br />
# VNC für Brutus, Displaynummer=0 oder nix angeben<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
# VNC für Fred, Displaynummer=1<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5901 -j DNAT --to 192.168.115.3:5900<br />
# VNC für joe<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5902 -j DNAT --to 192.168.115.8:5900<br />
# usw. ...<br />
<br />
die aktuelle IP (die man "daheim" angeben muss) ermittelt man aus der gepachten IP-<br />
Adresse im InterNet (Rechter Mausklick auf die HomePage, Quelltext anzeigen, IP-Adresse<br />
rauskopieren). Beim einloggen gibt man neben der (aktuellen) IP die Displaynummer an, also<br />
217.217.20.118:1 (für z.B. fred) und das passwort wie immer. ACHTUNG: immer auf beiden<br />
Seiten 16 bit farben (= High-Color) verwenden! Den Rechner, den man fernwarten will:<br />
sollte ganz ganz schnell sein (ich meine das ernst), und ne super schnelle 2D Grafikkarte<br />
haben (z.B. Matrox G450). Der Rechner mit dem man fernwarten will: Der dreht leider eigentlich<br />
(fast) immer Däumchen, der kann ruhig alt und schwach sein!!! Hier sollte nur eine gute Anbindung<br />
ans Internet sichergestellt werden! Hilfreich: etwas größere Auslösung wie das Ziel-System, aber<br />
auch High-Color! Wichtig: Passwörter möglichst >8 Zeichen.<br />
<br />
VNC - Remote Control des Servers mit Hilfe von z.B. einer Windows-Maschine.<br />
Für Leute, die nicht in den Serverraum laufen möchten, oder kein Geld mehr<br />
für einen Monitor am Linux-Rechner haben, weil das Betriebssystem so teuer war ;-)<br />
<br />
vnc-paket installieren (mit Yast 2)<br />
Terminal Session starten<br />
vncserver eingeben, pwd vergeben<br />
von irgendeiner anderen Maschine einloggen:<br />
192.168.115.72:1<br />
-pwd eingeben<br />
Es muss ein Terminal-Fenster erscheinen, dort kan man nun<br />
kde<br />
eingeben wenn man eine kde-session starten will...<br />
<br />
Suse 7.x<br />
========<br />
<br />
Damit der VNC- Server beim booten allein gestartet wird, genügt ein Eintrag in /etc/rc.d/rc.<br />
Die Zeile, die ganz unten (Suse 8.0: vor "exit 0") ergänzt werden muß lautet:<br />
<br />
su -l root -c "vncserver -cc 3 :1 -alwaysshared"<br />
<br />
Suse 8.0<br />
========<br />
<br />
Suse 8.1<br />
========<br />
<br />
** Obige Methode läuft nicht mehr unter Suse 8.1.<br />
<br />
Bemerkung: Es war mal bei 8.0 notwendig an einer Maschine, die den vncserver nicht<br />
mehr allein startet, wieder keyboard und monitor anzuschliesen, um sich "echt"<br />
(in kde) einzuloggen, danach lief wieder alles super.<br />
<br />
Suse 8.2<br />
========<br />
<br />
YaST2 / System / Editor für /etc/sysconfig-Dateien / Desktop / Display Manager:<br />
Die Variable DisplayManager_Remote_Access auf yes setzen.<br />
Auf der Konsole rcxdm restart eingeben.<br />
YaST2 / Netzwerkdienste / Netzwerkdienste (inetd) aufmachen und die 4<br />
Einträge mit "VNC" im Namen aktivieren.<br />
Andere Computer (auch Windows-Maschinen) können nun über den Browser den<br />
VNC-Server ansprechen. Dazu benötigt er Java.<br />
Die URL lautet: http://Vncserver-Rechner:5810.<br />
<br />
Wer auf der Client-Seite nicht im Webbrowser arbeiten will, benutzt den VNCViewer.<br />
Für diese Anwendung lautet nun der angefragte Hostname "Vncserver-Rechner:10"<br />
oder "Vncserver-Rechner:11", auch wieder mit IP-Adresse des Zielsystems möglich,<br />
z.B. 192.168.115.93:10.<br />
<br />
25) WIN32-Clients nutzen die Zeit des Linux-Rechner<br />
<br />
net time \\<IP-Adresse des Linux Servers><br />
<br />
ev. kleiner Batch schreiben, der beim Login immer ausgeführt<br />
wird.<br />
<br />
26) WIN32- Clients einrichten<br />
<br />
Windows 2000(W2K) XP<br />
<br />
a) Standard-Gateway (wegen Internetnutzung)<br />
<br />
Start->Einstellungen(Systemsteuerung)->Netzwerk- und DFÜ-Verbindungen->LAN Verbindung-><br />
Eigensxhaften->Internetverbindungen(TCP/IP)->Eigenschaften-><br />
Standardgateway: IP des Servers<br />
Bevorzugter DNS-Server: IP des Servers<br />
<br />
b) WINS Support einschalten (wegen keepcon-Namensauflösung)<br />
<br />
Start->Systemsteuerung->Netzwerkverbindungen->lan-verbindung(rechter<br />
mausklick)->eigenschaften->internetprotokoll(tcp/ip)->Eigentschaften->Erweit<br />
ert->WINS->Hinzufügen->IP des Servers eintragen.->ok->ok->schliessen.<br />
<br />
Unverträglichkeit mit AVM KEN!<br />
<br />
AVM KEN Klient "InterNet" Installation auf dem Arbeitsplatz, der via Linux ins Internet will: nicht erlaubt<br />
AVM KEN Klient irgendwo auf anderen Arbeitsplatz im selben Netz: erlaubt<br />
AVM KEN Server irgendwo im Netz: erlaubt<br />
<br />
«fehlt(2)»:<br />
AVM KEN! Klient als reines "CAPI - Sharing" das müsste doch gehen? Oder?<br />
-> prüfen! (manche wollen weiterhin über den KEN!-Server faxen!)<br />
<br />
27) Eine andere Linux-Maschine will ins Internet<br />
<br />
1) YAST2 ->network ->routing ->Standart-Gateway=IP des Servers<br />
2) YAST2 ->advanced network ->DNS ->IP des Servers<br />
<br />
28) Kernel Updates<br />
(es soll niemand mehr sagen das sei schwierig!)<br />
<br />
nur für Suse 7.2 notwendig, (HISTORISCH - NICHT NOTWENDIG AB 7.3):<br />
<br />
Einspielen des Kernels 2.4.7<br />
<br />
Dies ist notwendig, da masquerading irgend einen Bug hat. Auch hat sich das<br />
einspielen als sehr heilsam für das ganze System herausgestellt. (Auch TDSL!)<br />
<br />
downloaden des Kernels (als rpm) von<br />
ftp.suse.com/pub/suse/i386/update/7.2/kernel/2.4.7/k_deflt-2.4.7-25.i386.rmp<br />
Terminal-Fenster starten, eingeben<br />
YaST <ENTER><br />
"paketverwaltung (update,install,auf..)"<br />
Paket einspielen<br />
Quelle (nun den obigen rpm lokalisieren)<br />
markieren mit Leertaste, damit installiert wird<br />
<F10> zum Installieren drücken<br />
YaST beenden, ein cleanup wird durchgeführt<br />
mk_initrd <ENTER><br />
lilo <ENTER><br />
-> system neu booten!!!<br />
<br />
29) Win32-Kiste: Der Apache-Web Server<br />
<br />
dieses Kapitel gehört eigentlich nicht hier herein - aber es hat mit dem<br />
Routing zu tun, so dass es doch die Linux Installation überhaupt erst ver-<br />
ständlich macht! Anforderung: Kommt eine http:/ Anfrage aus dem Internet<br />
auf den Linux Rechner zu (auf Port 80) muss er diese Anfrage auf einen<br />
anderen Rechner im Netz routen (sorry auf eine win32-Kiste). Dieser hat eine<br />
feste IP-Adresse in lokalen Netz. Es ist ein Windows 2000 Rechner mit Apache<br />
Web Server installiert. Die Anwort geht wieder an den Linux, und dann raus<br />
ins Internet. Weil wir eine Suchmaschine (in form einer ISAPI-DLL) nur für<br />
win32 haben, (und dem IIS von Microsoft nicht (mehr) trauen) wird auf win32<br />
der Apache Web-Server installiert. Der kann wunderbar ISAPI-Dlls ausführen!<br />
In der Anlage findet man die Apache-Konfiguration: httpd.conf (Die bestehende<br />
Konfiguration sollte nicht überschrieben werden, sondern nur geänderte Punkte<br />
eintragen) Die geänderten Punkte sind:<br />
<br />
a) von ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options none<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
zu ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options ExecCGI<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
b) von ...<br />
<br />
# To use CGI scripts:<br />
#<br />
# AddHandler cgi-script .cgi<br />
<br />
zu ...<br />
<br />
# To use CGI scripts:<br />
#<br />
<br />
AddHandler cgi-script .cgi<br />
AddHandler isapi-isa .dll<br />
<br />
Ich hatte den apache 1.3.22 installiert!<br />
<br />
http://httpd.apache.org/dist/httpd/binaries/win32/apache_1.3.22-win32-x86.exe<br />
<br />
in die .\cgi-bin muss die HebuWeb.dll (Delphi Open-Source Projekt auf www.cargobay.de)<br />
kopiert werden. Die Inhalte des Suchverzeichnisses müssen mal von "williams" beim<br />
Hebu-Musikverlage gesichert werden. Die DLL enthällt fest Pfadangaben für die<br />
"Datenbankdateien" diese sollte man noch durch eine ini-Datei festlegen können.<br />
Der feste Pfad ist im Moment noch "C:\HeBu\"<br />
<br />
«fehlt(2)»: HebuWeb.dll durch Ini-Datei configuerierbar machen<br />
<br />
30) Win32-Kiste: AutoStart, AutoLogin von Windows 2000,XP<br />
<br />
Nach einem Stromausfall sollten natürlich alle Systeme selber wieder hochfahren.<br />
Mit einem "Login"-Schirm am nächsten morgen ist natürlich niemand geholfen.<br />
<br />
1a) Automatischer Benutzer-Login<br />
<br />
Zunächst braucht man einen Benutzer mit einem Passwort. Der manuelle Login sollte<br />
natürlich funktionieren. Nun<br />
<br />
mit Start->Ausführen->regedit folgende Einträge anwählen<br />
<br />
"HKEY_LOCAL_MACHINE" -> "SOFTWARE" -> "Microsoft" -><br />
"Windows NT" -> "CurrentVersion" -> "Winlogon"<br />
<br />
AutoAdminLogon:REG_SZ:1<br />
DefaultPassword:REG_SZ:<das PWD><br />
DefaultUserName:REG_SZ:<der Benutzername><br />
<br />
Es kann sein dass es den "DefaultPassword" - "Wert" nicht gibt, dann mit<br />
"Neu->Zeichenfolge" anlegen (Typ ist String, wie alle Werte).<br />
<br />
1b) Nur XP<br />
<br />
Art der Anmeldung auf "klassisch" ändern. Start->Systemsteuerung->Benutzer<br />
verwalten->Art der Anmeldung->obere Option (Willkommensschirm verwenden)-><br />
deaktivieren!<br />
<br />
2) Automatischer Start von RouteIp UND<br />
Outlook Express<br />
<br />
rechter Mausklick auf Start->Öffnen(alle Benutzer)->Programme->Autostart<br />
<br />
in diesen Ordner eine Verknüpfung mit RouteIP (kann aus dem Menü mit rechtem<br />
Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
in diesen Ordner eine Verknüpfung mit Outlook-Express (kann aus dem Menü mit<br />
rechtem Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
(kleiner Exkurs: Warum Outlook: Es dient uns als eMail Empfänger auf der<br />
Apache Server Station. Outlook sollte auf 1 Minütiges Abfragen der Mail<br />
eingestellt sein, so dass immer eine aufrechterhaltung der Verbindung<br />
gewährt bleibt!)<br />
<br />
3) Automatischer Start von VNCViewer, Apache<br />
<br />
dies sollte automatisch erfolgen, wenn beide Programme als Windows 2000 Dienst<br />
installiert wurden. -> Aber lieber testen!<br />
<br />
31) keepcon, RouteIP.exe, ein kleiner Einstieg<br />
<br />
Dieses linux / win32 program ermittelt die aktuelle IP Adresse wie unser Server im<br />
Moment im Internet sichtbar ist, und patched die html-Seiten drausen<br />
im InterNet, um die aktuelle IP Adresse den surfern draussen unterzujubeln.<br />
Mehr Infos über RouteIP im InterNet www.cargobay.de**<br />
Mehr Infos über keepcon im InterNet www.cargobay.de<br />
<br />
** RouteIP wird langfristig durch keepcon ersetzt.<br />
keepcon siehe "http://www.cargobay.de/keepcon.html"<br />
<br />
32) Die Win32-Clients wollen Plattenplatz auf dem Linux nutzen ...<br />
<br />
Schritt 0)<br />
<br />
(Netzwerkkarte und Verkabelung sind Grundvoraussetzungen, darauf will<br />
und kann ich nicht eingehen)<br />
<br />
Schritt 1) (mache dich sichtbar)<br />
<br />
freie IP-Adresse des lokalen Adressraumes (192.168.100.1 .. 192.168.100.254)<br />
ausdenken, DOKUMENTIEREN in einem Netzwerkplan <br />
und unter Start->Einstellungen->Systemsteuerung->Netzwerk->Protokolle->TCP/IP-><br />
Eigenschaften->feste IP->Adresse eingeben (Maske ist immer 255.255.255.0)<br />
<br />
Schritt 2) (bist du sichtbar?)<br />
<br />
starte eine DOS-Box (Start->Zubehör->Eingabeaufforderung) und pinge den Samba-<br />
Arbeitgeber im Netz an.<br />
<br />
ping 192.168.100.72<br />
<br />
bevor hier keine Antwort kommt, braucht man gar nicht weitermachen!<br />
Nun einen Laufwerksbuchstaben auf den samba-Share mappen:<br />
Mit dem Windows-Explorer: extras->Netzlaufwerk verbinden<br />
<br />
Laufwerk: G:\ // Dein neues (Netz-)Laufwerk<br />
Ordner: \\192.168.115.72\user // (geht also auch ohne Namensauflösungsproblematik)<br />
<br />
Tip Netzwerkumgebung: Erwarte niemals, dass in der win32 - "netzwerkumgebung"<br />
der Linux-Rechner sichtbar ist, den Du gerade frisch eingebunden<br />
hast! Schaue erst in der "netzwerkumgebung" nach, frühestens<br />
30 min nachdem eh schon alles geht!<br />
<br />
34) samba & firewall & Windows<br />
<br />
Mit samba 2.2.5 und Windows XP Professional Service Pack 1 machten wir folgende<br />
Beobachtung:<br />
<br />
Windows XP Professional zeigt nach eigenem Neustart den samba-share<br />
als "gestört" an (rotes kleines "X" im Symbol). Der erste Zugriff<br />
erfolgt im Windows Explorer dann auch nach eine langen Denkpause.<br />
<br />
* Umstellen von "security=share" auf "security=user" im smb.conf<br />
brachte nichts! (incl. der ganzen Arbeit, die damit zusammenhängt<br />
(User anlegen)).<br />
* Umstellen der "Richtlinien" wie es die Newsgroups vorgeben brachte<br />
auch nichts!<br />
<br />
Start->Ausführen->gpedit.msc<br />
<br />
Computerkonfig->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlininen-><br />
Sicherheitsoptionen<br />
<br />
Microsoft-Netzwerk (client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden<br />
<br />
Idee: ev. alles auf einen echten samba PDC umstellen!<br />
todo: gpedit.msc mal beschreiben!<br />
<br />
Die Lösung: der Firewall auf dem samba Server sperrte den Port 445. Dieser ist<br />
jedoch für die Kommunikation notwendig. Hier die Gesamtbeschreibung<br />
die ich mit Hilfe von Walter Mautner erstellt habe.<br />
<br />
> Eventuell noch Port 445 dazugeben.<br />
<br />
Walter! Das war die Lösung (freu), Win XP versucht scheinbar vorrangig am<br />
Port 445 rumzuposaunen. Nur wenn ein hartnäckiger User auf den Windows<br />
Explorer einschlägt springt er auf den Port 137ff um!<br />
<br />
<br />
Port 53=DNS<br />
Port 1900=<br />
XP's Windows Messenger is attempting to communicate to an Internet host. To block Windows Messenger's broadcasts:<br />
Hive: HKEY_LOCAL_MACHINE<br />
Key: Software\Microsoft\DirectPlayNATHelp\DPNHUPnP<br />
Name: UPnPMode<br />
Type: REG_DWORD<br />
Value: 2 disabled<br />
With UPnPMode=2, Universal Plug and Play Network Address Translation (NAT) traversal discovery does not occur.<br />
<br />
(newsgroupbeitrag) "<br />
Unser Liebling (=Linux-Server) fungiert nicht nur als Samba-Sklave sondern<br />
auch als DSL-Router. Somit wurde flux eine firewall installiert (auch<br />
selbstgemacht via iptables).<br />
Weil wir gerne alles kontrollieren wirkt diese auch auf das intene Netz:<br />
Pflichtbewust wurden jedoch die smb Ports 136,137,138,445 geöffnet, damit<br />
die Clients mit samba sprechen können.<br />
<br />
Alles ging -- ausser bei Windows XP Prof Clients, diese hatten beim ersten<br />
Zugriff auf einen Share z.B. im Explorer doppelklick auf den<br />
Laufwerksbuchstaben eine "Wartezeit" von ca. 8 Sekunden (hey, das ist<br />
verdammt lange). Danach war alles in Butter. Bis zu dem Moment, wo etwa 15<br />
Minuten kein Zugriff auf diesen Share auf diesem Client erfolgte (oder<br />
sofort nach einem Neustart des Clients). Danach wieder diese Denkpause.<br />
<br />
Die Lösung war: XP Prof SP1 versucht eine Kontaktaufnahme mit dem<br />
Samba-Server auf Port 80 (in Worten !achtzig!). Wir hatten das als "Angriff"<br />
aus dem internen Netz gewertet und geDROPed. (Auf port 80 haben wir keinen<br />
dienst auf unserem Server!). Bis XP gemerkt hatte, dass auf port 80 nix<br />
geht, machte es einen Kurzschlaf (eben diese 8 Sekunden). Jetzt, nachdem wir<br />
(grmpf!) halt Port 80 geöffnet haben geht alles ohne Zeitverzögerung.<br />
Unnötig zu sagen das dieses Verhalten ausschließlich XP hat!<br />
"<br />
<br />
(newsgroupbeitrag) "<br />
einen DROP zu machen war wirklich gemein. Zumal man ja im internen<br />
Netz nicht unbedingt "Paket-Antwort-Bandbreite" sparen muss.<br />
<br />
http://www.pl-forum.de/t_netzwerk/iptables.html<br />
<br />
[ ...<br />
<br />
* DROP: Paket vernichten, keine Benachrichtigung des Absenders.<br />
<br />
* REJECT: Ähnlich DROP wird das Paket abgewiesen, jedoch erhält der Absender<br />
eine Antwort auf das Paket.<br />
<br />
... ]<br />
<br />
-> bleibt die Frage? Was will XP am Port 80?<br />
"<br />
<br />
Beim Verbindungsversuch vom Windows XP Explorer zum Samba-Server ist mir aufgefallen, daß der XP-Client über den Port<br />
1039 bzw 1040 eine Verbindung zum Port 80 des Linux-Servers aufzubauen versucht (sichtbar gemacht mit<br />
tail -f /var/log/messages auf der Linux-Box. Hier werden die Drops, die der Kernel verursacht, protokolliert). Nach<br />
Öffnen des Ports 80 für Pakete vom internen Netz gab es keine Wartezeiten beim Verbindungsaufbau mehr.<br />
<br />
Im folgenden ein Auszug aus dem aktuellen Firewall-Skript. Dabei sind die letzten beiden Zeilen von Bedeutung.<br />
<br />
Das passende firewall Script Auszug.<br />
<br />
<br />
# --------------------------------------------------------------------------------<br />
# Samba aus dem internen Netz<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 135 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 139 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 139 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 445 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# XP-Explorer versucht Verbindung von HIGH_PORT auf port 80 des Linux-Servers! Warum?!?<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 80 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# --------------------------------------------------------------------------------<br />
<br />
Die passenden Ports in der Zusammenfassung<br />
<br />
netbios-ns 137/udp # NETBIOS Name Service<br />
netbios-dgm 138/udp # NETBIOS Datagram Service<br />
netbios-ssn 139/tcp # NETBIOS Session Service<br />
microsoft-ds 445/udp # Direct-Hosted Service<br />
microsoft-ds 445/tcp # Direct-Hosted Service<br />
http 80/tcp www www-http # World Wide Web<br />
# nur bei XP Clients notwendig<br />
<br />
---------------------------------------------------------<br />
* ES FOLGT DER REVISION INFO TEIL IM FORMAT<br />
* Rev x.xxx ([ "vonDatum" "-" ] "bisDatum") <DeinName><br />
---------------------------------------------------------<br />
<br />
35) ATX-Netzteile<br />
<br />
Das beschriebene Linux-System wird überwiegend als Server benutzt. Es muss<br />
sichergestellt sein, dass nach einem Stromausfall das System selbst wieder<br />
hochfährt.<br />
<br />
* In der Regel kann man bei modernen ATX - Boards im BIOS einstellen was<br />
im "Power Fail" Fall, gemacht werden soll. "Always ON" würde hier die<br />
richtige Einstellung lauten.<br />
<br />
* Bei machen Boards ist diese Einstellung nicht vorhanden (K7SOM) oder<br />
sie funktioniert nicht (div. Soltek Boards). In diesem Fall ist durch<br />
einen einfachen Eingriff diese Funktion sichergestellt.<br />
<br />
1) Das ATX-Netzteil besitzt einen breiten Spannungsstecker, der im Main-<br />
board steckt. Hier ist das !grüne Kabel! (von dem es nur eines gibt) ca.<br />
1 cm oberhalb des Steckers abzuschneiden (1cm deshalb, damit man ggf.<br />
die alte Funktion wieder herstellen kan).<br />
2) Von einem unbenutzen Stromstecker ist eines der mittleren schwarzen<br />
Kabel nahe am Stecker abzuscheiden.<br />
3) Beide Kabel nun durch alle Kabelbinder hindurch zurückziehen damit sie<br />
ab dem Netzteilaustritt freiliegen. Nun beide abisolieren, und die<br />
blanken Ende "verzwirblen". Mit Isolierband die blanke Stelle isolieren<br />
und das neue Kabelpaar schön an vorhandene Kabelstränge mit Kabelbinder<br />
fixieren.<br />
<br />
Effekt: Das ATX-Netzteil startet IMMER in den "Full Power" Modus egal, ob<br />
dies durch das Board signalisiert wird oder nicht.<br />
<br />
36) USB Devices (Memory, Flash, MP3 Player) unter Linux<br />
<br />
Nach reinstecken des SONY Microfault 32 MByte Sticks ging erst mal nix. Ich sah zwar, dass das LED<br />
des Memory Sticks vertraut blinkte. Doch bekam ich keinen Zugriff. Ich musste<br />
<br />
md /root/usb<br />
mount -t vfat /dev/sda /root/usb<br />
<br />
eingeben. Sofort waren die Dateien in /root/usb/ sichtbar. Ich speicherte was drauf mit <br />
"cp". Zog den Stick raus: Wieder eine Enttäuschung: auf dem Win XP war die Datei nicht<br />
sichtbar. Also wurde die Datei nicht wirklich geschrieben (HEUL!)? Also versuchte<br />
ich vor dem Rausziehen beim nächsten mal unzumounten.<br />
<br />
umount /dev/sda<br />
<br />
(soviel zu Thema hotplug!) OK, das ging dann. Mein Wunsch war, beim Einsetzen des<br />
USB-Sticks das Lied darauf (.mp3) abzuspielen. In meiner Naivität plazierte ich einfach<br />
ein Script Namens /etc/hotplug/usb/usbfs. Es passierte natürlich nichts. grmpf!<br />
<br />
In fstab habe ich aber eine Zeile eingetragen, die mir das USB-Device auf den Desktop<br />
gezaubert hat (was mir nix bringt!). Mein Spieltrieb animierte mich durch umount das<br />
device auszuhängen. Das Desktop Symbol blieb - es lies sich auch fehlerfrei anklicken,<br />
was einen Mount verursachte!<br />
<br />
Also ein Script via hotplug zu starten wenn der usb reingeteckt wird gebe ich<br />
hiermit auf!</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux.samba&diff=13222Linux.samba2004-09-14T20:12:28Z<p>192.168.115.95: </p>
<hr />
<div>samba: Freigabe/Freigabenutzung von Verzeichnissen<br />
<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Büroanwendungen->Editoren->Advanced Editor)<br />
<br />
a) 7.3<br />
===<br />
/etc/rc.config:<br />
START_SMB="no" auf START_SMB="yes"<br />
<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
8.0 (veralteter Tipp):<br />
======================<br />
<br />
/etc/rc.d/boot.local<br />
unten neue Zeile: rcsmb start<br />
<br />
8.0 (neuester Stand):<br />
=====================<br />
<br />
Kontrollzentrum->YaST2 Module->System->Runlevel Editor->Runlevel eigenschaften-><br />
smb in der Liste suchen, und einstellen wie folgt:<br />
<br />
Aktiv B 0 1 2 3 5 6 S<br />
smb Ja 2 3 5<br />
smbfs Ja 2 3 5<br />
<br />
<br />
b) /etc/samba/smb.conf: (ersetzen bzw. aktivieren, ex sind globale einstellungen!)<br />
<br />
[global]<br />
log level = 1<br />
workgroup = Lummerland<br />
server string = Samba<br />
netbios name = LINUX<br />
security = share<br />
interfaces = 192.168.115.92<br />
hosts allow = 192.168.115.0/255.255.255.0<br />
os level = 99<br />
time server = yes<br />
unix extensions = yes<br />
encrypt passwords = yes<br />
null passwords = yes<br />
printing = CUPS<br />
printcap name = CUPS<br />
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192<br />
keepalive = 0<br />
wins support = yes<br />
local master = yes<br />
preferred master = yes<br />
guest account = nobody<br />
character set = ISO8859-15<br />
client code page = 850<br />
veto files = /*.eml/*.nws/riched20.dll/*.{*}/<br />
bind interfaces only = yes<br />
guest ok = yes<br />
[homes]<br />
comment = Home Directories<br />
valid users = %S<br />
browseable = no<br />
writeable = yes<br />
create mask = 0640<br />
directory mask = 0750<br />
<br />
[printers]<br />
comment = All Printers<br />
path = /var/tmp<br />
printable = yes<br />
create mask = 0600<br />
browseable = no<br />
<br />
[print$]<br />
comment = Printer Drivers<br />
path = /var/lib/samba/drivers<br />
write list = @ntadmin root<br />
force group = ntadmin<br />
create mask = 0664<br />
directory mask = 0775<br />
<br />
neu eingeben (ganz unten)<br />
<br />
[user]<br />
comment = Benutzer Freigabe<br />
path = /freigabe<br />
browseable = yes<br />
read only = no<br />
writeable = yes<br />
writable = yes<br />
guest ok = yes<br />
locking = no<br />
public = yes<br />
create mode = 777<br />
directory mode = 777<br />
<br />
c) nun eine Terminal-Session starten (Symbol mit der Muschel in der Startleiste)<br />
cd / * wechselt ins hauptverzeichnis<br />
mkdir /freigabe * erstellt den Pfad, der freigegeben wird<br />
chmod 0777 -R /freigabe * alle Rechte für alle<br />
rcsmb start * samba nun starten<br />
e) Wenn später weitere Verzeichnisse freigegeben werden sollen:<br />
in einer Terminal Session , samba stoppen:<br />
rcsmb stop<br />
mkdir /<Ihr neues Verzeichnis><br />
chmod 0777 -R /<Ihr neues Verzeichnis><br />
nun wieder /etc/smb.conf editieren<br />
neu eingeben (ganz unten)<br />
[NeuerFreigabeName]<br />
comment = "ihr kommentar"<br />
path = /<Ihr neues Verzeichnis><br />
... Rest wie oben ...<br />
<br />
f) Wenn man auf Linux eine Windows-Freigabe nutzen will<br />
Wenn man auf Linux eine samba-Freigabe (einer Linux Maschine) nutzen will<br />
<br />
mount -t smbfs -o username=fred,password=fred //brutus/User /g<br />
<br />
wobei "/g" ist das Unterverzeichnis in welches die Freigabe eingehängt wird<br />
fred,fred ist username/pwd die Zugriff zu dieser Freigabe ermöglicht<br />
//brutus der w2k-Server (oder auch ein Linux-Server)<br />
/User der Freigabename<br />
<br />
g) Diagnose<br />
log level =<br />
nmblookup<br />
<br />
h) Verzeichnisse nur für bestimmte User sichtbar machen (nicht möglich bei <br />
security=share, ev. auf security=user umschalten)<br />
<br />
Das Verzeichnis einer Benutzergruppe zuordnen (z.B. mp3users), die Du<br />
vorher anlegst und der Du Deine Berechtigten hinzufügst, aber nicht den Chef.<br />
Die Berechtigungen entsprechend setzen (kein r-x für "nobody") und dazu<br />
"hide unreadable = yes" in die Share-Definition.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux&diff=4506Linux2004-09-14T20:10:20Z<p>192.168.115.95: </p>
<hr />
<div>[[Linux.rsync|rsync als Backuplösung]]<br><br />
[[Linux.xntpd|immer genaue Uhrzeit (für alle)]]<br><br />
[[Linux.Grundlagen|Grundlagen]]<br><br />
[[Linux.samba|Festplatte im Netz (für alle)]]<br><br />
<br><br />
1) Worum geht es<br />
<br />
* WARNUNG: Dieses HOWTO enthält Erfahrungsberichte und/oder Infos ohne<br />
jeglichen Anspruch auf Korrektheit. Alles ist hoch experimentell und nicht<br />
ausgiebig getestet. Es handelt sich eigentlich um ein lyrisches Werk freier<br />
Geister, einen Bezug zur Relalität (insbesondere ein Zusammenhang mit der<br />
Computertechnik) darf niemals vermutet werden. Eine Art Garantieanspruch aus<br />
diesen freien Gedankenexplosioen abzuleiten grenzt an Wahnsinn.<br />
<br />
* Wir wollen mit diesem Dokument das Neuaufsetzen eines Suse Workgroup-Servers<br />
beschreiben. Nach einem Crash soll es z.B. Alexander (vom HeBu-Musikverlag)<br />
möglich sein, ohne viel Nachdenken einen neuen suse-linux-server aufzusetzen!<br />
* Die Sache ist recht umfangreich, mal in Kurzform: Alle wollen über linux<br />
ins InterNet. Es läuft dort der SQL Server firebird. Alle (win32&MACs) nutzen<br />
Plattenplatz (via samba,netatalk). Der Port 80 soll auf einen Win32 Rechner<br />
geroutet werden.<br />
* ehm nochwas; frage niemals: "was sind server?"<br />
* Mitarbeiter:<br />
<br />
Andre Wolff , Entwickler<br />
Thilo Frey , Entwickler<br />
Andreas Filsinger , Entwickler (Projektleiter)<br />
<br />
2) Bitte mitarbeiten!<br />
<br />
MITARBEIT: Dem Paket liegt eine .rev Datei bei - es handelt dabei um den<br />
Source-Code dieses Dokumentes, das Dir gerade in der html-Form vorliegt.<br />
Es ist eine einfache .txt Datei, dummerweise mit der Dateiendung .rev.<br />
Diese Textdatei einfach abändern/erweitern (am besten mit notepad,write) und an<br />
andreas@filsinger.de mailen. Der macht dann ne neue Release draus. Nicht<br />
vergessen im unten Dokumentteil eine neue Revnummer zu beginnen (+Datum) und<br />
die Änderungen kurz zu dokumentieren.<br />
<br />
3) Erster (Kalt-)Start<br />
Rechner an, gleich ins System-Bios gehen, dazu <Entf> drücken,<br />
wenn die "Drives"-Erkennung läuft. Im BIOS nun<br />
->Advanced?!->Boot Device 0-><br />
von "HDD-0" auf "CDROM" umstellen,<br />
damit der Rechner von der DVD bootet. (das geht bei jedem BIOS anders)<br />
->Suse 7.3 DVD rein<br />
(oder 8.0, sorry dann alles bissel anders: aber besser!!)<br />
->Save and exit<br />
...Rechner bootet neu, und macht den ersten (Warm-)Start<br />
<br />
4) Suse DVD bootet ...<br />
<br />
Rechner erkennt, dass er von der DVD booten kann<br />
<br />
7.3<br />
"Manual Installation" bestätigen<br />
Bildschirm (farbe/mono)<br />
Tastaturbelegung Deutsch<br />
Installation/System starten<br />
Installation/Update starten<br />
Quellmedium CD-ROM auswählen<br />
YAST-Version grafisch wählen<br />
Laden aller (USB) Treiber bestätigen<br />
Installationssprache Deutsch<br />
Tastaturlayout "deutsch" und Zeitzone "Europa/Deutschland" wählen<br />
Installationsmodus "Neuinstallation" wählen<br />
Vorgeschlagene Partition ändern (Muss wegen Reiserfs gemacht werden)<br />
<br />
8.0<br />
Installation / deutsch / Neuinstallation<br />
<br />
8.2<br />
Manuelle Installation<br />
<br />
5) Festplatte einrichten:<br />
Also wir machen 3 Partitionen:<br />
<br />
"boot" kleine Mini-Partition: damit das booten immer klappt (ext2 oder ext3-Dateisystem)<br />
<br />
"swap" mittlere Partition: da werden RAM Speicherbereiche rausgeschrieben,<br />
um Platz zu machen für wichtigere Daten.<br />
Grösse= RAM * 2 oder mehr, aber immer größer als das RAM!<br />
"linux" eigentlicher Betriebssystem Bereich und Anwender und<br />
Benutzerbereich<br />
<br />
Bei "Festplatte vor ..."<br />
den<br />
[X] Benutzerdefiniert wählen!<br />
3 Partitionen anlegen:<br />
<br />
0..2 Linux native (ext2 oder ext3) mounting-point "/boot"<br />
3..84 Linux swap ----- ----------------------<br />
85..5004 Linux native (!reiserfs!) mounting-point "/"<br />
<br />
2. Platte mal noch offen lassen<br />
<br />
6) "Standard mit Office" installieren<br />
<br />
"Benutzername usw." (sorry weis nicht mehr genau wann das kommt).<br />
Rechnername: linus<br />
pwd für den root (=Administrator im win32 Dialekt) erst mal auch so eingeben<br />
pwd: linus<br />
<br />
"Monitor ändern"<br />
EIZO-F56 aber beachten dass die vorgeschlagene Wiederholfrequenz<br />
herunterkorrigiert wird. etwa 70 Hz-72 Hz, was der jeweilige Monitor<br />
verträgt.<br />
"Hardware konfigurieren" wählen!<br />
->Netzwerk,<br />
erste Netzwerkkarte<br />
100 MBit-Karte: KarteIP fest, zb. 192.168.100.72, Maske so ok<br />
"Rechnername und Nameserver" wählen!<br />
->name: linus<br />
->domäne: pcworld<br />
NameServer: 194.25.2.132 (T-online)<br />
zweite Netzwerkkarte<br />
10 MBit-Karte: KarteIP fest, zb. 192.168.99.72, Maske so ok<br />
(anderes logisches Netzwerk!)<br />
"Rechnername und Nameserver" diesmal nicht notwendig!<br />
<br />
->ISDN<br />
Euro-ISDN,Deutsch,t-online usw.<br />
Zugangsdaten für den flat bereithalten<br />
->Sound<br />
normales Setup->meist auf 100% Lautstärke anpassen, da wir sonst<br />
später nix mehr hören.<br />
<br />
7) vor dem ersten Start(Logout,beenden,neustarten)<br />
ins bios gehen (Taste <Entf>), Bootlaufwerk<br />
von "CDROM" auf "HDD-0" umstellen! Damit der Rechner niemals versehentlich<br />
von CD-bootet.<br />
immer als root einloggen<br />
<br />
8) Pakete nachinstallieren<br />
(als (Benutzernamen=)root eingelogged?!)<br />
[suse->]system->configuration->yast 2->Software deinstallieren/installieren<br />
(Software install/remove)<br />
->ev. Pakete "suchen" knopf, names des Paketes angeben<br />
doppelklick auf das paket<br />
<br />
X samba serie: n<br />
X netatalk serie: n<br />
X vnc serie: xap<br />
<br />
Folgende Pakete müssen deinstalliert werden:<br />
<br />
7.3<br />
===<br />
<br />
D Personal-Firewall<br />
D SuSE-Firewall<br />
D ipchains<br />
<br />
9) T-DSL, leider muss geschraubt werden. <br />
<br />
(nicht SuSE 9.0)<br />
<br />
Details auf http://sdb.suse.de/en/sdb/html/cg_pmtu2.html.<br />
<br />
a) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/options<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
b) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/peers/pppoe<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
11) Netzwerk Verbindung prüfen<br />
<br />
auf einem win32 Rechner jetzt den Linux Server anpingen (per IP, nicht den )<br />
mehr Details siehe 22)<br />
<br />
ping 192.168.115.90<br />
<br />
12) Netatalk-konfiguration (zugriff auf einen Linux Share via MAC)<br />
<br />
(als (Benutzernamen=)root eingelogged?!)<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Editoren->Advanced Editor)<br />
a) /etc/rc.config:<br />
START_ATALK="no" auf START_ATALK="yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
b) /etc/atalk/atalkd.conf<br />
eth0 auf eth1<br />
# nur ändern, wennn 100 Mbit-Karte eth1 ist (Network/Basic -> Network card configuration)<br />
c) /etc/atalk/AppleVolumes.default<br />
Zeile ganz unten mit nur der Tilde<br />
~<br />
rauslöschen!<br />
neue Zeile (auch ganz unten)<br />
/freigabe/mac "user" options:noadouble<br />
d) terminal fenster starten (muschel)<br />
cd /freigabe<br />
mkdir mac<br />
chmod 0777 -R /mac<br />
rcatalk start<br />
<br />
-> nach ca. 1 minute müsste "linus" sichtbar sein, ev. als<br />
linus/linus verbinden!<br />
<br />
e) Diagnose<br />
<br />
nbplkup<br />
[[linux.firebird||Firebird SQL Server]]<br />
<br />
14) Einsatz als firebird-raib<br />
<br />
8.0<br />
===<br />
<br />
raib ist ein RAID 5 Array aus 3 unabhängigen firebird servern und einem Master.<br />
Zum einsatz kommt ein (selbstgebautes) Server Blade mit 4 Rechnern. Dazu muss<br />
nach erfolgreicher Installation der Hardware-Scan beim booten (hwscan) deaktiviert<br />
werden, da diese Rechner ohne Keyboard und Maus laufen. hwscan stoppt sonst<br />
das Hochfahren und bringt einen Maus-Auswahldialog.<br />
<br />
15) DVD ist weg - und man muss Software nachinstallieren:<br />
<br />
<br />
Unter YaSt2, Software, Softwarequelle, eine FTP Quelle anlegen<br />
<br />
Servername: ftp.gwdg.de <br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/9.0 <br />
<br />
8.2<br />
===<br />
<br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/8.2 <br />
<br />
<br />
<br />
16) Firebird Datenbank Crash?<br />
<br />
konkrete Verwendung einzelner Befehle für fix, backup und restore.<br />
siehe ibreorg.bat in der Anlage. (der ist leider für Win32-DOS-Box!)<br />
die Befehle müssten auch unter linux so gehen. der Pfad ist aber<br />
<br />
/opt/interbase/bin/gbak ....<br />
<br />
--- snip<br />
@echo off<br />
REM -------------------------------------------------<br />
REM Reparatur einer inkonsistenten FireBird Datenbank<br />
REM<br />
REM (c) Andreas Filsinger, www.cargobay.de<br />
REM -------------------------------------------------<br />
REM<br />
REM Usage<br />
REM<br />
REM reorg <Pfad und Name der Datenbank OHNE ".gdb"><br />
REM<br />
REM --------------------------------------------<br />
REM<br />
REM ACHTUNG: richtigen Pfad ermitteln, indem Sie nach der<br />
REM Datei gbak.exe suchen lassen. Und hier eintragen:<br />
REM<br />
SET IBBIN=D:\programme\borland\interbase\bin\<br />
REM<br />
REM --------------------------------------------<br />
REM 1) fix erros<br />
REM<br />
%IBBIN%gfix -mend -full -ignore -user "SYSDBA" -password "masterkey" %1.gdb<br />
REM --------------------------------------------<br />
REM 2) backup fixed base<br />
REM<br />
%IBBIN%gbak -backup -v -ignore -garbage -user "SYSDBA" -password "masterkey" %1.gdb %1_neu.gbk<br />
REM --------------------------------------------<br />
REM 3) restore base<br />
REM<br />
REM zusätzlich noch "-i" wenn Indizes deaktiviert werden sollen<br />
REM<br />
%IBBIN%gbak -r -v -p 8192 -user "SYSDBA" -password "masterkey" %1_neu.gbk %1_neu.gdb<br />
REM --------------------------------------------<br />
REM 4) check new one<br />
REM<br />
%IBBIN%gfix -v -f -user "SYSDBA" -password "masterkey" %1_neu.gdb<br />
REM --------------------------------------------<br />
--- snap<br />
<br />
Bemerkungen<br />
===========<br />
<br />
a) Backup-möglich aber fail beim Restore: wegen inkonsistenter Indizes<br />
ich habe mal erlebt, das foreign Key nicht mehr konsistent waren, und deshalb<br />
der restore abgebrochen hat. Alle Indizes kann man jedoch als inaktiv restoren,<br />
(Option -i )<br />
nach löschen /clearen der "Schuldigen" kann man alle indizes wieder aktivieren,<br />
wieder ein backup, wieder ein restore -> alles wieder gut.<br />
(Sourcecode dazu im HeBuAdmin Projekt)<br />
damit der HebuAdmin alle indizes sehen kann braucht er "out.txt". Das ist die<br />
Ausgabe eines erfolgreichen restores, der alle indizes enthält.<br />
Unter linux gibt man die Ausgabe von gbak mit 2>/freigabe/out.txt in eine Datei<br />
aus.<br />
<br />
firebird-Erkenntnis<br />
===================<br />
<br />
internal gds software consistency check (partner index description not found (175))<br />
<br />
dieser Fehler tritt beim löschen eines Datensatzes auf, der eventuell durch einen<br />
foreign key einer anderen Tabelle referenziert werden könnte. Ist dieser key<br />
deactiviert so kann keine Aussage getroffen werden, ob das löschen ok ist, dieser<br />
interne Fehler ist die Folge!!<br />
<br />
17) Routing, Masquerading und Firewall<br />
<br />
Alle Arbeitsplatz-Rechner sicher und einfach ins InterNet zu bringen<br />
ist hierbei vorrangiges Ziel.<br />
<br />
a) Skript "myfirewall.sh" (in der Anlage sicherlich aktueller als dieser Snapshot)<br />
nach /root kopieren.<br />
<br />
--- snip<br />
# !/bin/bash<br />
IPTABLES=/usr/sbin/iptables<br />
DEV_LOC=eth0<br />
DEV_EXT=ppp0<br />
DNS_EXT=194.25.2.129<br />
# for IF in $DEV_LOC $DEV_EXT do<br />
# Kernelmodule laden<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/log_martians<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/log_martians<br />
<br />
<br />
# done<br />
<br />
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br />
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses<br />
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate<br />
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate<br />
<br />
# Zu Anfang alles verbieten (Default Policy)<br />
$IPTABLES -P INPUT ACCEPT<br />
$IPTABLES -P OUTPUT ACCEPT<br />
$IPTABLES -P FORWARD ACCEPT<br />
<br />
# Alle Regelketten, die sich noch im Speicher befinden k"nnten, l"schen<br />
$IPTABLES -F<br />
$IPTABLES -t nat -F<br />
$IPTABLES -X<br />
<br />
# Verbindungen fr Testzwecke am eigenen Rechner ber das Loopback. Einige<br />
# lokale Prozesse wie BIND verwenden das Loopback fr die interne Kommunikation<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
# Alle externen Verbindungsversuche und ander Merkwrdigkeiten werden hier<br />
# aufgefangen, im SYSLOG vermerkt und dann unsch„dlich gemacht<br />
$IPTABLES -N nirwana<br />
# $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP "<br />
# $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP "<br />
# $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP "<br />
# $IPTABLES -A nirwana -p TCP -j DROP<br />
<br />
# Kernelmodule masq und forwarding aktivieren (dyn. IP vom Provider)<br />
echo "1" > /proc/sys/net/ipv4/ip_dynaddr<br />
echo "1" > /proc/sys/net/ipv4/ip_forward<br />
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE<br />
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br />
<br />
# Für alle bestehenden ein- und ausgehenden Verbindungen. Dritte Regel<br />
# verhindert alle Verbindungen die Auáen kommen<br />
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
# $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana<br />
<br />
# Zugriff auf internen WEB-Server<br />
# $IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
<br />
# WinMx auf fred!<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 6699 -j DNAT --to 192.168.115.3:6699<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p udp --dport 6257 -j DNAT --to 192.168.115.3:6257<br />
<br />
# Ping ins Internet erlauben, eingehende werden von der NIRWANA-Rule abgefangen<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT<br />
<br />
# DNS<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d $DNS_EXT -m state --state NEW -j ACCEPT<br />
<br />
# HTTP<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT<br />
<br />
# FTP<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT<br />
<br />
# Alle Pakete, die bis hierher kommen nach nirwana<br />
$IPTABLES -A INPUT -j nirwana<br />
$IPTABLES -A OUTPUT -j nirwana<br />
$IPTABLES -A FORWARD -j nirwana<br />
--- snap<br />
<br />
<br />
__zukünfiges thema: lokales umlenken lokaler Port traffics. Z.b. aller verkehr aus dem Internet<br />
soll umgeleitet werden von "80" auf "8080".<br />
<br />
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT \<br />
--to-ports 8080<br />
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner \! --uid-owner 13 \<br />
-j REDIRECT --to-ports 8080<br />
<br />
Should work. I tested it on my own firewall, although I just tested it<br />
with netcat, not a real proxy.<br />
<br />
Locally generated packets don't go through the PREROUTING chain, so you<br />
have to manipulate them in OUTPUT, and you also have to differentiate<br />
them from the proxy's outgoing packets, hence the match against uid 13<br />
(proxy), taken from /etc/passwd.<br />
<br />
Unfortunately, you'll have to enable owner match support in your kernel<br />
for the second line to work, so you might have to recompile (it's one of<br />
the features labelled experimental).<br />
<br />
Jason<br />
<br />
__zukünfiges thema: Bandbreiten verteilung: siehe artikel in c't 01/03. Kommt aber<br />
sicher stablier ab "suse 8.2", das es kernel >2.4.19 erfordert.<br />
<br />
b) mit<br />
<br />
chmod 755 /root/myfirewall.sh<br />
<br />
macht man dieses Script ausführbar. Nun starten ...<br />
<br />
/root/myfirewall.sh<br />
<br />
c) Automatischer Start der Firewall beim booten ...<br />
<br />
Als root einloggen und folgende Zeilen eingeben:<br />
<br />
ln -s /root/myfirewall.sh /etc/init.d/rc2.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc3.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc5.d/S30myfirewall <RETURN><br />
<br />
fehlt noch: "K" links, myfirewall sollte echtes Script werden, das<br />
"start" und "stop" auswerten kann.<br />
<br />
d) Eintrag in /etc/rc.config ändern: IP_FORWARD="no" auf "yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
18) lokaler SMTP Forwarder<br />
<br />
* win32 outlook express clients sollen bei der email-Konten-Einstellung den<br />
Eintrag "smtp-Server:" von dem "wirklichen" Server auf die IP des Linux-Servers<br />
umstellen können. POP Eintrag MUSS bleiben.<br />
* Der Linux Server muss ausgehende Mails mit 100 MBit/s annehmen, und<br />
lokal zwischenspeichern.<br />
* Der smtp Dienst von Linux muss eine autentifizierung des Users verlangen.<br />
(wie bei heutigen smtps üblich, mit dem gleichen Konto/pwd wie für pop3)<br />
* Der Linux Server sollte als "relay" fungieren, und die mail somit völlig<br />
unangetastet lassen.<br />
* Durch die Identifizierung mit dem smtp "Konto-Name" muss der Linux Server<br />
ermitteln (in einer config-Datei) wer der wirkliche smtp Server im Internet<br />
ist. Der Server muss nun (in aller Ruhe) dafür sorgen dass die Mail zugestellt<br />
wird. Es sollte kein "fester" relay-smtp für "alle" email-Konten benutzt werden.<br />
<br />
<br />
---------------------------------------------------------------------------------------<br />
Aufsetzen des Mailservers postfix<br />
---------------------------------------------------------------------------------------<br />
<br />
Andre Wolff 24.4.2003<br />
<br />
---------------------------------------------------------------------------------------<br />
<br />
<br />
---------------<br />
1. Installation<br />
---------------<br />
<br />
Postfix wird bei der Version 8.2 standardmäßig installiert. Zur Überprüfung, ob postfix<br />
installiert und aktiv ist, wie folgt vorgehen:<br />
<br />
- Aufrufen des YAST2-Kontrollzentrum<br />
- Auswahl System<br />
- Den Runlevel-Editor starten<br />
- Auf "Runlevel-Eigenschaften..." klicken<br />
<br />
In der nun angezeigten Liste sollte ein Eintrag postfix vorhanden sein. Ist dieser als aktiv<br />
gekennzeichnet und für die Runlevels 3 und 5 konfiguriert, ist alles Ok. Sollte der Eintrag<br />
postfix nicht vorhanden sein, muß das Programm evtl. nachinstalliert werden:<br />
<br />
- Runlevel-Editor ggf. wieder beenden<br />
- Aus dem YAST2-Kontrollzentrum "Software" auswählen<br />
- Auswahl "Software installieren oder löschen"<br />
- Im Kombinationsfeld Filter den Eintrag "Suche" auswählen und im Suchfeld<br />
postfix eingeben und auf die Schaltfläche "Suche" klicken<br />
- in der Paketliste postfix auswählen und auf Schaltfläche "Akzeptieren" klicken<br />
<br />
----------------<br />
2. Konfiguration<br />
----------------<br />
<br />
Da SuSE versucht alle wichtigen Programme direkt aus YAST oder YAST2 heraus automatisch <br />
zu konfigurieren, wir aber das Mail-System unseren Bedürfnissen explizit anpassen wollen,<br />
muß die automatische Konfiguration für postfix abgeschaltet werden:<br />
<br />
- Im YAST2-Kontrollzentrum "System|Editor für /etc/sysconfig-Dateien" auswählen<br />
- Dann Auswahl "Network|Mail|General"<br />
- Ändern des Eintrages "MAIL_CREATE_CONFIG" von yes auf no und Sysconfig-Editor <br />
beenden<br />
<br />
<br />
Datei "main.cf" anpassen<br />
<br />
Datei /etc/postfix/main.cf mit einem Editor öffnen. Die Einträge wie folgt ändern<br />
oder das '#'-Zeichen entfernen :<br />
<br />
myhostname = smtp.hebu.de<br />
mydomain = hebu.de<br />
mynetworks = 192.168.100.0/24,127.0.0.0/8<br />
smtpd_banner = $myhostname ESMTP<br />
relay_domains = $mydestination, <dom1>, <dom2>, ...<br />
<br />
<br />
Anpassen des Firewall-Skriptes<br />
<br />
Eintrag in /root/fwdsl.start nach dem Eintrag "Samba aus dem internen Netz":<br />
<br />
#--------------------------------------------------------------------------------<br />
# E-Mail zum relayen<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
---------------------------------------------------------------------------------<br />
<br />
Folgende Erweiterung für DNS eintragen <br />
<br />
#--------------------------------------------------------------------------------<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p UDP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p TCP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
#--------------------------------------------------------------------------------<br />
<br />
<br />
Bei den E-Mail-Clients muß nun der neue SMTP-Server eingetragen werden.<br />
<br />
Bei Outlook und Outlook-Express unter "Extras|Konten" die Registerkarte "E-Mail" auswählen.<br />
Dann mit einem Doppelklick die Eigenschaften des gewünschte Mailkontos öffnen. Auf der<br />
Registerkarte Server bei "Postausgang (SMTP)" die IP-Adresse des neuen Mail-Relays<br />
eintragen.<br />
<br />
19) Bandbreiten Management<br />
<br />
Hier: Der eMail-Ausgangsstrom soll uns nicht die Bandbreite des Web-Shop mindern.<br />
<br />
* Noch nicht Teil dieses Bugets - aber bitte im Hinterkopf behalten: Durch Einträge<br />
mit Hilfe von iptabels kann ab Kernel 2.4.20 die bandbreite gewisser dienste<br />
vorbestimmt werden. Ich suche mal den Artikel in der c't. Wir starten, wenn<br />
Suse 8.2 bei mir vorliegt (ist vorbestellt!)<br />
<br />
20) lokaler DNS Forwarder<br />
<br />
* DNS-Adressen wechseln ganz im Gegensatz zu HTML-Inhalten nicht so<br />
häufig. Deshalb will ich keinen vollständigen Proxy einsetzten. Aber ich<br />
will nicht, dass jede (wiederholte) DNS Anfrage ins INternet rausgepustet<br />
wird! Bis sich alle Datenbanken weltweit angeglichen haben kann schon mal<br />
ein halber Tag vergehen, also können wir auch guten gewissens DNS anfragen<br />
cache, etwa mit einer Haltbarkeit der cache inhalte von 10 min ?!. Deshalb<br />
ist ein Caching unbedenklich, und auch be-sonders lohnend, da einige UDP/TCP<br />
Verbindungsaufbau-Vorgänge lokal abgewickelt werden können!<br />
* Die Idee liegt nahe, hey man könnte den Linux-Server doch auch als<br />
Name-Server (DNS-relay) einsetzen. Egal welcher Provider dann angewählt ist<br />
(=welcher nameserver auch immer angegeben werden muss) der lokale DNS-Server<br />
leitet alle Anfragen immer an die richtige Adresse (nämlich an den Nameserver<br />
draussen im INternet) weiter. Wie die jeweiligen namenserver heissen steht ja<br />
in der /etc/resolv.conf. Die Clients müssen nix mehr umstellen (im Feld<br />
Nameserver)! Gateway UND Nameserver haben dann die gleiche Zieladresse.<br />
Adresse<br />
<br />
Zuerst werden die Pakete [bind9] aus der Serie [n] sowie die [bind9-utils] <br />
installiert und in Yast2 im "Runlevel-Editor" - "Runlevel eigenschaften" <br />
Named auf "start" gesetzt.<br />
<br />
Danach in der Datei "/etc/named.conf" folgende, mit den Pfeilen markierten <br />
Anpassungen eintragen:<br />
<br />
-------------------------------------------------------------------------<br />
<br />
options {<br />
<br />
-> auth-nxdomain no;<br />
<br />
# The directory statement defines the name server's<br />
# working directory<br />
<br />
directory "/var/named";<br />
# The forwarders record contains a list of servers to<br />
# which queries should be forwarded. Enable this line and<br />
# modify the IP-address to your provider's name server.<br />
# Up to three servers may be listed.<br />
<br />
# forwarders { 10.11.12.13; 10.11.12.14; };<br />
<br />
-> forwarders { 194.25.2.129; 212.185.248.148; };<br />
<br />
# Enable the next entry to prefer usage of the name<br />
# server declared in the forwarders section.<br />
<br />
-> forward first;<br />
<br />
# The listen-on record contains a list of local network<br />
# interfaces to listen on. Optionally the port can be<br />
# specified. Default is to listen on all interfaces found<br />
# on your system. The default port is 53.<br />
<br />
# listen-on port 53 { 127.0.0.1; };<br />
<br />
# The listen-on-v6 record enables or disables listening<br />
# on IPV6 interfaces. Allowed values are 'any' and 'none'<br />
# or a list of addresses. IPv6 can only be used with<br />
# kernel 2.4 in this release.<br />
<br />
listen-on-v6 { any; };<br />
<br />
# The next three statements may be needed if a firewall<br />
# stands between the local server and the internet.<br />
<br />
# query-source address * port 53;<br />
# transfer-source * port 53;<br />
# notify-source * port 53;<br />
<br />
# The allow-query record contains a list of networks or<br />
# IP-addresses to accept and deny queries from. The<br />
# default is to allow queries from all hosts.<br />
<br />
# allow-query { 127.0.0.1; };<br />
<br />
# If notify is set to yes (default), notify messages are<br />
# sent to other name servers when the the zone data is<br />
# changed. Instead of setting a global 'notify' statement<br />
# in the 'options' section, a separate 'notify' can be<br />
# added to each zone definition.<br />
<br />
notify no;<br />
};<br />
<br />
# The following three zone definitions don't need any modification.<br />
# The first one defines localhost while the second defines the<br />
# reverse lookup for localhost. The last zone "." is the<br />
# definition of the root name servers.<br />
<br />
zone "localhost" in {<br />
type master;<br />
file "localhost.zone";<br />
};<br />
<br />
zone "0.0.127.in-addr.arpa" in {<br />
type master;<br />
file "127.0.0.zone";<br />
};<br />
<br />
zone "." in {<br />
type hint;<br />
file "root.hint";<br />
};<br />
<br />
# You can insert further zone records for your own domains below.<br />
---------------------------------------------------------------------<br />
<br />
<br />
<br />
Jetzt ist noch in der Datei "/etc/resolv.conf" anzugeben, dass man zur <br />
Namensauflösung den lokalen DNS-Server benutzt.<br />
<br />
------------------------------------------------------------------------<br />
<br />
search<br />
nameserver 127.0.0.1<br />
<br />
------------------------------------------------------------------------<br />
<br />
<br />
Damit die "/etc/resolv.conf" nicht bei jeder Einwahl wieder überschrieben <br />
wird muss der Parameter "MODIFY_RESOLV_CONF_DYNAMICALLY" in der Datei <br />
"/etc/sysconfig/network/config" auf "no" gesetzt werden. Um aber bei Änderungen<br />
an der DNS Konfiguration des Providers nicht vor der Tür zu stehen sollte in <br />
der gleichen Datei die Option "MODIFY_NAMED_CONF_DYNAMICALLY" auf "yes" gesetzt<br />
werden. Dadurch werden die "forwarders" in der"/etc/named.conf" bei jeder <br />
Einwahl aktualisiert.<br />
<br />
<br />
Nun müssen die neuen Gegebenheiten der Firewall mitgeteilt werden. Folgende <br />
Zeilen werden im Script "/root/fwdsl.start" nach der Sektion <br />
<br />
"# E-Mail zum relayen" <br />
<br />
hinzugefügt.<br />
<br />
--------------------------------------------------------------------------------<br />
# DNS-Forwarding<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
------------------------------------------------------------------------<br />
<br />
<br />
Zum Abschluß werden auf den Windows-Clients in den Netzwerkeinstellungen bei den<br />
TCP/IP-Eigenschaften unter Gateway und DNS die IP-Adresse des LINUX-Servers<br />
angegeben.<br />
<br />
21) Fernwartung einiger Rechner im Netz von aussen via InterNet via VNC<br />
<br />
(beide Systeme (Zielsystem & Remotesystem) müssen eigentlich nur im InterNet<br />
sein! Der eine z.B. via ISDN, der andere z.B. via DSL, super natürlich: beide via DSL)<br />
<br />
auf jedem Win32-Ziel-Rechner installiert man den VNC-Server:<br />
(freier download unter www.tightvnc.com) Das myfirewall-Script muss<br />
für je einen Rechner um eine Script-Zeile erweitert werden.<br />
<br />
Es gibt auch einen Viewer(Client) für den MAC<br />
http://sourceforge.net/projects/cotvnc/<br />
<br />
# VNC für Brutus, Displaynummer=0 oder nix angeben<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
# VNC für Fred, Displaynummer=1<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5901 -j DNAT --to 192.168.115.3:5900<br />
# VNC für joe<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5902 -j DNAT --to 192.168.115.8:5900<br />
# usw. ...<br />
<br />
die aktuelle IP (die man "daheim" angeben muss) ermittelt man aus der gepachten IP-<br />
Adresse im InterNet (Rechter Mausklick auf die HomePage, Quelltext anzeigen, IP-Adresse<br />
rauskopieren). Beim einloggen gibt man neben der (aktuellen) IP die Displaynummer an, also<br />
217.217.20.118:1 (für z.B. fred) und das passwort wie immer. ACHTUNG: immer auf beiden<br />
Seiten 16 bit farben (= High-Color) verwenden! Den Rechner, den man fernwarten will:<br />
sollte ganz ganz schnell sein (ich meine das ernst), und ne super schnelle 2D Grafikkarte<br />
haben (z.B. Matrox G450). Der Rechner mit dem man fernwarten will: Der dreht leider eigentlich<br />
(fast) immer Däumchen, der kann ruhig alt und schwach sein!!! Hier sollte nur eine gute Anbindung<br />
ans Internet sichergestellt werden! Hilfreich: etwas größere Auslösung wie das Ziel-System, aber<br />
auch High-Color! Wichtig: Passwörter möglichst >8 Zeichen.<br />
<br />
VNC - Remote Control des Servers mit Hilfe von z.B. einer Windows-Maschine.<br />
Für Leute, die nicht in den Serverraum laufen möchten, oder kein Geld mehr<br />
für einen Monitor am Linux-Rechner haben, weil das Betriebssystem so teuer war ;-)<br />
<br />
vnc-paket installieren (mit Yast 2)<br />
Terminal Session starten<br />
vncserver eingeben, pwd vergeben<br />
von irgendeiner anderen Maschine einloggen:<br />
192.168.115.72:1<br />
-pwd eingeben<br />
Es muss ein Terminal-Fenster erscheinen, dort kan man nun<br />
kde<br />
eingeben wenn man eine kde-session starten will...<br />
<br />
Suse 7.x<br />
========<br />
<br />
Damit der VNC- Server beim booten allein gestartet wird, genügt ein Eintrag in /etc/rc.d/rc.<br />
Die Zeile, die ganz unten (Suse 8.0: vor "exit 0") ergänzt werden muß lautet:<br />
<br />
su -l root -c "vncserver -cc 3 :1 -alwaysshared"<br />
<br />
Suse 8.0<br />
========<br />
<br />
Suse 8.1<br />
========<br />
<br />
** Obige Methode läuft nicht mehr unter Suse 8.1.<br />
<br />
Bemerkung: Es war mal bei 8.0 notwendig an einer Maschine, die den vncserver nicht<br />
mehr allein startet, wieder keyboard und monitor anzuschliesen, um sich "echt"<br />
(in kde) einzuloggen, danach lief wieder alles super.<br />
<br />
Suse 8.2<br />
========<br />
<br />
YaST2 / System / Editor für /etc/sysconfig-Dateien / Desktop / Display Manager:<br />
Die Variable DisplayManager_Remote_Access auf yes setzen.<br />
Auf der Konsole rcxdm restart eingeben.<br />
YaST2 / Netzwerkdienste / Netzwerkdienste (inetd) aufmachen und die 4<br />
Einträge mit "VNC" im Namen aktivieren.<br />
Andere Computer (auch Windows-Maschinen) können nun über den Browser den<br />
VNC-Server ansprechen. Dazu benötigt er Java.<br />
Die URL lautet: http://Vncserver-Rechner:5810.<br />
<br />
Wer auf der Client-Seite nicht im Webbrowser arbeiten will, benutzt den VNCViewer.<br />
Für diese Anwendung lautet nun der angefragte Hostname "Vncserver-Rechner:10"<br />
oder "Vncserver-Rechner:11", auch wieder mit IP-Adresse des Zielsystems möglich,<br />
z.B. 192.168.115.93:10.<br />
<br />
25) WIN32-Clients nutzen die Zeit des Linux-Rechner<br />
<br />
net time \\<IP-Adresse des Linux Servers><br />
<br />
ev. kleiner Batch schreiben, der beim Login immer ausgeführt<br />
wird.<br />
<br />
26) WIN32- Clients einrichten<br />
<br />
Windows 2000(W2K) XP<br />
<br />
a) Standard-Gateway (wegen Internetnutzung)<br />
<br />
Start->Einstellungen(Systemsteuerung)->Netzwerk- und DFÜ-Verbindungen->LAN Verbindung-><br />
Eigensxhaften->Internetverbindungen(TCP/IP)->Eigenschaften-><br />
Standardgateway: IP des Servers<br />
Bevorzugter DNS-Server: IP des Servers<br />
<br />
b) WINS Support einschalten (wegen keepcon-Namensauflösung)<br />
<br />
Start->Systemsteuerung->Netzwerkverbindungen->lan-verbindung(rechter<br />
mausklick)->eigenschaften->internetprotokoll(tcp/ip)->Eigentschaften->Erweit<br />
ert->WINS->Hinzufügen->IP des Servers eintragen.->ok->ok->schliessen.<br />
<br />
Unverträglichkeit mit AVM KEN!<br />
<br />
AVM KEN Klient "InterNet" Installation auf dem Arbeitsplatz, der via Linux ins Internet will: nicht erlaubt<br />
AVM KEN Klient irgendwo auf anderen Arbeitsplatz im selben Netz: erlaubt<br />
AVM KEN Server irgendwo im Netz: erlaubt<br />
<br />
«fehlt(2)»:<br />
AVM KEN! Klient als reines "CAPI - Sharing" das müsste doch gehen? Oder?<br />
-> prüfen! (manche wollen weiterhin über den KEN!-Server faxen!)<br />
<br />
27) Eine andere Linux-Maschine will ins Internet<br />
<br />
1) YAST2 ->network ->routing ->Standart-Gateway=IP des Servers<br />
2) YAST2 ->advanced network ->DNS ->IP des Servers<br />
<br />
28) Kernel Updates<br />
(es soll niemand mehr sagen das sei schwierig!)<br />
<br />
nur für Suse 7.2 notwendig, (HISTORISCH - NICHT NOTWENDIG AB 7.3):<br />
<br />
Einspielen des Kernels 2.4.7<br />
<br />
Dies ist notwendig, da masquerading irgend einen Bug hat. Auch hat sich das<br />
einspielen als sehr heilsam für das ganze System herausgestellt. (Auch TDSL!)<br />
<br />
downloaden des Kernels (als rpm) von<br />
ftp.suse.com/pub/suse/i386/update/7.2/kernel/2.4.7/k_deflt-2.4.7-25.i386.rmp<br />
Terminal-Fenster starten, eingeben<br />
YaST <ENTER><br />
"paketverwaltung (update,install,auf..)"<br />
Paket einspielen<br />
Quelle (nun den obigen rpm lokalisieren)<br />
markieren mit Leertaste, damit installiert wird<br />
<F10> zum Installieren drücken<br />
YaST beenden, ein cleanup wird durchgeführt<br />
mk_initrd <ENTER><br />
lilo <ENTER><br />
-> system neu booten!!!<br />
<br />
29) Win32-Kiste: Der Apache-Web Server<br />
<br />
dieses Kapitel gehört eigentlich nicht hier herein - aber es hat mit dem<br />
Routing zu tun, so dass es doch die Linux Installation überhaupt erst ver-<br />
ständlich macht! Anforderung: Kommt eine http:/ Anfrage aus dem Internet<br />
auf den Linux Rechner zu (auf Port 80) muss er diese Anfrage auf einen<br />
anderen Rechner im Netz routen (sorry auf eine win32-Kiste). Dieser hat eine<br />
feste IP-Adresse in lokalen Netz. Es ist ein Windows 2000 Rechner mit Apache<br />
Web Server installiert. Die Anwort geht wieder an den Linux, und dann raus<br />
ins Internet. Weil wir eine Suchmaschine (in form einer ISAPI-DLL) nur für<br />
win32 haben, (und dem IIS von Microsoft nicht (mehr) trauen) wird auf win32<br />
der Apache Web-Server installiert. Der kann wunderbar ISAPI-Dlls ausführen!<br />
In der Anlage findet man die Apache-Konfiguration: httpd.conf (Die bestehende<br />
Konfiguration sollte nicht überschrieben werden, sondern nur geänderte Punkte<br />
eintragen) Die geänderten Punkte sind:<br />
<br />
a) von ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options none<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
zu ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options ExecCGI<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
b) von ...<br />
<br />
# To use CGI scripts:<br />
#<br />
# AddHandler cgi-script .cgi<br />
<br />
zu ...<br />
<br />
# To use CGI scripts:<br />
#<br />
<br />
AddHandler cgi-script .cgi<br />
AddHandler isapi-isa .dll<br />
<br />
Ich hatte den apache 1.3.22 installiert!<br />
<br />
http://httpd.apache.org/dist/httpd/binaries/win32/apache_1.3.22-win32-x86.exe<br />
<br />
in die .\cgi-bin muss die HebuWeb.dll (Delphi Open-Source Projekt auf www.cargobay.de)<br />
kopiert werden. Die Inhalte des Suchverzeichnisses müssen mal von "williams" beim<br />
Hebu-Musikverlage gesichert werden. Die DLL enthällt fest Pfadangaben für die<br />
"Datenbankdateien" diese sollte man noch durch eine ini-Datei festlegen können.<br />
Der feste Pfad ist im Moment noch "C:\HeBu\"<br />
<br />
«fehlt(2)»: HebuWeb.dll durch Ini-Datei configuerierbar machen<br />
<br />
30) Win32-Kiste: AutoStart, AutoLogin von Windows 2000,XP<br />
<br />
Nach einem Stromausfall sollten natürlich alle Systeme selber wieder hochfahren.<br />
Mit einem "Login"-Schirm am nächsten morgen ist natürlich niemand geholfen.<br />
<br />
1a) Automatischer Benutzer-Login<br />
<br />
Zunächst braucht man einen Benutzer mit einem Passwort. Der manuelle Login sollte<br />
natürlich funktionieren. Nun<br />
<br />
mit Start->Ausführen->regedit folgende Einträge anwählen<br />
<br />
"HKEY_LOCAL_MACHINE" -> "SOFTWARE" -> "Microsoft" -><br />
"Windows NT" -> "CurrentVersion" -> "Winlogon"<br />
<br />
AutoAdminLogon:REG_SZ:1<br />
DefaultPassword:REG_SZ:<das PWD><br />
DefaultUserName:REG_SZ:<der Benutzername><br />
<br />
Es kann sein dass es den "DefaultPassword" - "Wert" nicht gibt, dann mit<br />
"Neu->Zeichenfolge" anlegen (Typ ist String, wie alle Werte).<br />
<br />
1b) Nur XP<br />
<br />
Art der Anmeldung auf "klassisch" ändern. Start->Systemsteuerung->Benutzer<br />
verwalten->Art der Anmeldung->obere Option (Willkommensschirm verwenden)-><br />
deaktivieren!<br />
<br />
2) Automatischer Start von RouteIp UND<br />
Outlook Express<br />
<br />
rechter Mausklick auf Start->Öffnen(alle Benutzer)->Programme->Autostart<br />
<br />
in diesen Ordner eine Verknüpfung mit RouteIP (kann aus dem Menü mit rechtem<br />
Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
in diesen Ordner eine Verknüpfung mit Outlook-Express (kann aus dem Menü mit<br />
rechtem Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
(kleiner Exkurs: Warum Outlook: Es dient uns als eMail Empfänger auf der<br />
Apache Server Station. Outlook sollte auf 1 Minütiges Abfragen der Mail<br />
eingestellt sein, so dass immer eine aufrechterhaltung der Verbindung<br />
gewährt bleibt!)<br />
<br />
3) Automatischer Start von VNCViewer, Apache<br />
<br />
dies sollte automatisch erfolgen, wenn beide Programme als Windows 2000 Dienst<br />
installiert wurden. -> Aber lieber testen!<br />
<br />
31) keepcon, RouteIP.exe, ein kleiner Einstieg<br />
<br />
Dieses linux / win32 program ermittelt die aktuelle IP Adresse wie unser Server im<br />
Moment im Internet sichtbar ist, und patched die html-Seiten drausen<br />
im InterNet, um die aktuelle IP Adresse den surfern draussen unterzujubeln.<br />
Mehr Infos über RouteIP im InterNet www.cargobay.de**<br />
Mehr Infos über keepcon im InterNet www.cargobay.de<br />
<br />
** RouteIP wird langfristig durch keepcon ersetzt.<br />
keepcon siehe "http://www.cargobay.de/keepcon.html"<br />
<br />
32) Die Win32-Clients wollen Plattenplatz auf dem Linux nutzen ...<br />
<br />
Schritt 0)<br />
<br />
(Netzwerkkarte und Verkabelung sind Grundvoraussetzungen, darauf will<br />
und kann ich nicht eingehen)<br />
<br />
Schritt 1) (mache dich sichtbar)<br />
<br />
freie IP-Adresse des lokalen Adressraumes (192.168.100.1 .. 192.168.100.254)<br />
ausdenken, DOKUMENTIEREN in einem Netzwerkplan <br />
und unter Start->Einstellungen->Systemsteuerung->Netzwerk->Protokolle->TCP/IP-><br />
Eigenschaften->feste IP->Adresse eingeben (Maske ist immer 255.255.255.0)<br />
<br />
Schritt 2) (bist du sichtbar?)<br />
<br />
starte eine DOS-Box (Start->Zubehör->Eingabeaufforderung) und pinge den Samba-<br />
Arbeitgeber im Netz an.<br />
<br />
ping 192.168.100.72<br />
<br />
bevor hier keine Antwort kommt, braucht man gar nicht weitermachen!<br />
Nun einen Laufwerksbuchstaben auf den samba-Share mappen:<br />
Mit dem Windows-Explorer: extras->Netzlaufwerk verbinden<br />
<br />
Laufwerk: G:\ // Dein neues (Netz-)Laufwerk<br />
Ordner: \\192.168.115.72\user // (geht also auch ohne Namensauflösungsproblematik)<br />
<br />
Tip Netzwerkumgebung: Erwarte niemals, dass in der win32 - "netzwerkumgebung"<br />
der Linux-Rechner sichtbar ist, den Du gerade frisch eingebunden<br />
hast! Schaue erst in der "netzwerkumgebung" nach, frühestens<br />
30 min nachdem eh schon alles geht!<br />
<br />
34) samba & firewall & Windows<br />
<br />
Mit samba 2.2.5 und Windows XP Professional Service Pack 1 machten wir folgende<br />
Beobachtung:<br />
<br />
Windows XP Professional zeigt nach eigenem Neustart den samba-share<br />
als "gestört" an (rotes kleines "X" im Symbol). Der erste Zugriff<br />
erfolgt im Windows Explorer dann auch nach eine langen Denkpause.<br />
<br />
* Umstellen von "security=share" auf "security=user" im smb.conf<br />
brachte nichts! (incl. der ganzen Arbeit, die damit zusammenhängt<br />
(User anlegen)).<br />
* Umstellen der "Richtlinien" wie es die Newsgroups vorgeben brachte<br />
auch nichts!<br />
<br />
Start->Ausführen->gpedit.msc<br />
<br />
Computerkonfig->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlininen-><br />
Sicherheitsoptionen<br />
<br />
Microsoft-Netzwerk (client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden<br />
<br />
Idee: ev. alles auf einen echten samba PDC umstellen!<br />
todo: gpedit.msc mal beschreiben!<br />
<br />
Die Lösung: der Firewall auf dem samba Server sperrte den Port 445. Dieser ist<br />
jedoch für die Kommunikation notwendig. Hier die Gesamtbeschreibung<br />
die ich mit Hilfe von Walter Mautner erstellt habe.<br />
<br />
> Eventuell noch Port 445 dazugeben.<br />
<br />
Walter! Das war die Lösung (freu), Win XP versucht scheinbar vorrangig am<br />
Port 445 rumzuposaunen. Nur wenn ein hartnäckiger User auf den Windows<br />
Explorer einschlägt springt er auf den Port 137ff um!<br />
<br />
<br />
Port 53=DNS<br />
Port 1900=<br />
XP's Windows Messenger is attempting to communicate to an Internet host. To block Windows Messenger's broadcasts:<br />
Hive: HKEY_LOCAL_MACHINE<br />
Key: Software\Microsoft\DirectPlayNATHelp\DPNHUPnP<br />
Name: UPnPMode<br />
Type: REG_DWORD<br />
Value: 2 disabled<br />
With UPnPMode=2, Universal Plug and Play Network Address Translation (NAT) traversal discovery does not occur.<br />
<br />
(newsgroupbeitrag) "<br />
Unser Liebling (=Linux-Server) fungiert nicht nur als Samba-Sklave sondern<br />
auch als DSL-Router. Somit wurde flux eine firewall installiert (auch<br />
selbstgemacht via iptables).<br />
Weil wir gerne alles kontrollieren wirkt diese auch auf das intene Netz:<br />
Pflichtbewust wurden jedoch die smb Ports 136,137,138,445 geöffnet, damit<br />
die Clients mit samba sprechen können.<br />
<br />
Alles ging -- ausser bei Windows XP Prof Clients, diese hatten beim ersten<br />
Zugriff auf einen Share z.B. im Explorer doppelklick auf den<br />
Laufwerksbuchstaben eine "Wartezeit" von ca. 8 Sekunden (hey, das ist<br />
verdammt lange). Danach war alles in Butter. Bis zu dem Moment, wo etwa 15<br />
Minuten kein Zugriff auf diesen Share auf diesem Client erfolgte (oder<br />
sofort nach einem Neustart des Clients). Danach wieder diese Denkpause.<br />
<br />
Die Lösung war: XP Prof SP1 versucht eine Kontaktaufnahme mit dem<br />
Samba-Server auf Port 80 (in Worten !achtzig!). Wir hatten das als "Angriff"<br />
aus dem internen Netz gewertet und geDROPed. (Auf port 80 haben wir keinen<br />
dienst auf unserem Server!). Bis XP gemerkt hatte, dass auf port 80 nix<br />
geht, machte es einen Kurzschlaf (eben diese 8 Sekunden). Jetzt, nachdem wir<br />
(grmpf!) halt Port 80 geöffnet haben geht alles ohne Zeitverzögerung.<br />
Unnötig zu sagen das dieses Verhalten ausschließlich XP hat!<br />
"<br />
<br />
(newsgroupbeitrag) "<br />
einen DROP zu machen war wirklich gemein. Zumal man ja im internen<br />
Netz nicht unbedingt "Paket-Antwort-Bandbreite" sparen muss.<br />
<br />
http://www.pl-forum.de/t_netzwerk/iptables.html<br />
<br />
[ ...<br />
<br />
* DROP: Paket vernichten, keine Benachrichtigung des Absenders.<br />
<br />
* REJECT: Ähnlich DROP wird das Paket abgewiesen, jedoch erhält der Absender<br />
eine Antwort auf das Paket.<br />
<br />
... ]<br />
<br />
-> bleibt die Frage? Was will XP am Port 80?<br />
"<br />
<br />
Beim Verbindungsversuch vom Windows XP Explorer zum Samba-Server ist mir aufgefallen, daß der XP-Client über den Port<br />
1039 bzw 1040 eine Verbindung zum Port 80 des Linux-Servers aufzubauen versucht (sichtbar gemacht mit<br />
tail -f /var/log/messages auf der Linux-Box. Hier werden die Drops, die der Kernel verursacht, protokolliert). Nach<br />
Öffnen des Ports 80 für Pakete vom internen Netz gab es keine Wartezeiten beim Verbindungsaufbau mehr.<br />
<br />
Im folgenden ein Auszug aus dem aktuellen Firewall-Skript. Dabei sind die letzten beiden Zeilen von Bedeutung.<br />
<br />
Das passende firewall Script Auszug.<br />
<br />
<br />
# --------------------------------------------------------------------------------<br />
# Samba aus dem internen Netz<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 135 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 139 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 139 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 445 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# XP-Explorer versucht Verbindung von HIGH_PORT auf port 80 des Linux-Servers! Warum?!?<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 80 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# --------------------------------------------------------------------------------<br />
<br />
Die passenden Ports in der Zusammenfassung<br />
<br />
netbios-ns 137/udp # NETBIOS Name Service<br />
netbios-dgm 138/udp # NETBIOS Datagram Service<br />
netbios-ssn 139/tcp # NETBIOS Session Service<br />
microsoft-ds 445/udp # Direct-Hosted Service<br />
microsoft-ds 445/tcp # Direct-Hosted Service<br />
http 80/tcp www www-http # World Wide Web<br />
# nur bei XP Clients notwendig<br />
<br />
---------------------------------------------------------<br />
* ES FOLGT DER REVISION INFO TEIL IM FORMAT<br />
* Rev x.xxx ([ "vonDatum" "-" ] "bisDatum") <DeinName><br />
---------------------------------------------------------<br />
<br />
35) ATX-Netzteile<br />
<br />
Das beschriebene Linux-System wird überwiegend als Server benutzt. Es muss<br />
sichergestellt sein, dass nach einem Stromausfall das System selbst wieder<br />
hochfährt.<br />
<br />
* In der Regel kann man bei modernen ATX - Boards im BIOS einstellen was<br />
im "Power Fail" Fall, gemacht werden soll. "Always ON" würde hier die<br />
richtige Einstellung lauten.<br />
<br />
* Bei machen Boards ist diese Einstellung nicht vorhanden (K7SOM) oder<br />
sie funktioniert nicht (div. Soltek Boards). In diesem Fall ist durch<br />
einen einfachen Eingriff diese Funktion sichergestellt.<br />
<br />
1) Das ATX-Netzteil besitzt einen breiten Spannungsstecker, der im Main-<br />
board steckt. Hier ist das !grüne Kabel! (von dem es nur eines gibt) ca.<br />
1 cm oberhalb des Steckers abzuschneiden (1cm deshalb, damit man ggf.<br />
die alte Funktion wieder herstellen kan).<br />
2) Von einem unbenutzen Stromstecker ist eines der mittleren schwarzen<br />
Kabel nahe am Stecker abzuscheiden.<br />
3) Beide Kabel nun durch alle Kabelbinder hindurch zurückziehen damit sie<br />
ab dem Netzteilaustritt freiliegen. Nun beide abisolieren, und die<br />
blanken Ende "verzwirblen". Mit Isolierband die blanke Stelle isolieren<br />
und das neue Kabelpaar schön an vorhandene Kabelstränge mit Kabelbinder<br />
fixieren.<br />
<br />
Effekt: Das ATX-Netzteil startet IMMER in den "Full Power" Modus egal, ob<br />
dies durch das Board signalisiert wird oder nicht.<br />
<br />
36) USB Devices (Memory, Flash, MP3 Player) unter Linux<br />
<br />
Nach reinstecken des SONY Microfault 32 MByte Sticks ging erst mal nix. Ich sah zwar, dass das LED<br />
des Memory Sticks vertraut blinkte. Doch bekam ich keinen Zugriff. Ich musste<br />
<br />
md /root/usb<br />
mount -t vfat /dev/sda /root/usb<br />
<br />
eingeben. Sofort waren die Dateien in /root/usb/ sichtbar. Ich speicherte was drauf mit <br />
"cp". Zog den Stick raus: Wieder eine Enttäuschung: auf dem Win XP war die Datei nicht<br />
sichtbar. Also wurde die Datei nicht wirklich geschrieben (HEUL!)? Also versuchte<br />
ich vor dem Rausziehen beim nächsten mal unzumounten.<br />
<br />
umount /dev/sda<br />
<br />
(soviel zu Thema hotplug!) OK, das ging dann. Mein Wunsch war, beim Einsetzen des<br />
USB-Sticks das Lied darauf (.mp3) abzuspielen. In meiner Naivität plazierte ich einfach<br />
ein Script Namens /etc/hotplug/usb/usbfs. Es passierte natürlich nichts. grmpf!<br />
<br />
In fstab habe ich aber eine Zeile eingetragen, die mir das USB-Device auf den Desktop<br />
gezaubert hat (was mir nix bringt!). Mein Spieltrieb animierte mich durch umount das<br />
device auszuhängen. Das Desktop Symbol blieb - es lies sich auch fehlerfrei anklicken,<br />
was einen Mount verursachte!<br />
<br />
Also ein Script via hotplug zu starten wenn der usb reingeteckt wird gebe ich<br />
hiermit auf!</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux.xntpd&diff=4461Linux.xntpd2004-09-14T20:01:52Z<p>192.168.115.95: </p>
<hr />
<div>Der Linux Server gibt die Zeit vor<br />
<br />
dazu wird das Paket xntp verwendet. Wir vertrauen auf die Atom-Uhr der<br />
Physikalisch-Technischen Bundesanstalt in Braunschweig, welche die<br />
die amtliche Zeit in Deutschland vorschreibt. Siehe auch:<br />
<br />
http://www.ptb.de/de/org/q/q4/q42/ntp/ntp_main.htm<br />
http://www.zvon.org/tmRFC/RFC2030/Output/chapter4.html<br />
http://www.linux-magazin.de/Artikel/ausgabe/2000/12/Timeserver/Timeserver.html<br />
<br />
* Paket xntp installieren<br />
* Datei /etc/ntp.conf editieren, und die 2 Zeilen:<br />
<br />
server ptbtime1.ptb.de<br />
server ptbtime2.ptb.de<br />
<br />
im entsprechenden Bereich hinzufügen.<br />
* Runlevel auf 3 & 5 setzen<br />
<br />
erzwingen einer sofortigen Korrektur:<br />
<br />
rcxntpd force-reload<br />
<br />
musst du mal die Uhrzeit per Hand einstellen, muss du dummerweise erstmal<br />
das aktuelle datum ermittlen:<br />
<br />
date <ENTER><br />
<br />
nun erfolgt die Eingabe in folgendem Format<br />
<br />
date MMTThhmm[JJJJ][.ss] <ENTER></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux&diff=4453Linux2004-09-14T20:01:34Z<p>192.168.115.95: </p>
<hr />
<div>[[Linux.rsync|rsync als Backuplösung]]<br><br />
[[Linux.xntpd|immer genaue Uhrzeit (für alle)]]<br><br />
[[Linux.Grundlagen|Grundlagen]]<br><br />
<br><br />
1) Worum geht es<br />
<br />
* WARNUNG: Dieses HOWTO enthält Erfahrungsberichte und/oder Infos ohne<br />
jeglichen Anspruch auf Korrektheit. Alles ist hoch experimentell und nicht<br />
ausgiebig getestet. Es handelt sich eigentlich um ein lyrisches Werk freier<br />
Geister, einen Bezug zur Relalität (insbesondere ein Zusammenhang mit der<br />
Computertechnik) darf niemals vermutet werden. Eine Art Garantieanspruch aus<br />
diesen freien Gedankenexplosioen abzuleiten grenzt an Wahnsinn.<br />
<br />
* Wir wollen mit diesem Dokument das Neuaufsetzen eines Suse Workgroup-Servers<br />
beschreiben. Nach einem Crash soll es z.B. Alexander (vom HeBu-Musikverlag)<br />
möglich sein, ohne viel Nachdenken einen neuen suse-linux-server aufzusetzen!<br />
* Die Sache ist recht umfangreich, mal in Kurzform: Alle wollen über linux<br />
ins InterNet. Es läuft dort der SQL Server firebird. Alle (win32&MACs) nutzen<br />
Plattenplatz (via samba,netatalk). Der Port 80 soll auf einen Win32 Rechner<br />
geroutet werden.<br />
* ehm nochwas; frage niemals: "was sind server?"<br />
* Mitarbeiter:<br />
<br />
Andre Wolff , Entwickler<br />
Thilo Frey , Entwickler<br />
Andreas Filsinger , Entwickler (Projektleiter)<br />
<br />
2) Bitte mitarbeiten!<br />
<br />
MITARBEIT: Dem Paket liegt eine .rev Datei bei - es handelt dabei um den<br />
Source-Code dieses Dokumentes, das Dir gerade in der html-Form vorliegt.<br />
Es ist eine einfache .txt Datei, dummerweise mit der Dateiendung .rev.<br />
Diese Textdatei einfach abändern/erweitern (am besten mit notepad,write) und an<br />
andreas@filsinger.de mailen. Der macht dann ne neue Release draus. Nicht<br />
vergessen im unten Dokumentteil eine neue Revnummer zu beginnen (+Datum) und<br />
die Änderungen kurz zu dokumentieren.<br />
<br />
3) Erster (Kalt-)Start<br />
Rechner an, gleich ins System-Bios gehen, dazu <Entf> drücken,<br />
wenn die "Drives"-Erkennung läuft. Im BIOS nun<br />
->Advanced?!->Boot Device 0-><br />
von "HDD-0" auf "CDROM" umstellen,<br />
damit der Rechner von der DVD bootet. (das geht bei jedem BIOS anders)<br />
->Suse 7.3 DVD rein<br />
(oder 8.0, sorry dann alles bissel anders: aber besser!!)<br />
->Save and exit<br />
...Rechner bootet neu, und macht den ersten (Warm-)Start<br />
<br />
4) Suse DVD bootet ...<br />
<br />
Rechner erkennt, dass er von der DVD booten kann<br />
<br />
7.3<br />
"Manual Installation" bestätigen<br />
Bildschirm (farbe/mono)<br />
Tastaturbelegung Deutsch<br />
Installation/System starten<br />
Installation/Update starten<br />
Quellmedium CD-ROM auswählen<br />
YAST-Version grafisch wählen<br />
Laden aller (USB) Treiber bestätigen<br />
Installationssprache Deutsch<br />
Tastaturlayout "deutsch" und Zeitzone "Europa/Deutschland" wählen<br />
Installationsmodus "Neuinstallation" wählen<br />
Vorgeschlagene Partition ändern (Muss wegen Reiserfs gemacht werden)<br />
<br />
8.0<br />
Installation / deutsch / Neuinstallation<br />
<br />
8.2<br />
Manuelle Installation<br />
<br />
5) Festplatte einrichten:<br />
Also wir machen 3 Partitionen:<br />
<br />
"boot" kleine Mini-Partition: damit das booten immer klappt (ext2 oder ext3-Dateisystem)<br />
<br />
"swap" mittlere Partition: da werden RAM Speicherbereiche rausgeschrieben,<br />
um Platz zu machen für wichtigere Daten.<br />
Grösse= RAM * 2 oder mehr, aber immer größer als das RAM!<br />
"linux" eigentlicher Betriebssystem Bereich und Anwender und<br />
Benutzerbereich<br />
<br />
Bei "Festplatte vor ..."<br />
den<br />
[X] Benutzerdefiniert wählen!<br />
3 Partitionen anlegen:<br />
<br />
0..2 Linux native (ext2 oder ext3) mounting-point "/boot"<br />
3..84 Linux swap ----- ----------------------<br />
85..5004 Linux native (!reiserfs!) mounting-point "/"<br />
<br />
2. Platte mal noch offen lassen<br />
<br />
6) "Standard mit Office" installieren<br />
<br />
"Benutzername usw." (sorry weis nicht mehr genau wann das kommt).<br />
Rechnername: linus<br />
pwd für den root (=Administrator im win32 Dialekt) erst mal auch so eingeben<br />
pwd: linus<br />
<br />
"Monitor ändern"<br />
EIZO-F56 aber beachten dass die vorgeschlagene Wiederholfrequenz<br />
herunterkorrigiert wird. etwa 70 Hz-72 Hz, was der jeweilige Monitor<br />
verträgt.<br />
"Hardware konfigurieren" wählen!<br />
->Netzwerk,<br />
erste Netzwerkkarte<br />
100 MBit-Karte: KarteIP fest, zb. 192.168.100.72, Maske so ok<br />
"Rechnername und Nameserver" wählen!<br />
->name: linus<br />
->domäne: pcworld<br />
NameServer: 194.25.2.132 (T-online)<br />
zweite Netzwerkkarte<br />
10 MBit-Karte: KarteIP fest, zb. 192.168.99.72, Maske so ok<br />
(anderes logisches Netzwerk!)<br />
"Rechnername und Nameserver" diesmal nicht notwendig!<br />
<br />
->ISDN<br />
Euro-ISDN,Deutsch,t-online usw.<br />
Zugangsdaten für den flat bereithalten<br />
->Sound<br />
normales Setup->meist auf 100% Lautstärke anpassen, da wir sonst<br />
später nix mehr hören.<br />
<br />
7) vor dem ersten Start(Logout,beenden,neustarten)<br />
ins bios gehen (Taste <Entf>), Bootlaufwerk<br />
von "CDROM" auf "HDD-0" umstellen! Damit der Rechner niemals versehentlich<br />
von CD-bootet.<br />
immer als root einloggen<br />
<br />
8) Pakete nachinstallieren<br />
(als (Benutzernamen=)root eingelogged?!)<br />
[suse->]system->configuration->yast 2->Software deinstallieren/installieren<br />
(Software install/remove)<br />
->ev. Pakete "suchen" knopf, names des Paketes angeben<br />
doppelklick auf das paket<br />
<br />
X samba serie: n<br />
X netatalk serie: n<br />
X vnc serie: xap<br />
<br />
Folgende Pakete müssen deinstalliert werden:<br />
<br />
7.3<br />
===<br />
<br />
D Personal-Firewall<br />
D SuSE-Firewall<br />
D ipchains<br />
<br />
9) T-DSL, leider muss geschraubt werden. <br />
<br />
(nicht SuSE 9.0)<br />
<br />
Details auf http://sdb.suse.de/en/sdb/html/cg_pmtu2.html.<br />
<br />
a) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/options<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
b) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/peers/pppoe<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
10) samba, Freigabe/Freigabenutzung von Verzeichnissen<br />
<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Büroanwendungen->Editoren->Advanced Editor)<br />
<br />
a) 7.3<br />
===<br />
/etc/rc.config:<br />
START_SMB="no" auf START_SMB="yes"<br />
<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
8.0 (veralteter Tipp):<br />
======================<br />
<br />
/etc/rc.d/boot.local<br />
unten neue Zeile: rcsmb start<br />
<br />
8.0 (neuester Stand):<br />
=====================<br />
<br />
Kontrollzentrum->YaST2 Module->System->Runlevel Editor->Runlevel eigenschaften-><br />
smb in der Liste suchen, und einstellen wie folgt:<br />
<br />
Aktiv B 0 1 2 3 5 6 S<br />
smb Ja 2 3 5<br />
smbfs Ja 2 3 5<br />
<br />
<br />
b) /etc/samba/smb.conf: (ersetzen bzw. aktivieren, ex sind globale einstellungen!)<br />
<br />
[global]<br />
log level = 1<br />
workgroup = Lummerland<br />
server string = Samba<br />
netbios name = LINUX<br />
security = share<br />
interfaces = 192.168.115.92<br />
hosts allow = 192.168.115.0/255.255.255.0<br />
os level = 99<br />
time server = yes<br />
unix extensions = yes<br />
encrypt passwords = yes<br />
null passwords = yes<br />
printing = CUPS<br />
printcap name = CUPS<br />
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192<br />
keepalive = 0<br />
wins support = yes<br />
local master = yes<br />
preferred master = yes<br />
guest account = nobody<br />
character set = ISO8859-15<br />
client code page = 850<br />
veto files = /*.eml/*.nws/riched20.dll/*.{*}/<br />
bind interfaces only = yes<br />
guest ok = yes<br />
[homes]<br />
comment = Home Directories<br />
valid users = %S<br />
browseable = no<br />
writeable = yes<br />
create mask = 0640<br />
directory mask = 0750<br />
<br />
[printers]<br />
comment = All Printers<br />
path = /var/tmp<br />
printable = yes<br />
create mask = 0600<br />
browseable = no<br />
<br />
[print$]<br />
comment = Printer Drivers<br />
path = /var/lib/samba/drivers<br />
write list = @ntadmin root<br />
force group = ntadmin<br />
create mask = 0664<br />
directory mask = 0775<br />
<br />
neu eingeben (ganz unten)<br />
<br />
[user]<br />
comment = Benutzer Freigabe<br />
path = /freigabe<br />
browseable = yes<br />
read only = no<br />
writeable = yes<br />
writable = yes<br />
guest ok = yes<br />
locking = no<br />
public = yes<br />
create mode = 777<br />
directory mode = 777<br />
<br />
c) nun eine Terminal-Session starten (Symbol mit der Muschel in der Startleiste)<br />
cd / * wechselt ins hauptverzeichnis<br />
mkdir /freigabe * erstellt den Pfad, der freigegeben wird<br />
chmod 0777 -R /freigabe * alle Rechte für alle<br />
rcsmb start * samba nun starten<br />
e) Wenn später weitere Verzeichnisse freigegeben werden sollen:<br />
in einer Terminal Session , samba stoppen:<br />
rcsmb stop<br />
mkdir /<Ihr neues Verzeichnis><br />
chmod 0777 -R /<Ihr neues Verzeichnis><br />
nun wieder /etc/smb.conf editieren<br />
neu eingeben (ganz unten)<br />
[NeuerFreigabeName]<br />
comment = "ihr kommentar"<br />
path = /<Ihr neues Verzeichnis><br />
... Rest wie oben ...<br />
<br />
f) Wenn man auf Linux eine Windows-Freigabe nutzen will<br />
Wenn man auf Linux eine samba-Freigabe (einer Linux Maschine) nutzen will<br />
<br />
mount -t smbfs -o username=fred,password=fred //brutus/User /g<br />
<br />
wobei "/g" ist das Unterverzeichnis in welches die Freigabe eingehängt wird<br />
fred,fred ist username/pwd die Zugriff zu dieser Freigabe ermöglicht<br />
//brutus der w2k-Server (oder auch ein Linux-Server)<br />
/User der Freigabename<br />
<br />
g) Diagnose<br />
log level =<br />
nmblookup<br />
<br />
h) Verzeichnisse nur für bestimmte User sichtbar machen (nicht möglich bei <br />
security=share, ev. auf security=user umschalten)<br />
<br />
Das Verzeichnis einer Benutzergruppe zuordnen (z.B. mp3users), die Du<br />
vorher anlegst und der Du Deine Berechtigten hinzufügst, aber nicht den Chef.<br />
Die Berechtigungen entsprechend setzen (kein r-x für "nobody") und dazu<br />
"hide unreadable = yes" in die Share-Definition.<br />
<br />
11) Netzwerk Verbindung prüfen<br />
<br />
auf einem win32 Rechner jetzt den Linux Server anpingen (per IP, nicht den )<br />
mehr Details siehe 22)<br />
<br />
ping 192.168.115.90<br />
<br />
12) Netatalk-konfiguration (zugriff auf einen Linux Share via MAC)<br />
<br />
(als (Benutzernamen=)root eingelogged?!)<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Editoren->Advanced Editor)<br />
a) /etc/rc.config:<br />
START_ATALK="no" auf START_ATALK="yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
b) /etc/atalk/atalkd.conf<br />
eth0 auf eth1<br />
# nur ändern, wennn 100 Mbit-Karte eth1 ist (Network/Basic -> Network card configuration)<br />
c) /etc/atalk/AppleVolumes.default<br />
Zeile ganz unten mit nur der Tilde<br />
~<br />
rauslöschen!<br />
neue Zeile (auch ganz unten)<br />
/freigabe/mac "user" options:noadouble<br />
d) terminal fenster starten (muschel)<br />
cd /freigabe<br />
mkdir mac<br />
chmod 0777 -R /mac<br />
rcatalk start<br />
<br />
-> nach ca. 1 minute müsste "linus" sichtbar sein, ev. als<br />
linus/linus verbinden!<br />
<br />
e) Diagnose<br />
<br />
nbplkup<br />
[[linux.firebird||Firebird SQL Server]]<br />
<br />
14) Einsatz als firebird-raib<br />
<br />
8.0<br />
===<br />
<br />
raib ist ein RAID 5 Array aus 3 unabhängigen firebird servern und einem Master.<br />
Zum einsatz kommt ein (selbstgebautes) Server Blade mit 4 Rechnern. Dazu muss<br />
nach erfolgreicher Installation der Hardware-Scan beim booten (hwscan) deaktiviert<br />
werden, da diese Rechner ohne Keyboard und Maus laufen. hwscan stoppt sonst<br />
das Hochfahren und bringt einen Maus-Auswahldialog.<br />
<br />
15) DVD ist weg - und man muss Software nachinstallieren:<br />
<br />
<br />
Unter YaSt2, Software, Softwarequelle, eine FTP Quelle anlegen<br />
<br />
Servername: ftp.gwdg.de <br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/9.0 <br />
<br />
8.2<br />
===<br />
<br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/8.2 <br />
<br />
<br />
<br />
16) Firebird Datenbank Crash?<br />
<br />
konkrete Verwendung einzelner Befehle für fix, backup und restore.<br />
siehe ibreorg.bat in der Anlage. (der ist leider für Win32-DOS-Box!)<br />
die Befehle müssten auch unter linux so gehen. der Pfad ist aber<br />
<br />
/opt/interbase/bin/gbak ....<br />
<br />
--- snip<br />
@echo off<br />
REM -------------------------------------------------<br />
REM Reparatur einer inkonsistenten FireBird Datenbank<br />
REM<br />
REM (c) Andreas Filsinger, www.cargobay.de<br />
REM -------------------------------------------------<br />
REM<br />
REM Usage<br />
REM<br />
REM reorg <Pfad und Name der Datenbank OHNE ".gdb"><br />
REM<br />
REM --------------------------------------------<br />
REM<br />
REM ACHTUNG: richtigen Pfad ermitteln, indem Sie nach der<br />
REM Datei gbak.exe suchen lassen. Und hier eintragen:<br />
REM<br />
SET IBBIN=D:\programme\borland\interbase\bin\<br />
REM<br />
REM --------------------------------------------<br />
REM 1) fix erros<br />
REM<br />
%IBBIN%gfix -mend -full -ignore -user "SYSDBA" -password "masterkey" %1.gdb<br />
REM --------------------------------------------<br />
REM 2) backup fixed base<br />
REM<br />
%IBBIN%gbak -backup -v -ignore -garbage -user "SYSDBA" -password "masterkey" %1.gdb %1_neu.gbk<br />
REM --------------------------------------------<br />
REM 3) restore base<br />
REM<br />
REM zusätzlich noch "-i" wenn Indizes deaktiviert werden sollen<br />
REM<br />
%IBBIN%gbak -r -v -p 8192 -user "SYSDBA" -password "masterkey" %1_neu.gbk %1_neu.gdb<br />
REM --------------------------------------------<br />
REM 4) check new one<br />
REM<br />
%IBBIN%gfix -v -f -user "SYSDBA" -password "masterkey" %1_neu.gdb<br />
REM --------------------------------------------<br />
--- snap<br />
<br />
Bemerkungen<br />
===========<br />
<br />
a) Backup-möglich aber fail beim Restore: wegen inkonsistenter Indizes<br />
ich habe mal erlebt, das foreign Key nicht mehr konsistent waren, und deshalb<br />
der restore abgebrochen hat. Alle Indizes kann man jedoch als inaktiv restoren,<br />
(Option -i )<br />
nach löschen /clearen der "Schuldigen" kann man alle indizes wieder aktivieren,<br />
wieder ein backup, wieder ein restore -> alles wieder gut.<br />
(Sourcecode dazu im HeBuAdmin Projekt)<br />
damit der HebuAdmin alle indizes sehen kann braucht er "out.txt". Das ist die<br />
Ausgabe eines erfolgreichen restores, der alle indizes enthält.<br />
Unter linux gibt man die Ausgabe von gbak mit 2>/freigabe/out.txt in eine Datei<br />
aus.<br />
<br />
firebird-Erkenntnis<br />
===================<br />
<br />
internal gds software consistency check (partner index description not found (175))<br />
<br />
dieser Fehler tritt beim löschen eines Datensatzes auf, der eventuell durch einen<br />
foreign key einer anderen Tabelle referenziert werden könnte. Ist dieser key<br />
deactiviert so kann keine Aussage getroffen werden, ob das löschen ok ist, dieser<br />
interne Fehler ist die Folge!!<br />
<br />
17) Routing, Masquerading und Firewall<br />
<br />
Alle Arbeitsplatz-Rechner sicher und einfach ins InterNet zu bringen<br />
ist hierbei vorrangiges Ziel.<br />
<br />
a) Skript "myfirewall.sh" (in der Anlage sicherlich aktueller als dieser Snapshot)<br />
nach /root kopieren.<br />
<br />
--- snip<br />
# !/bin/bash<br />
IPTABLES=/usr/sbin/iptables<br />
DEV_LOC=eth0<br />
DEV_EXT=ppp0<br />
DNS_EXT=194.25.2.129<br />
# for IF in $DEV_LOC $DEV_EXT do<br />
# Kernelmodule laden<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/log_martians<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/log_martians<br />
<br />
<br />
# done<br />
<br />
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br />
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses<br />
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate<br />
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate<br />
<br />
# Zu Anfang alles verbieten (Default Policy)<br />
$IPTABLES -P INPUT ACCEPT<br />
$IPTABLES -P OUTPUT ACCEPT<br />
$IPTABLES -P FORWARD ACCEPT<br />
<br />
# Alle Regelketten, die sich noch im Speicher befinden k"nnten, l"schen<br />
$IPTABLES -F<br />
$IPTABLES -t nat -F<br />
$IPTABLES -X<br />
<br />
# Verbindungen fr Testzwecke am eigenen Rechner ber das Loopback. Einige<br />
# lokale Prozesse wie BIND verwenden das Loopback fr die interne Kommunikation<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
# Alle externen Verbindungsversuche und ander Merkwrdigkeiten werden hier<br />
# aufgefangen, im SYSLOG vermerkt und dann unsch„dlich gemacht<br />
$IPTABLES -N nirwana<br />
# $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP "<br />
# $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP "<br />
# $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP "<br />
# $IPTABLES -A nirwana -p TCP -j DROP<br />
<br />
# Kernelmodule masq und forwarding aktivieren (dyn. IP vom Provider)<br />
echo "1" > /proc/sys/net/ipv4/ip_dynaddr<br />
echo "1" > /proc/sys/net/ipv4/ip_forward<br />
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE<br />
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br />
<br />
# Für alle bestehenden ein- und ausgehenden Verbindungen. Dritte Regel<br />
# verhindert alle Verbindungen die Auáen kommen<br />
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
# $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana<br />
<br />
# Zugriff auf internen WEB-Server<br />
# $IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
<br />
# WinMx auf fred!<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 6699 -j DNAT --to 192.168.115.3:6699<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p udp --dport 6257 -j DNAT --to 192.168.115.3:6257<br />
<br />
# Ping ins Internet erlauben, eingehende werden von der NIRWANA-Rule abgefangen<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT<br />
<br />
# DNS<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d $DNS_EXT -m state --state NEW -j ACCEPT<br />
<br />
# HTTP<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT<br />
<br />
# FTP<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT<br />
<br />
# Alle Pakete, die bis hierher kommen nach nirwana<br />
$IPTABLES -A INPUT -j nirwana<br />
$IPTABLES -A OUTPUT -j nirwana<br />
$IPTABLES -A FORWARD -j nirwana<br />
--- snap<br />
<br />
<br />
__zukünfiges thema: lokales umlenken lokaler Port traffics. Z.b. aller verkehr aus dem Internet<br />
soll umgeleitet werden von "80" auf "8080".<br />
<br />
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT \<br />
--to-ports 8080<br />
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner \! --uid-owner 13 \<br />
-j REDIRECT --to-ports 8080<br />
<br />
Should work. I tested it on my own firewall, although I just tested it<br />
with netcat, not a real proxy.<br />
<br />
Locally generated packets don't go through the PREROUTING chain, so you<br />
have to manipulate them in OUTPUT, and you also have to differentiate<br />
them from the proxy's outgoing packets, hence the match against uid 13<br />
(proxy), taken from /etc/passwd.<br />
<br />
Unfortunately, you'll have to enable owner match support in your kernel<br />
for the second line to work, so you might have to recompile (it's one of<br />
the features labelled experimental).<br />
<br />
Jason<br />
<br />
__zukünfiges thema: Bandbreiten verteilung: siehe artikel in c't 01/03. Kommt aber<br />
sicher stablier ab "suse 8.2", das es kernel >2.4.19 erfordert.<br />
<br />
b) mit<br />
<br />
chmod 755 /root/myfirewall.sh<br />
<br />
macht man dieses Script ausführbar. Nun starten ...<br />
<br />
/root/myfirewall.sh<br />
<br />
c) Automatischer Start der Firewall beim booten ...<br />
<br />
Als root einloggen und folgende Zeilen eingeben:<br />
<br />
ln -s /root/myfirewall.sh /etc/init.d/rc2.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc3.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc5.d/S30myfirewall <RETURN><br />
<br />
fehlt noch: "K" links, myfirewall sollte echtes Script werden, das<br />
"start" und "stop" auswerten kann.<br />
<br />
d) Eintrag in /etc/rc.config ändern: IP_FORWARD="no" auf "yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
18) lokaler SMTP Forwarder<br />
<br />
* win32 outlook express clients sollen bei der email-Konten-Einstellung den<br />
Eintrag "smtp-Server:" von dem "wirklichen" Server auf die IP des Linux-Servers<br />
umstellen können. POP Eintrag MUSS bleiben.<br />
* Der Linux Server muss ausgehende Mails mit 100 MBit/s annehmen, und<br />
lokal zwischenspeichern.<br />
* Der smtp Dienst von Linux muss eine autentifizierung des Users verlangen.<br />
(wie bei heutigen smtps üblich, mit dem gleichen Konto/pwd wie für pop3)<br />
* Der Linux Server sollte als "relay" fungieren, und die mail somit völlig<br />
unangetastet lassen.<br />
* Durch die Identifizierung mit dem smtp "Konto-Name" muss der Linux Server<br />
ermitteln (in einer config-Datei) wer der wirkliche smtp Server im Internet<br />
ist. Der Server muss nun (in aller Ruhe) dafür sorgen dass die Mail zugestellt<br />
wird. Es sollte kein "fester" relay-smtp für "alle" email-Konten benutzt werden.<br />
<br />
<br />
---------------------------------------------------------------------------------------<br />
Aufsetzen des Mailservers postfix<br />
---------------------------------------------------------------------------------------<br />
<br />
Andre Wolff 24.4.2003<br />
<br />
---------------------------------------------------------------------------------------<br />
<br />
<br />
---------------<br />
1. Installation<br />
---------------<br />
<br />
Postfix wird bei der Version 8.2 standardmäßig installiert. Zur Überprüfung, ob postfix<br />
installiert und aktiv ist, wie folgt vorgehen:<br />
<br />
- Aufrufen des YAST2-Kontrollzentrum<br />
- Auswahl System<br />
- Den Runlevel-Editor starten<br />
- Auf "Runlevel-Eigenschaften..." klicken<br />
<br />
In der nun angezeigten Liste sollte ein Eintrag postfix vorhanden sein. Ist dieser als aktiv<br />
gekennzeichnet und für die Runlevels 3 und 5 konfiguriert, ist alles Ok. Sollte der Eintrag<br />
postfix nicht vorhanden sein, muß das Programm evtl. nachinstalliert werden:<br />
<br />
- Runlevel-Editor ggf. wieder beenden<br />
- Aus dem YAST2-Kontrollzentrum "Software" auswählen<br />
- Auswahl "Software installieren oder löschen"<br />
- Im Kombinationsfeld Filter den Eintrag "Suche" auswählen und im Suchfeld<br />
postfix eingeben und auf die Schaltfläche "Suche" klicken<br />
- in der Paketliste postfix auswählen und auf Schaltfläche "Akzeptieren" klicken<br />
<br />
----------------<br />
2. Konfiguration<br />
----------------<br />
<br />
Da SuSE versucht alle wichtigen Programme direkt aus YAST oder YAST2 heraus automatisch <br />
zu konfigurieren, wir aber das Mail-System unseren Bedürfnissen explizit anpassen wollen,<br />
muß die automatische Konfiguration für postfix abgeschaltet werden:<br />
<br />
- Im YAST2-Kontrollzentrum "System|Editor für /etc/sysconfig-Dateien" auswählen<br />
- Dann Auswahl "Network|Mail|General"<br />
- Ändern des Eintrages "MAIL_CREATE_CONFIG" von yes auf no und Sysconfig-Editor <br />
beenden<br />
<br />
<br />
Datei "main.cf" anpassen<br />
<br />
Datei /etc/postfix/main.cf mit einem Editor öffnen. Die Einträge wie folgt ändern<br />
oder das '#'-Zeichen entfernen :<br />
<br />
myhostname = smtp.hebu.de<br />
mydomain = hebu.de<br />
mynetworks = 192.168.100.0/24,127.0.0.0/8<br />
smtpd_banner = $myhostname ESMTP<br />
relay_domains = $mydestination, <dom1>, <dom2>, ...<br />
<br />
<br />
Anpassen des Firewall-Skriptes<br />
<br />
Eintrag in /root/fwdsl.start nach dem Eintrag "Samba aus dem internen Netz":<br />
<br />
#--------------------------------------------------------------------------------<br />
# E-Mail zum relayen<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
---------------------------------------------------------------------------------<br />
<br />
Folgende Erweiterung für DNS eintragen <br />
<br />
#--------------------------------------------------------------------------------<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p UDP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p TCP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
#--------------------------------------------------------------------------------<br />
<br />
<br />
Bei den E-Mail-Clients muß nun der neue SMTP-Server eingetragen werden.<br />
<br />
Bei Outlook und Outlook-Express unter "Extras|Konten" die Registerkarte "E-Mail" auswählen.<br />
Dann mit einem Doppelklick die Eigenschaften des gewünschte Mailkontos öffnen. Auf der<br />
Registerkarte Server bei "Postausgang (SMTP)" die IP-Adresse des neuen Mail-Relays<br />
eintragen.<br />
<br />
19) Bandbreiten Management<br />
<br />
Hier: Der eMail-Ausgangsstrom soll uns nicht die Bandbreite des Web-Shop mindern.<br />
<br />
* Noch nicht Teil dieses Bugets - aber bitte im Hinterkopf behalten: Durch Einträge<br />
mit Hilfe von iptabels kann ab Kernel 2.4.20 die bandbreite gewisser dienste<br />
vorbestimmt werden. Ich suche mal den Artikel in der c't. Wir starten, wenn<br />
Suse 8.2 bei mir vorliegt (ist vorbestellt!)<br />
<br />
20) lokaler DNS Forwarder<br />
<br />
* DNS-Adressen wechseln ganz im Gegensatz zu HTML-Inhalten nicht so<br />
häufig. Deshalb will ich keinen vollständigen Proxy einsetzten. Aber ich<br />
will nicht, dass jede (wiederholte) DNS Anfrage ins INternet rausgepustet<br />
wird! Bis sich alle Datenbanken weltweit angeglichen haben kann schon mal<br />
ein halber Tag vergehen, also können wir auch guten gewissens DNS anfragen<br />
cache, etwa mit einer Haltbarkeit der cache inhalte von 10 min ?!. Deshalb<br />
ist ein Caching unbedenklich, und auch be-sonders lohnend, da einige UDP/TCP<br />
Verbindungsaufbau-Vorgänge lokal abgewickelt werden können!<br />
* Die Idee liegt nahe, hey man könnte den Linux-Server doch auch als<br />
Name-Server (DNS-relay) einsetzen. Egal welcher Provider dann angewählt ist<br />
(=welcher nameserver auch immer angegeben werden muss) der lokale DNS-Server<br />
leitet alle Anfragen immer an die richtige Adresse (nämlich an den Nameserver<br />
draussen im INternet) weiter. Wie die jeweiligen namenserver heissen steht ja<br />
in der /etc/resolv.conf. Die Clients müssen nix mehr umstellen (im Feld<br />
Nameserver)! Gateway UND Nameserver haben dann die gleiche Zieladresse.<br />
Adresse<br />
<br />
Zuerst werden die Pakete [bind9] aus der Serie [n] sowie die [bind9-utils] <br />
installiert und in Yast2 im "Runlevel-Editor" - "Runlevel eigenschaften" <br />
Named auf "start" gesetzt.<br />
<br />
Danach in der Datei "/etc/named.conf" folgende, mit den Pfeilen markierten <br />
Anpassungen eintragen:<br />
<br />
-------------------------------------------------------------------------<br />
<br />
options {<br />
<br />
-> auth-nxdomain no;<br />
<br />
# The directory statement defines the name server's<br />
# working directory<br />
<br />
directory "/var/named";<br />
# The forwarders record contains a list of servers to<br />
# which queries should be forwarded. Enable this line and<br />
# modify the IP-address to your provider's name server.<br />
# Up to three servers may be listed.<br />
<br />
# forwarders { 10.11.12.13; 10.11.12.14; };<br />
<br />
-> forwarders { 194.25.2.129; 212.185.248.148; };<br />
<br />
# Enable the next entry to prefer usage of the name<br />
# server declared in the forwarders section.<br />
<br />
-> forward first;<br />
<br />
# The listen-on record contains a list of local network<br />
# interfaces to listen on. Optionally the port can be<br />
# specified. Default is to listen on all interfaces found<br />
# on your system. The default port is 53.<br />
<br />
# listen-on port 53 { 127.0.0.1; };<br />
<br />
# The listen-on-v6 record enables or disables listening<br />
# on IPV6 interfaces. Allowed values are 'any' and 'none'<br />
# or a list of addresses. IPv6 can only be used with<br />
# kernel 2.4 in this release.<br />
<br />
listen-on-v6 { any; };<br />
<br />
# The next three statements may be needed if a firewall<br />
# stands between the local server and the internet.<br />
<br />
# query-source address * port 53;<br />
# transfer-source * port 53;<br />
# notify-source * port 53;<br />
<br />
# The allow-query record contains a list of networks or<br />
# IP-addresses to accept and deny queries from. The<br />
# default is to allow queries from all hosts.<br />
<br />
# allow-query { 127.0.0.1; };<br />
<br />
# If notify is set to yes (default), notify messages are<br />
# sent to other name servers when the the zone data is<br />
# changed. Instead of setting a global 'notify' statement<br />
# in the 'options' section, a separate 'notify' can be<br />
# added to each zone definition.<br />
<br />
notify no;<br />
};<br />
<br />
# The following three zone definitions don't need any modification.<br />
# The first one defines localhost while the second defines the<br />
# reverse lookup for localhost. The last zone "." is the<br />
# definition of the root name servers.<br />
<br />
zone "localhost" in {<br />
type master;<br />
file "localhost.zone";<br />
};<br />
<br />
zone "0.0.127.in-addr.arpa" in {<br />
type master;<br />
file "127.0.0.zone";<br />
};<br />
<br />
zone "." in {<br />
type hint;<br />
file "root.hint";<br />
};<br />
<br />
# You can insert further zone records for your own domains below.<br />
---------------------------------------------------------------------<br />
<br />
<br />
<br />
Jetzt ist noch in der Datei "/etc/resolv.conf" anzugeben, dass man zur <br />
Namensauflösung den lokalen DNS-Server benutzt.<br />
<br />
------------------------------------------------------------------------<br />
<br />
search<br />
nameserver 127.0.0.1<br />
<br />
------------------------------------------------------------------------<br />
<br />
<br />
Damit die "/etc/resolv.conf" nicht bei jeder Einwahl wieder überschrieben <br />
wird muss der Parameter "MODIFY_RESOLV_CONF_DYNAMICALLY" in der Datei <br />
"/etc/sysconfig/network/config" auf "no" gesetzt werden. Um aber bei Änderungen<br />
an der DNS Konfiguration des Providers nicht vor der Tür zu stehen sollte in <br />
der gleichen Datei die Option "MODIFY_NAMED_CONF_DYNAMICALLY" auf "yes" gesetzt<br />
werden. Dadurch werden die "forwarders" in der"/etc/named.conf" bei jeder <br />
Einwahl aktualisiert.<br />
<br />
<br />
Nun müssen die neuen Gegebenheiten der Firewall mitgeteilt werden. Folgende <br />
Zeilen werden im Script "/root/fwdsl.start" nach der Sektion <br />
<br />
"# E-Mail zum relayen" <br />
<br />
hinzugefügt.<br />
<br />
--------------------------------------------------------------------------------<br />
# DNS-Forwarding<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
------------------------------------------------------------------------<br />
<br />
<br />
Zum Abschluß werden auf den Windows-Clients in den Netzwerkeinstellungen bei den<br />
TCP/IP-Eigenschaften unter Gateway und DNS die IP-Adresse des LINUX-Servers<br />
angegeben.<br />
<br />
21) Fernwartung einiger Rechner im Netz von aussen via InterNet via VNC<br />
<br />
(beide Systeme (Zielsystem & Remotesystem) müssen eigentlich nur im InterNet<br />
sein! Der eine z.B. via ISDN, der andere z.B. via DSL, super natürlich: beide via DSL)<br />
<br />
auf jedem Win32-Ziel-Rechner installiert man den VNC-Server:<br />
(freier download unter www.tightvnc.com) Das myfirewall-Script muss<br />
für je einen Rechner um eine Script-Zeile erweitert werden.<br />
<br />
Es gibt auch einen Viewer(Client) für den MAC<br />
http://sourceforge.net/projects/cotvnc/<br />
<br />
# VNC für Brutus, Displaynummer=0 oder nix angeben<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
# VNC für Fred, Displaynummer=1<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5901 -j DNAT --to 192.168.115.3:5900<br />
# VNC für joe<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5902 -j DNAT --to 192.168.115.8:5900<br />
# usw. ...<br />
<br />
die aktuelle IP (die man "daheim" angeben muss) ermittelt man aus der gepachten IP-<br />
Adresse im InterNet (Rechter Mausklick auf die HomePage, Quelltext anzeigen, IP-Adresse<br />
rauskopieren). Beim einloggen gibt man neben der (aktuellen) IP die Displaynummer an, also<br />
217.217.20.118:1 (für z.B. fred) und das passwort wie immer. ACHTUNG: immer auf beiden<br />
Seiten 16 bit farben (= High-Color) verwenden! Den Rechner, den man fernwarten will:<br />
sollte ganz ganz schnell sein (ich meine das ernst), und ne super schnelle 2D Grafikkarte<br />
haben (z.B. Matrox G450). Der Rechner mit dem man fernwarten will: Der dreht leider eigentlich<br />
(fast) immer Däumchen, der kann ruhig alt und schwach sein!!! Hier sollte nur eine gute Anbindung<br />
ans Internet sichergestellt werden! Hilfreich: etwas größere Auslösung wie das Ziel-System, aber<br />
auch High-Color! Wichtig: Passwörter möglichst >8 Zeichen.<br />
<br />
VNC - Remote Control des Servers mit Hilfe von z.B. einer Windows-Maschine.<br />
Für Leute, die nicht in den Serverraum laufen möchten, oder kein Geld mehr<br />
für einen Monitor am Linux-Rechner haben, weil das Betriebssystem so teuer war ;-)<br />
<br />
vnc-paket installieren (mit Yast 2)<br />
Terminal Session starten<br />
vncserver eingeben, pwd vergeben<br />
von irgendeiner anderen Maschine einloggen:<br />
192.168.115.72:1<br />
-pwd eingeben<br />
Es muss ein Terminal-Fenster erscheinen, dort kan man nun<br />
kde<br />
eingeben wenn man eine kde-session starten will...<br />
<br />
Suse 7.x<br />
========<br />
<br />
Damit der VNC- Server beim booten allein gestartet wird, genügt ein Eintrag in /etc/rc.d/rc.<br />
Die Zeile, die ganz unten (Suse 8.0: vor "exit 0") ergänzt werden muß lautet:<br />
<br />
su -l root -c "vncserver -cc 3 :1 -alwaysshared"<br />
<br />
Suse 8.0<br />
========<br />
<br />
Suse 8.1<br />
========<br />
<br />
** Obige Methode läuft nicht mehr unter Suse 8.1.<br />
<br />
Bemerkung: Es war mal bei 8.0 notwendig an einer Maschine, die den vncserver nicht<br />
mehr allein startet, wieder keyboard und monitor anzuschliesen, um sich "echt"<br />
(in kde) einzuloggen, danach lief wieder alles super.<br />
<br />
Suse 8.2<br />
========<br />
<br />
YaST2 / System / Editor für /etc/sysconfig-Dateien / Desktop / Display Manager:<br />
Die Variable DisplayManager_Remote_Access auf yes setzen.<br />
Auf der Konsole rcxdm restart eingeben.<br />
YaST2 / Netzwerkdienste / Netzwerkdienste (inetd) aufmachen und die 4<br />
Einträge mit "VNC" im Namen aktivieren.<br />
Andere Computer (auch Windows-Maschinen) können nun über den Browser den<br />
VNC-Server ansprechen. Dazu benötigt er Java.<br />
Die URL lautet: http://Vncserver-Rechner:5810.<br />
<br />
Wer auf der Client-Seite nicht im Webbrowser arbeiten will, benutzt den VNCViewer.<br />
Für diese Anwendung lautet nun der angefragte Hostname "Vncserver-Rechner:10"<br />
oder "Vncserver-Rechner:11", auch wieder mit IP-Adresse des Zielsystems möglich,<br />
z.B. 192.168.115.93:10.<br />
<br />
25) WIN32-Clients nutzen die Zeit des Linux-Rechner<br />
<br />
net time \\<IP-Adresse des Linux Servers><br />
<br />
ev. kleiner Batch schreiben, der beim Login immer ausgeführt<br />
wird.<br />
<br />
26) WIN32- Clients einrichten<br />
<br />
Windows 2000(W2K) XP<br />
<br />
a) Standard-Gateway (wegen Internetnutzung)<br />
<br />
Start->Einstellungen(Systemsteuerung)->Netzwerk- und DFÜ-Verbindungen->LAN Verbindung-><br />
Eigensxhaften->Internetverbindungen(TCP/IP)->Eigenschaften-><br />
Standardgateway: IP des Servers<br />
Bevorzugter DNS-Server: IP des Servers<br />
<br />
b) WINS Support einschalten (wegen keepcon-Namensauflösung)<br />
<br />
Start->Systemsteuerung->Netzwerkverbindungen->lan-verbindung(rechter<br />
mausklick)->eigenschaften->internetprotokoll(tcp/ip)->Eigentschaften->Erweit<br />
ert->WINS->Hinzufügen->IP des Servers eintragen.->ok->ok->schliessen.<br />
<br />
Unverträglichkeit mit AVM KEN!<br />
<br />
AVM KEN Klient "InterNet" Installation auf dem Arbeitsplatz, der via Linux ins Internet will: nicht erlaubt<br />
AVM KEN Klient irgendwo auf anderen Arbeitsplatz im selben Netz: erlaubt<br />
AVM KEN Server irgendwo im Netz: erlaubt<br />
<br />
«fehlt(2)»:<br />
AVM KEN! Klient als reines "CAPI - Sharing" das müsste doch gehen? Oder?<br />
-> prüfen! (manche wollen weiterhin über den KEN!-Server faxen!)<br />
<br />
27) Eine andere Linux-Maschine will ins Internet<br />
<br />
1) YAST2 ->network ->routing ->Standart-Gateway=IP des Servers<br />
2) YAST2 ->advanced network ->DNS ->IP des Servers<br />
<br />
28) Kernel Updates<br />
(es soll niemand mehr sagen das sei schwierig!)<br />
<br />
nur für Suse 7.2 notwendig, (HISTORISCH - NICHT NOTWENDIG AB 7.3):<br />
<br />
Einspielen des Kernels 2.4.7<br />
<br />
Dies ist notwendig, da masquerading irgend einen Bug hat. Auch hat sich das<br />
einspielen als sehr heilsam für das ganze System herausgestellt. (Auch TDSL!)<br />
<br />
downloaden des Kernels (als rpm) von<br />
ftp.suse.com/pub/suse/i386/update/7.2/kernel/2.4.7/k_deflt-2.4.7-25.i386.rmp<br />
Terminal-Fenster starten, eingeben<br />
YaST <ENTER><br />
"paketverwaltung (update,install,auf..)"<br />
Paket einspielen<br />
Quelle (nun den obigen rpm lokalisieren)<br />
markieren mit Leertaste, damit installiert wird<br />
<F10> zum Installieren drücken<br />
YaST beenden, ein cleanup wird durchgeführt<br />
mk_initrd <ENTER><br />
lilo <ENTER><br />
-> system neu booten!!!<br />
<br />
29) Win32-Kiste: Der Apache-Web Server<br />
<br />
dieses Kapitel gehört eigentlich nicht hier herein - aber es hat mit dem<br />
Routing zu tun, so dass es doch die Linux Installation überhaupt erst ver-<br />
ständlich macht! Anforderung: Kommt eine http:/ Anfrage aus dem Internet<br />
auf den Linux Rechner zu (auf Port 80) muss er diese Anfrage auf einen<br />
anderen Rechner im Netz routen (sorry auf eine win32-Kiste). Dieser hat eine<br />
feste IP-Adresse in lokalen Netz. Es ist ein Windows 2000 Rechner mit Apache<br />
Web Server installiert. Die Anwort geht wieder an den Linux, und dann raus<br />
ins Internet. Weil wir eine Suchmaschine (in form einer ISAPI-DLL) nur für<br />
win32 haben, (und dem IIS von Microsoft nicht (mehr) trauen) wird auf win32<br />
der Apache Web-Server installiert. Der kann wunderbar ISAPI-Dlls ausführen!<br />
In der Anlage findet man die Apache-Konfiguration: httpd.conf (Die bestehende<br />
Konfiguration sollte nicht überschrieben werden, sondern nur geänderte Punkte<br />
eintragen) Die geänderten Punkte sind:<br />
<br />
a) von ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options none<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
zu ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options ExecCGI<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
b) von ...<br />
<br />
# To use CGI scripts:<br />
#<br />
# AddHandler cgi-script .cgi<br />
<br />
zu ...<br />
<br />
# To use CGI scripts:<br />
#<br />
<br />
AddHandler cgi-script .cgi<br />
AddHandler isapi-isa .dll<br />
<br />
Ich hatte den apache 1.3.22 installiert!<br />
<br />
http://httpd.apache.org/dist/httpd/binaries/win32/apache_1.3.22-win32-x86.exe<br />
<br />
in die .\cgi-bin muss die HebuWeb.dll (Delphi Open-Source Projekt auf www.cargobay.de)<br />
kopiert werden. Die Inhalte des Suchverzeichnisses müssen mal von "williams" beim<br />
Hebu-Musikverlage gesichert werden. Die DLL enthällt fest Pfadangaben für die<br />
"Datenbankdateien" diese sollte man noch durch eine ini-Datei festlegen können.<br />
Der feste Pfad ist im Moment noch "C:\HeBu\"<br />
<br />
«fehlt(2)»: HebuWeb.dll durch Ini-Datei configuerierbar machen<br />
<br />
30) Win32-Kiste: AutoStart, AutoLogin von Windows 2000,XP<br />
<br />
Nach einem Stromausfall sollten natürlich alle Systeme selber wieder hochfahren.<br />
Mit einem "Login"-Schirm am nächsten morgen ist natürlich niemand geholfen.<br />
<br />
1a) Automatischer Benutzer-Login<br />
<br />
Zunächst braucht man einen Benutzer mit einem Passwort. Der manuelle Login sollte<br />
natürlich funktionieren. Nun<br />
<br />
mit Start->Ausführen->regedit folgende Einträge anwählen<br />
<br />
"HKEY_LOCAL_MACHINE" -> "SOFTWARE" -> "Microsoft" -><br />
"Windows NT" -> "CurrentVersion" -> "Winlogon"<br />
<br />
AutoAdminLogon:REG_SZ:1<br />
DefaultPassword:REG_SZ:<das PWD><br />
DefaultUserName:REG_SZ:<der Benutzername><br />
<br />
Es kann sein dass es den "DefaultPassword" - "Wert" nicht gibt, dann mit<br />
"Neu->Zeichenfolge" anlegen (Typ ist String, wie alle Werte).<br />
<br />
1b) Nur XP<br />
<br />
Art der Anmeldung auf "klassisch" ändern. Start->Systemsteuerung->Benutzer<br />
verwalten->Art der Anmeldung->obere Option (Willkommensschirm verwenden)-><br />
deaktivieren!<br />
<br />
2) Automatischer Start von RouteIp UND<br />
Outlook Express<br />
<br />
rechter Mausklick auf Start->Öffnen(alle Benutzer)->Programme->Autostart<br />
<br />
in diesen Ordner eine Verknüpfung mit RouteIP (kann aus dem Menü mit rechtem<br />
Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
in diesen Ordner eine Verknüpfung mit Outlook-Express (kann aus dem Menü mit<br />
rechtem Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
(kleiner Exkurs: Warum Outlook: Es dient uns als eMail Empfänger auf der<br />
Apache Server Station. Outlook sollte auf 1 Minütiges Abfragen der Mail<br />
eingestellt sein, so dass immer eine aufrechterhaltung der Verbindung<br />
gewährt bleibt!)<br />
<br />
3) Automatischer Start von VNCViewer, Apache<br />
<br />
dies sollte automatisch erfolgen, wenn beide Programme als Windows 2000 Dienst<br />
installiert wurden. -> Aber lieber testen!<br />
<br />
31) keepcon, RouteIP.exe, ein kleiner Einstieg<br />
<br />
Dieses linux / win32 program ermittelt die aktuelle IP Adresse wie unser Server im<br />
Moment im Internet sichtbar ist, und patched die html-Seiten drausen<br />
im InterNet, um die aktuelle IP Adresse den surfern draussen unterzujubeln.<br />
Mehr Infos über RouteIP im InterNet www.cargobay.de**<br />
Mehr Infos über keepcon im InterNet www.cargobay.de<br />
<br />
** RouteIP wird langfristig durch keepcon ersetzt.<br />
keepcon siehe "http://www.cargobay.de/keepcon.html"<br />
<br />
32) Die Win32-Clients wollen Plattenplatz auf dem Linux nutzen ...<br />
<br />
Schritt 0)<br />
<br />
(Netzwerkkarte und Verkabelung sind Grundvoraussetzungen, darauf will<br />
und kann ich nicht eingehen)<br />
<br />
Schritt 1) (mache dich sichtbar)<br />
<br />
freie IP-Adresse des lokalen Adressraumes (192.168.100.1 .. 192.168.100.254)<br />
ausdenken, DOKUMENTIEREN in einem Netzwerkplan <br />
und unter Start->Einstellungen->Systemsteuerung->Netzwerk->Protokolle->TCP/IP-><br />
Eigenschaften->feste IP->Adresse eingeben (Maske ist immer 255.255.255.0)<br />
<br />
Schritt 2) (bist du sichtbar?)<br />
<br />
starte eine DOS-Box (Start->Zubehör->Eingabeaufforderung) und pinge den Samba-<br />
Arbeitgeber im Netz an.<br />
<br />
ping 192.168.100.72<br />
<br />
bevor hier keine Antwort kommt, braucht man gar nicht weitermachen!<br />
Nun einen Laufwerksbuchstaben auf den samba-Share mappen:<br />
Mit dem Windows-Explorer: extras->Netzlaufwerk verbinden<br />
<br />
Laufwerk: G:\ // Dein neues (Netz-)Laufwerk<br />
Ordner: \\192.168.115.72\user // (geht also auch ohne Namensauflösungsproblematik)<br />
<br />
Tip Netzwerkumgebung: Erwarte niemals, dass in der win32 - "netzwerkumgebung"<br />
der Linux-Rechner sichtbar ist, den Du gerade frisch eingebunden<br />
hast! Schaue erst in der "netzwerkumgebung" nach, frühestens<br />
30 min nachdem eh schon alles geht!<br />
<br />
34) samba & firewall & Windows<br />
<br />
Mit samba 2.2.5 und Windows XP Professional Service Pack 1 machten wir folgende<br />
Beobachtung:<br />
<br />
Windows XP Professional zeigt nach eigenem Neustart den samba-share<br />
als "gestört" an (rotes kleines "X" im Symbol). Der erste Zugriff<br />
erfolgt im Windows Explorer dann auch nach eine langen Denkpause.<br />
<br />
* Umstellen von "security=share" auf "security=user" im smb.conf<br />
brachte nichts! (incl. der ganzen Arbeit, die damit zusammenhängt<br />
(User anlegen)).<br />
* Umstellen der "Richtlinien" wie es die Newsgroups vorgeben brachte<br />
auch nichts!<br />
<br />
Start->Ausführen->gpedit.msc<br />
<br />
Computerkonfig->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlininen-><br />
Sicherheitsoptionen<br />
<br />
Microsoft-Netzwerk (client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden<br />
<br />
Idee: ev. alles auf einen echten samba PDC umstellen!<br />
todo: gpedit.msc mal beschreiben!<br />
<br />
Die Lösung: der Firewall auf dem samba Server sperrte den Port 445. Dieser ist<br />
jedoch für die Kommunikation notwendig. Hier die Gesamtbeschreibung<br />
die ich mit Hilfe von Walter Mautner erstellt habe.<br />
<br />
> Eventuell noch Port 445 dazugeben.<br />
<br />
Walter! Das war die Lösung (freu), Win XP versucht scheinbar vorrangig am<br />
Port 445 rumzuposaunen. Nur wenn ein hartnäckiger User auf den Windows<br />
Explorer einschlägt springt er auf den Port 137ff um!<br />
<br />
<br />
Port 53=DNS<br />
Port 1900=<br />
XP's Windows Messenger is attempting to communicate to an Internet host. To block Windows Messenger's broadcasts:<br />
Hive: HKEY_LOCAL_MACHINE<br />
Key: Software\Microsoft\DirectPlayNATHelp\DPNHUPnP<br />
Name: UPnPMode<br />
Type: REG_DWORD<br />
Value: 2 disabled<br />
With UPnPMode=2, Universal Plug and Play Network Address Translation (NAT) traversal discovery does not occur.<br />
<br />
(newsgroupbeitrag) "<br />
Unser Liebling (=Linux-Server) fungiert nicht nur als Samba-Sklave sondern<br />
auch als DSL-Router. Somit wurde flux eine firewall installiert (auch<br />
selbstgemacht via iptables).<br />
Weil wir gerne alles kontrollieren wirkt diese auch auf das intene Netz:<br />
Pflichtbewust wurden jedoch die smb Ports 136,137,138,445 geöffnet, damit<br />
die Clients mit samba sprechen können.<br />
<br />
Alles ging -- ausser bei Windows XP Prof Clients, diese hatten beim ersten<br />
Zugriff auf einen Share z.B. im Explorer doppelklick auf den<br />
Laufwerksbuchstaben eine "Wartezeit" von ca. 8 Sekunden (hey, das ist<br />
verdammt lange). Danach war alles in Butter. Bis zu dem Moment, wo etwa 15<br />
Minuten kein Zugriff auf diesen Share auf diesem Client erfolgte (oder<br />
sofort nach einem Neustart des Clients). Danach wieder diese Denkpause.<br />
<br />
Die Lösung war: XP Prof SP1 versucht eine Kontaktaufnahme mit dem<br />
Samba-Server auf Port 80 (in Worten !achtzig!). Wir hatten das als "Angriff"<br />
aus dem internen Netz gewertet und geDROPed. (Auf port 80 haben wir keinen<br />
dienst auf unserem Server!). Bis XP gemerkt hatte, dass auf port 80 nix<br />
geht, machte es einen Kurzschlaf (eben diese 8 Sekunden). Jetzt, nachdem wir<br />
(grmpf!) halt Port 80 geöffnet haben geht alles ohne Zeitverzögerung.<br />
Unnötig zu sagen das dieses Verhalten ausschließlich XP hat!<br />
"<br />
<br />
(newsgroupbeitrag) "<br />
einen DROP zu machen war wirklich gemein. Zumal man ja im internen<br />
Netz nicht unbedingt "Paket-Antwort-Bandbreite" sparen muss.<br />
<br />
http://www.pl-forum.de/t_netzwerk/iptables.html<br />
<br />
[ ...<br />
<br />
* DROP: Paket vernichten, keine Benachrichtigung des Absenders.<br />
<br />
* REJECT: Ähnlich DROP wird das Paket abgewiesen, jedoch erhält der Absender<br />
eine Antwort auf das Paket.<br />
<br />
... ]<br />
<br />
-> bleibt die Frage? Was will XP am Port 80?<br />
"<br />
<br />
Beim Verbindungsversuch vom Windows XP Explorer zum Samba-Server ist mir aufgefallen, daß der XP-Client über den Port<br />
1039 bzw 1040 eine Verbindung zum Port 80 des Linux-Servers aufzubauen versucht (sichtbar gemacht mit<br />
tail -f /var/log/messages auf der Linux-Box. Hier werden die Drops, die der Kernel verursacht, protokolliert). Nach<br />
Öffnen des Ports 80 für Pakete vom internen Netz gab es keine Wartezeiten beim Verbindungsaufbau mehr.<br />
<br />
Im folgenden ein Auszug aus dem aktuellen Firewall-Skript. Dabei sind die letzten beiden Zeilen von Bedeutung.<br />
<br />
Das passende firewall Script Auszug.<br />
<br />
<br />
# --------------------------------------------------------------------------------<br />
# Samba aus dem internen Netz<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 135 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 139 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 139 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 445 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# XP-Explorer versucht Verbindung von HIGH_PORT auf port 80 des Linux-Servers! Warum?!?<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 80 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# --------------------------------------------------------------------------------<br />
<br />
Die passenden Ports in der Zusammenfassung<br />
<br />
netbios-ns 137/udp # NETBIOS Name Service<br />
netbios-dgm 138/udp # NETBIOS Datagram Service<br />
netbios-ssn 139/tcp # NETBIOS Session Service<br />
microsoft-ds 445/udp # Direct-Hosted Service<br />
microsoft-ds 445/tcp # Direct-Hosted Service<br />
http 80/tcp www www-http # World Wide Web<br />
# nur bei XP Clients notwendig<br />
<br />
---------------------------------------------------------<br />
* ES FOLGT DER REVISION INFO TEIL IM FORMAT<br />
* Rev x.xxx ([ "vonDatum" "-" ] "bisDatum") <DeinName><br />
---------------------------------------------------------<br />
<br />
35) ATX-Netzteile<br />
<br />
Das beschriebene Linux-System wird überwiegend als Server benutzt. Es muss<br />
sichergestellt sein, dass nach einem Stromausfall das System selbst wieder<br />
hochfährt.<br />
<br />
* In der Regel kann man bei modernen ATX - Boards im BIOS einstellen was<br />
im "Power Fail" Fall, gemacht werden soll. "Always ON" würde hier die<br />
richtige Einstellung lauten.<br />
<br />
* Bei machen Boards ist diese Einstellung nicht vorhanden (K7SOM) oder<br />
sie funktioniert nicht (div. Soltek Boards). In diesem Fall ist durch<br />
einen einfachen Eingriff diese Funktion sichergestellt.<br />
<br />
1) Das ATX-Netzteil besitzt einen breiten Spannungsstecker, der im Main-<br />
board steckt. Hier ist das !grüne Kabel! (von dem es nur eines gibt) ca.<br />
1 cm oberhalb des Steckers abzuschneiden (1cm deshalb, damit man ggf.<br />
die alte Funktion wieder herstellen kan).<br />
2) Von einem unbenutzen Stromstecker ist eines der mittleren schwarzen<br />
Kabel nahe am Stecker abzuscheiden.<br />
3) Beide Kabel nun durch alle Kabelbinder hindurch zurückziehen damit sie<br />
ab dem Netzteilaustritt freiliegen. Nun beide abisolieren, und die<br />
blanken Ende "verzwirblen". Mit Isolierband die blanke Stelle isolieren<br />
und das neue Kabelpaar schön an vorhandene Kabelstränge mit Kabelbinder<br />
fixieren.<br />
<br />
Effekt: Das ATX-Netzteil startet IMMER in den "Full Power" Modus egal, ob<br />
dies durch das Board signalisiert wird oder nicht.<br />
<br />
36) USB Devices (Memory, Flash, MP3 Player) unter Linux<br />
<br />
Nach reinstecken des SONY Microfault 32 MByte Sticks ging erst mal nix. Ich sah zwar, dass das LED<br />
des Memory Sticks vertraut blinkte. Doch bekam ich keinen Zugriff. Ich musste<br />
<br />
md /root/usb<br />
mount -t vfat /dev/sda /root/usb<br />
<br />
eingeben. Sofort waren die Dateien in /root/usb/ sichtbar. Ich speicherte was drauf mit <br />
"cp". Zog den Stick raus: Wieder eine Enttäuschung: auf dem Win XP war die Datei nicht<br />
sichtbar. Also wurde die Datei nicht wirklich geschrieben (HEUL!)? Also versuchte<br />
ich vor dem Rausziehen beim nächsten mal unzumounten.<br />
<br />
umount /dev/sda<br />
<br />
(soviel zu Thema hotplug!) OK, das ging dann. Mein Wunsch war, beim Einsetzen des<br />
USB-Sticks das Lied darauf (.mp3) abzuspielen. In meiner Naivität plazierte ich einfach<br />
ein Script Namens /etc/hotplug/usb/usbfs. Es passierte natürlich nichts. grmpf!<br />
<br />
In fstab habe ich aber eine Zeile eingetragen, die mir das USB-Device auf den Desktop<br />
gezaubert hat (was mir nix bringt!). Mein Spieltrieb animierte mich durch umount das<br />
device auszuhängen. Das Desktop Symbol blieb - es lies sich auch fehlerfrei anklicken,<br />
was einen Mount verursachte!<br />
<br />
Also ein Script via hotplug zu starten wenn der usb reingeteckt wird gebe ich<br />
hiermit auf!</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux.rsync&diff=4618Linux.rsync2004-09-14T20:00:16Z<p>192.168.115.95: </p>
<hr />
<div><b>rsync als Backup Hilfsmittel</b><br />
<br />
* am Quell-Server<br />
<br />
rsync Dämon muss laufen<br />
<br />
rcrsyncd status<br />
<br />
wenn nicht läuft runlevel 3 und 5 setzten und für den Moment aktivieren.<br />
<br />
<br />
joe /etc/rsyncd.conf<br />
<br />
gid = users<br />
read only = true<br />
use chroot = true<br />
transfer logging = true<br />
log format = %h %o %f %l %b<br />
log file = /var/log/rsyncd.log<br />
host allow = 192.168.115.0/255.255.255.0<br />
<br />
[srv]<br />
path = /srv<br />
read only = yes<br />
list = yes<br />
uid = nobody<br />
gid = nobody<br />
hosts allow = 192.168.115.94<br />
<br />
<br />
* arbeiten auf dem Backup-System<br />
<br />
rsync <br />
<br />
rsync einfach mal ohne Parameter eingeben! muss gehen! Wenn nicht "rsnyc" installieren<br />
<br />
rsync "host": <br />
<br />
Oder sehe ich den rsync-Server?<br />
<br />
telnet 192.168.115.181 873<br />
<br />
es muss das Wort RSYNC erscheinen, ansonsten hört dir niemand zu! Oder eine Firewall<br />
verhindert die Verbindung.<br />
<br />
Backup-Ziel-Verzeichnis vorbereiten:<br />
<br />
Ich wollte ein backup von "heute" und eines von "gestern" haben. Also habe im in <br />
meinem /backup-Pfad zwei Unterverzeichniise gemacht: (immer chmod 0777 nur so zur <br />
Sicherheit)<br />
<br />
backup/0 und<br />
backup/1<br />
<br />
hat man also eine Datei heute ausversehen gelöscht ist sie im anderen Pfad sicher noch vorhanden. <br />
Es ist dem Konzept der alternierenden Bänder ähnlich, bei der man Datensicherungen mit 3 Bändern<br />
immer alternierend durchführt: 1,2,3,1,2,3 usw.<br />
<br />
stelle sicher, dass cron als Dienst läuft (YaST2->System->runlevel editor) <br />
<br />
jetzt noch /etc/crontab editieren, und folgenden Eintrag machen:<br />
<br />
0 9,12,15,18,22 * * * root /root/backup.sh<br />
<br />
das /root/backup.sh sollte so aussehen<br />
<br />
------------------------------snip<br />
#!/bin/bash<br />
<br />
# <br />
# Bestimmen hier, wieviele Backup-Sätze die bevorraten willst.<br />
# In meinem Fall "2", also heute und gestern, bei entsprechendem<br />
# Plattenplatz kann das aber auch 20 oder 30 sein!<br />
#<br />
ANZAHL_BAENDER=2<br />
<br />
#<br />
# Hier wird eine alsolute Tag-Nummer ermittelt. Mit Hilfe des Modulo-<br />
# Operator erhält man die entsprechende "Band-Nummer", beginnen bei<br />
# Null (0).<br />
#<br />
BAND=$((($(date +%s)/86400)%$ANZAHL_BAENDER))<br />
<br />
#<br />
# mit dem touch ist es leicht möglich zu sehen wann der rsync<br />
# zuletzt "0", "1", ... bearbeitet hat. <br />
#<br />
touch /backup/$BAND<br />
<br />
# <br />
# jetzt der rsync an sich bwlimit verhindert, dass und rsync die ganze Bandbreite des Netzes<br />
# wegnimmt.<br />
#<br />
rsync -av --delete --force --ignore-errors --bwlimit=200 192.168.115.92::srv/* /backup/$BAND <br />
<br />
------------------------------snap<br />
<br />
kann man ja erst mal so per Hand aufrufen!<br />
<br />
andere Verzeichnisse, die Sicherungswürdig sind via "Links" mitsichern:<br />
<br />
ln -s /var/lib/mysql mysql<br />
<br />
Zugriffsprobleme auf Quelldateien: Werden nicht alle Dateien übertragen sollten die Zugriffsrechte, mit denen rsync die Dateien auf dem Quellsystem lesen kann erhöht werden.<br />
<br />
uid = root<br />
gid = root</div>192.168.115.95https://wiki.orgamon.org/index.php?title=JonDa.Server&diff=4432JonDa.Server2004-09-06T19:30:33Z<p>192.168.115.95: </p>
<hr />
<div><b>Port des XML-RPC Services</b><br />
<br />
3049<br />
<br />
<b>XML-RPC Funktionen</b><br />
<br />
<b>jonda.BasePlug () : array of string;</b> { Infos }<br />
<br />
// liefert diverse Informations-String:<br />
// 1) Datenbankname (im Moment nicht verfügbar, jonda benötigt im Moment keine Datenbank)<br />
// 2) Jonda - Server Versions-Nummer<br />
// 4) Indy Versions-Nummer<br />
//<br />
<br />
<b>jonda.StartTAN (GeraetID : string) : string;</b> { TAN }<br />
<br />
// erwartet eine 3 stellige Geräte Identifiktationsnummer wie z.B. 422<br />
// Die Funktion holt die passenden Gerätedaten von einem FTP Server<br />
// Ist das Gerät bekannt, so wird eine neue TAN Nummer gezogen, es wird<br />
// ein entsprechendes Verzeichnis geöffnet, und Upload Daten können <br />
// gezogen werden.<br />
<br />
<b>jonda.ProceedTAN (TAN : string) : integer;</b> { 0=OK,Ansonsten Fehlercodes }<br />
<br />
// verarbeitet alle Eingangsdaten und stellt die Ergebnisdateien<br />
// im entsprechenden TAN Verzeichnis zur Verfügung.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=JonDa.Server&diff=4426JonDa.Server2004-09-06T19:29:55Z<p>192.168.115.95: </p>
<hr />
<div><b>Port des XML-RPC Services</b><br />
<br />
3049<br />
<br />
<b>XML-RPC Funktionen</b><br />
<br />
<b>jonda.BasePlug () : array of string;</b><br />
<br />
// liefert diverse Informations-String:<br />
// 1) Datenbankname (im Moment nicht verfügbar, jonda benötigt im Moment keine Datenbank)<br />
// 2) Jonda - Server Versions-Nummer<br />
// 4) Indy Versions-Nummer<br />
//<br />
<br />
<b>jonda.StartTAN (GeraetID : string) : string; { TAN }</b><br />
<br />
// erwartet eine 3 stellige Geräte Identifiktationsnummer wie z.B. 422<br />
// Die Funktion holt die passenden Gerätedaten von einem FTP Server<br />
// Ist das Gerät bekannt, so wird eine neue TAN Nummer gezogen, es wird<br />
// ein entsprechendes Verzeichnis geöffnet, und Upload Daten können <br />
// gezogen werden.<br />
<br />
<b>jonda.ProceedTAN (TAN : string) : integer; { 0=OK,Ansonsten Fehlercodes }</b><br />
<br />
// verarbeitet alle Eingangsdaten und stellt die Ergebnisdateien<br />
// im entsprechenden TAN Verzeichnis zur Verfügung.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=JonDa.Server&diff=4425JonDa.Server2004-09-06T19:28:01Z<p>192.168.115.95: </p>
<hr />
<div><b>Port des XML-RPC Services</b><br />
<br />
3049<br />
<br />
<b>XML-RPC Funktionen</b><br />
<br />
jonda.BasePlug () : array of string;<br />
// liefert diverse Informations-String:<br />
// 1) Datenbankname (im Moment nicht verfügbar, jonda benötigt im Moment keine Datenbank)<br />
// 2) Jonda - Server Versions-Nummer<br />
// 4) Indy Versions-Nummer<br />
// * Mit Hilfe des Verbindungsstrings sollte auf die entsprechende Datenbank<br />
// konnektiert werden.<br />
// * In der Datenbank sollten nun alle weiteren Parameter, den Shop betreffend<br />
// eingegeben sein!<br />
// für den Shop wichtige Parameter:<br />
//<br />
// MusicPath=\\Linus\user\abu\Delphi\abu\Musik\<br />
//<br />
<br />
jonda.StartTAN (GeraetID : string) : string; { TAN }<br />
// erwartet eine 3 stellige Geräte Identifiktationsnummer wie z.B. 422<br />
// Die Funktion holt die passenden Gerätedaten von einem FTP Server<br />
// Ist das Gerät bekannt, so wird eine neue TAN Nummer gezogen, es wird<br />
// ein entsprechendes Verzeichnis geöffnet, und Upload Daten können <br />
// gezogen werden.<br />
<br />
jonda.ProceedTAN (TAN : string) : ;<br />
// verarbeitet alle Eingangsdaten und stellt die Ergebnisdateien<br />
// im entsprechenden TAN Verzeichnis zur Verfügung.</div>192.168.115.95https://wiki.orgamon.org/index.php?title=JonDa.Server&diff=4424JonDa.Server2004-09-06T19:15:32Z<p>192.168.115.95: </p>
<hr />
<div><br />
<br />
<b>XML-RPC Funktionen</b></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Linux&diff=4397Linux2004-08-25T21:50:49Z<p>192.168.115.95: </p>
<hr />
<div>1) Worum geht es<br />
<br />
* WARNUNG: Dieses HOWTO enthält Erfahrungsberichte und/oder Infos ohne<br />
jeglichen Anspruch auf Korrektheit. Alles ist hoch experimentell und nicht<br />
ausgiebig getestet. Es handelt sich eigentlich um ein lyrisches Werk freier<br />
Geister, einen Bezug zur Relalität (insbesondere ein Zusammenhang mit der<br />
Computertechnik) darf niemals vermutet werden. Eine Art Garantieanspruch aus<br />
diesen freien Gedankenexplosioen abzuleiten grenzt an Wahnsinn.<br />
<br />
* Wir wollen mit diesem Dokument das Neuaufsetzen eines Suse Workgroup-Servers<br />
beschreiben. Nach einem Crash soll es z.B. Alexander (vom HeBu-Musikverlag)<br />
möglich sein, ohne viel Nachdenken einen neuen suse-linux-server aufzusetzen!<br />
* Die Sache ist recht umfangreich, mal in Kurzform: Alle wollen über linux<br />
ins InterNet. Es läuft dort der SQL Server firebird. Alle (win32&MACs) nutzen<br />
Plattenplatz (via samba,netatalk). Der Port 80 soll auf einen Win32 Rechner<br />
geroutet werden.<br />
* ehm nochwas; frage niemals: "was sind server?"<br />
* Mitarbeiter:<br />
<br />
Andre Wolff , Entwickler<br />
Thilo Frey , Entwickler<br />
Andreas Filsinger , Entwickler (Projektleiter)<br />
<br />
2) Bitte mitarbeiten!<br />
<br />
MITARBEIT: Dem Paket liegt eine .rev Datei bei - es handelt dabei um den<br />
Source-Code dieses Dokumentes, das Dir gerade in der html-Form vorliegt.<br />
Es ist eine einfache .txt Datei, dummerweise mit der Dateiendung .rev.<br />
Diese Textdatei einfach abändern/erweitern (am besten mit notepad,write) und an<br />
andreas@filsinger.de mailen. Der macht dann ne neue Release draus. Nicht<br />
vergessen im unten Dokumentteil eine neue Revnummer zu beginnen (+Datum) und<br />
die Änderungen kurz zu dokumentieren.<br />
<br />
3) Erster (Kalt-)Start<br />
Rechner an, gleich ins System-Bios gehen, dazu <Entf> drücken,<br />
wenn die "Drives"-Erkennung läuft. Im BIOS nun<br />
->Advanced?!->Boot Device 0-><br />
von "HDD-0" auf "CDROM" umstellen,<br />
damit der Rechner von der DVD bootet. (das geht bei jedem BIOS anders)<br />
->Suse 7.3 DVD rein<br />
(oder 8.0, sorry dann alles bissel anders: aber besser!!)<br />
->Save and exit<br />
...Rechner bootet neu, und macht den ersten (Warm-)Start<br />
<br />
4) Suse DVD bootet ...<br />
<br />
Rechner erkennt, dass er von der DVD booten kann<br />
<br />
7.3<br />
"Manual Installation" bestätigen<br />
Bildschirm (farbe/mono)<br />
Tastaturbelegung Deutsch<br />
Installation/System starten<br />
Installation/Update starten<br />
Quellmedium CD-ROM auswählen<br />
YAST-Version grafisch wählen<br />
Laden aller (USB) Treiber bestätigen<br />
Installationssprache Deutsch<br />
Tastaturlayout "deutsch" und Zeitzone "Europa/Deutschland" wählen<br />
Installationsmodus "Neuinstallation" wählen<br />
Vorgeschlagene Partition ändern (Muss wegen Reiserfs gemacht werden)<br />
<br />
8.0<br />
Installation / deutsch / Neuinstallation<br />
<br />
8.2<br />
Manuelle Installation<br />
<br />
5) Festplatte einrichten:<br />
Also wir machen 3 Partitionen:<br />
<br />
"boot" kleine Mini-Partition: damit das booten immer klappt (ext2 oder ext3-Dateisystem)<br />
<br />
"swap" mittlere Partition: da werden RAM Speicherbereiche rausgeschrieben,<br />
um Platz zu machen für wichtigere Daten.<br />
Grösse= RAM * 2 oder mehr, aber immer größer als das RAM!<br />
"linux" eigentlicher Betriebssystem Bereich und Anwender und<br />
Benutzerbereich<br />
<br />
Bei "Festplatte vor ..."<br />
den<br />
[X] Benutzerdefiniert wählen!<br />
3 Partitionen anlegen:<br />
<br />
0..2 Linux native (ext2 oder ext3) mounting-point "/boot"<br />
3..84 Linux swap ----- ----------------------<br />
85..5004 Linux native (!reiserfs!) mounting-point "/"<br />
<br />
2. Platte mal noch offen lassen<br />
<br />
6) "Standard mit Office" installieren<br />
<br />
"Benutzername usw." (sorry weis nicht mehr genau wann das kommt).<br />
Rechnername: linus<br />
pwd für den root (=Administrator im win32 Dialekt) erst mal auch so eingeben<br />
pwd: linus<br />
<br />
"Monitor ändern"<br />
EIZO-F56 aber beachten dass die vorgeschlagene Wiederholfrequenz<br />
herunterkorrigiert wird. etwa 70 Hz-72 Hz, was der jeweilige Monitor<br />
verträgt.<br />
"Hardware konfigurieren" wählen!<br />
->Netzwerk,<br />
erste Netzwerkkarte<br />
100 MBit-Karte: KarteIP fest, zb. 192.168.100.72, Maske so ok<br />
"Rechnername und Nameserver" wählen!<br />
->name: linus<br />
->domäne: pcworld<br />
NameServer: 194.25.2.132 (T-online)<br />
zweite Netzwerkkarte<br />
10 MBit-Karte: KarteIP fest, zb. 192.168.99.72, Maske so ok<br />
(anderes logisches Netzwerk!)<br />
"Rechnername und Nameserver" diesmal nicht notwendig!<br />
<br />
->ISDN<br />
Euro-ISDN,Deutsch,t-online usw.<br />
Zugangsdaten für den flat bereithalten<br />
->Sound<br />
normales Setup->meist auf 100% Lautstärke anpassen, da wir sonst<br />
später nix mehr hören.<br />
<br />
7) vor dem ersten Start(Logout,beenden,neustarten)<br />
ins bios gehen (Taste <Entf>), Bootlaufwerk<br />
von "CDROM" auf "HDD-0" umstellen! Damit der Rechner niemals versehentlich<br />
von CD-bootet.<br />
immer als root einloggen<br />
<br />
8) Pakete nachinstallieren<br />
(als (Benutzernamen=)root eingelogged?!)<br />
[suse->]system->configuration->yast 2->Software deinstallieren/installieren<br />
(Software install/remove)<br />
->ev. Pakete "suchen" knopf, names des Paketes angeben<br />
doppelklick auf das paket<br />
<br />
X samba serie: n<br />
X netatalk serie: n<br />
X vnc serie: xap<br />
<br />
Folgende Pakete müssen deinstalliert werden:<br />
<br />
7.3<br />
===<br />
<br />
D Personal-Firewall<br />
D SuSE-Firewall<br />
D ipchains<br />
<br />
9) T-DSL, leider muss geschraubt werden. <br />
<br />
(nicht SuSE 9.0)<br />
<br />
Details auf http://sdb.suse.de/en/sdb/html/cg_pmtu2.html.<br />
<br />
a) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/options<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
b) editiere folgende Datei, (hier z.B. mit KWrite)<br />
<br />
kwrite /etc/ppp/peers/pppoe<br />
<br />
suche und setze die beiden werte wie angegeben, Ist diese Option durch ein<br />
"#" auskommentiert, den "#" weglöschen und dadurch die Option aktiv machen.<br />
<br />
mtu 1492<br />
mru 1492<br />
<br />
10) samba, Freigabe/Freigabenutzung von Verzeichnissen<br />
<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Büroanwendungen->Editoren->Advanced Editor)<br />
<br />
a) 7.3<br />
===<br />
/etc/rc.config:<br />
START_SMB="no" auf START_SMB="yes"<br />
<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
8.0 (veralteter Tipp):<br />
======================<br />
<br />
/etc/rc.d/boot.local<br />
unten neue Zeile: rcsmb start<br />
<br />
8.0 (neuester Stand):<br />
=====================<br />
<br />
Kontrollzentrum->YaST2 Module->System->Runlevel Editor->Runlevel eigenschaften-><br />
smb in der Liste suchen, und einstellen wie folgt:<br />
<br />
Aktiv B 0 1 2 3 5 6 S<br />
smb Ja 2 3 5<br />
smbfs Ja 2 3 5<br />
<br />
<br />
b) /etc/samba/smb.conf: (ersetzen bzw. aktivieren, ex sind globale einstellungen!)<br />
<br />
[global]<br />
log level = 1<br />
workgroup = Lummerland<br />
server string = Samba<br />
netbios name = LINUX<br />
security = share<br />
interfaces = 192.168.115.92<br />
hosts allow = 192.168.115.0/255.255.255.0<br />
os level = 99<br />
time server = yes<br />
unix extensions = yes<br />
encrypt passwords = yes<br />
null passwords = yes<br />
printing = CUPS<br />
printcap name = CUPS<br />
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192<br />
keepalive = 0<br />
wins support = yes<br />
local master = yes<br />
preferred master = yes<br />
guest account = nobody<br />
character set = ISO8859-15<br />
client code page = 850<br />
veto files = /*.eml/*.nws/riched20.dll/*.{*}/<br />
bind interfaces only = yes<br />
guest ok = yes<br />
[homes]<br />
comment = Home Directories<br />
valid users = %S<br />
browseable = no<br />
writeable = yes<br />
create mask = 0640<br />
directory mask = 0750<br />
<br />
[printers]<br />
comment = All Printers<br />
path = /var/tmp<br />
printable = yes<br />
create mask = 0600<br />
browseable = no<br />
<br />
[print$]<br />
comment = Printer Drivers<br />
path = /var/lib/samba/drivers<br />
write list = @ntadmin root<br />
force group = ntadmin<br />
create mask = 0664<br />
directory mask = 0775<br />
<br />
neu eingeben (ganz unten)<br />
<br />
[user]<br />
comment = Benutzer Freigabe<br />
path = /freigabe<br />
browseable = yes<br />
read only = no<br />
writeable = yes<br />
writable = yes<br />
guest ok = yes<br />
locking = no<br />
public = yes<br />
create mode = 777<br />
directory mode = 777<br />
<br />
c) nun eine Terminal-Session starten (Symbol mit der Muschel in der Startleiste)<br />
cd / * wechselt ins hauptverzeichnis<br />
mkdir /freigabe * erstellt den Pfad, der freigegeben wird<br />
chmod 0777 -R /freigabe * alle Rechte für alle<br />
rcsmb start * samba nun starten<br />
e) Wenn später weitere Verzeichnisse freigegeben werden sollen:<br />
in einer Terminal Session , samba stoppen:<br />
rcsmb stop<br />
mkdir /<Ihr neues Verzeichnis><br />
chmod 0777 -R /<Ihr neues Verzeichnis><br />
nun wieder /etc/smb.conf editieren<br />
neu eingeben (ganz unten)<br />
[NeuerFreigabeName]<br />
comment = "ihr kommentar"<br />
path = /<Ihr neues Verzeichnis><br />
... Rest wie oben ...<br />
<br />
f) Wenn man auf Linux eine Windows-Freigabe nutzen will<br />
Wenn man auf Linux eine samba-Freigabe (einer Linux Maschine) nutzen will<br />
<br />
mount -t smbfs -o username=fred,password=fred //brutus/User /g<br />
<br />
wobei "/g" ist das Unterverzeichnis in welches die Freigabe eingehängt wird<br />
fred,fred ist username/pwd die Zugriff zu dieser Freigabe ermöglicht<br />
//brutus der w2k-Server (oder auch ein Linux-Server)<br />
/User der Freigabename<br />
<br />
g) Diagnose<br />
log level =<br />
nmblookup<br />
<br />
h) Verzeichnisse nur für bestimmte User sichtbar machen (nicht möglich bei <br />
security=share, ev. auf security=user umschalten)<br />
<br />
Das Verzeichnis einer Benutzergruppe zuordnen (z.B. mp3users), die Du<br />
vorher anlegst und der Du Deine Berechtigten hinzufügst, aber nicht den Chef.<br />
Die Berechtigungen entsprechend setzen (kein r-x für "nobody") und dazu<br />
"hide unreadable = yes" in die Share-Definition.<br />
<br />
11) Netzwerk Verbindung prüfen<br />
<br />
auf einem win32 Rechner jetzt den Linux Server anpingen (per IP, nicht den )<br />
mehr Details siehe 22)<br />
<br />
ping 192.168.115.90<br />
<br />
12) Netatalk-konfiguration (zugriff auf einen Linux Share via MAC)<br />
<br />
(als (Benutzernamen=)root eingelogged?!)<br />
Adv.Edit (notepad ähnlich) starten (im "StarT"-Menü, Editoren->Advanced Editor)<br />
a) /etc/rc.config:<br />
START_ATALK="no" auf START_ATALK="yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
b) /etc/atalk/atalkd.conf<br />
eth0 auf eth1<br />
# nur ändern, wennn 100 Mbit-Karte eth1 ist (Network/Basic -> Network card configuration)<br />
c) /etc/atalk/AppleVolumes.default<br />
Zeile ganz unten mit nur der Tilde<br />
~<br />
rauslöschen!<br />
neue Zeile (auch ganz unten)<br />
/freigabe/mac "user" options:noadouble<br />
d) terminal fenster starten (muschel)<br />
cd /freigabe<br />
mkdir mac<br />
chmod 0777 -R /mac<br />
rcatalk start<br />
<br />
-> nach ca. 1 minute müsste "linus" sichtbar sein, ev. als<br />
linus/linus verbinden!<br />
<br />
e) Diagnose<br />
<br />
nbplkup<br />
<br />
13) firebird (SQL Server) installieren (Angabe beziehen sich teilweise auf den HeBuAdmin!)<br />
(als (Benutzernamen=)root eingelogged?!)<br />
<br />
1a) Besonderheit bei SuSE 8.1<br />
=========================<br />
<br />
leider funktioniert die Installation hier nicht mehr. Ursache ist die<br />
Datei /etc/rc.config, die in SuSE 8.1 nicht mehr existiert (enthielt auch<br />
bei 8.0 kaum noch etwas und wurde durch /etc/sysconfig/* ersetzt)<br />
<br />
Wenn wir vor der Installation mit<br />
<br />
touch /etc/rc.config<br />
<br />
eine leere Datei anlegen, funktioniert auch die Installation des Servers<br />
wieder!<br />
<br />
Download und Installation<br />
=========================<br />
<br />
Installations-Package vom Internet downloaden<br />
<br />
den aktuellen "superServer" als rpm von<br />
<br />
http://sourceforge.net/projects/firebird<br />
<br />
downloaden. Im aktuellen Fall ist das:<br />
<br />
Firebird-1.0.1.821-0-SS.i386.rpm<br />
<br />
Mit dem "KDE-Filemanager" (Quick-Browser->Root Directory->"/"->Open In FileManager)<br />
Sucht man die *.rpm datei. Es reicht nun diese Datei anzuklicken.<br />
Es wird der Paketmanager gestartet. Man kann diesen auch über die shell starten mit<br />
dem Befehl: "kpackage".<br />
ev. [x] replace all noch anklicken, und auf "install" klicken!<br />
<br />
!! Beobachtung zum Update-Fall: Ich musste !immer! erst den alten firebird deinstallieren<br />
bevor ich einen neuen installieren konnte. Das "upgrade" hat bei mir nie funktioniert<br />
auch durch einen reboot wurde firebird nicht wieder gestartet.<br />
!! "rcfirebird status" ging nicht, das script wude nicht gefunden!<br />
<br />
Erster Start<br />
============<br />
<br />
in einem Terminal-Fenster einfach mal prüfen, ob die Installation geklappt<br />
hat.<br />
<br />
rcfirebird status<br />
<br />
Wenn hier etwas vernünftiges angezeigt wird (unused oder so) kann der Server<br />
gestartet werden:<br />
<br />
rcfirebird start<br />
<br />
2) Autostart des firebird-Servers:<br />
<br />
historisch:<br />
<br />
/opt/interbase/bin/ibmgr -shut -user "SYSDBA" -password "masterkey"<br />
/opt/interbase/bin/ibmgr -start -forever<br />
<br />
7.3 (damals noch mit RC2.rpms)<br />
===<br />
<br />
editieren von "/etc/rc.d/boot.local" eintragen von:<br />
<br />
/etc/rc.d/firebird start<br />
<br />
editieren von "/etc/rc.d/halt.local" eintragen von:<br />
<br />
/etc/rc.d/firebird stop<br />
<br />
8.0,8.1 (jetzt mit dem 1.0 rpms)<br />
=======<br />
<br />
a)<br />
Kontrollzentrum->YaST2 Module->System->Runlevel Editor->Runlevel eigenschaften-><br />
firebird in der Liste suchen, und einstellen wie folgt:<br />
<br />
Aktiv_B_0_1_2_3_5_6_S<br />
firebird Ja____________3_5____<br />
<br />
b) /etc/rc.config<br />
START_FIREBIRD="yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
<br />
3) Wohin mit den gdbs? Am besten in eine "Freigabe" wo alle<br />
alle Zugriff haben. Alle User sollten raus aus der DB, dann<br />
einfach die gdb von der PC-Welt auf die Unix-Welt verschieben!<br />
die <ProjektName>.ini ändern, IP-Adresse und datenbank-name<br />
auf Linux anpassen (z.B.):<br />
<br />
192.168.100.72:/freigabe/HeBuData/HeBu.gdb<br />
<br />
Superwichtig: Gross- und Kleinschreibung spielt bei datenbank-Dateinamen<br />
(wie überhaupt bei linux) eine Rolle. Erst hinter dem samba-Maske ist es<br />
wieder egal. Ev. Datei/verzeichnisnamen richtig umbenennen.<br />
<br />
3a) Es gibt dann ja noch den Datenbank Backup-Pfad aus der Sicht des Servers.<br />
Nehmen wird mal wie oben an die Datenbank liegt auf:<br />
/freigabe/HeBuData/HeBu.gdb, wir wollen, das dort auch die Backups erzeugt<br />
werden, wir müssen dann im HebuAdmin in den Systemeinstellungen schreiben:<br />
<br />
DatenbankBackupPfad=/freigabe/HeBuData/<br />
FreigabePfad=H:\HeBuData\<br />
<br />
somit kann der Hebuadmin die Sicherungen in das eigene .\Datensicherungs<br />
verzeichnis verschieben. Nur so wird auch sichergestellt, dass das Sicherungs<br />
verzeichnis auf dem Linux Server nicht überläuft.<br />
<br />
4b) firebird 1.5<br />
<br />
7.x Benutzer<br />
<br />
das aktuelle rpm versäumt es die Abhängigkeit von folgenden 2 rpms anzuzeigen:<br />
<br />
*libgcc_s.so.1 aus libgcc-3.2-46.i586.rpm<br />
*libstdc++.so.5 aus libstdc++.rpm<br />
<br />
Man kann hier mal nachsehen:<br />
<br />
ftp.leo.org/pub/comp/os/unix/linux/suse/people/nashif/SuSE/SLES/x86<br />
oder bei rmpseek.com<br />
<br />
ldd -v <programmname> kann auf einem System, auf dem alles läuft :-( gute auskunft<br />
geben was das "Programm" so alles noch mit lädt - bei einem firebird ist so ziemlich<br />
interessant. Der "eigentliche" Server ist eingentlich "libfbembedd.so", dieser wird<br />
hochgezogen, wenn fb_inet_Server geladen wird.<br />
<br />
<br />
Überblick<br />
<br />
der neueste Firebird 1.5 liegt nur als Classic Server "CS" vor. Das bedeutet,<br />
es läuft kein einzelner Dämon sondern pro Verbindung wird ein Server-Prozess<br />
neu gestartet. Die Synchronisation erfolgt über Datei-Locks der jeweiligen<br />
Datenbank-Datei.<br />
Bei dem Hochstarten der einzelnen Server-Prozesse hilft xinetd (ehemals inetd).<br />
Dies ist ein Programm, das dabei Hilft auf einzelnen Ports eines Linux-Systems<br />
Dienste anzubieten. Man beschreibt seinen Dienst in einer config-Datei, wenn<br />
dann ein Verbindungsversuch auf dem Angegebenen Port Stattfindet startet xinetd<br />
das angegebene Programm und leitet die Anfrage an dieses Programm weiter.<br />
<br />
-> 8.x<br />
===<br />
Damit der CS Server nach einem reboot wieder läuft muss xinetd in den<br />
Runleveln 3&5 laufen.<br />
<br />
7.x<br />
===<br />
/etc/rc.config<br />
START_INETD="yes"<br />
<br />
14) Einsatz als firebird-raib<br />
<br />
8.0<br />
===<br />
<br />
raib ist ein RAID 5 Array aus 3 unabhängigen firebird servern und einem Master.<br />
Zum einsatz kommt ein (selbstgebautes) Server Blade mit 4 Rechnern. Dazu muss<br />
nach erfolgreicher Installation der Hardware-Scan beim booten (hwscan) deaktiviert<br />
werden, da diese Rechner ohne Keyboard und Maus laufen. hwscan stoppt sonst<br />
das Hochfahren und bringt einen Maus-Auswahldialog.<br />
<br />
15) DVD ist weg - und man muss Software nachinstallieren:<br />
<br />
<br />
Unter YaSt2, Software, Softwarequelle, eine FTP Quelle anlegen<br />
<br />
Servername: ftp.gwdg.de <br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/9.0 <br />
<br />
8.2<br />
===<br />
<br />
Verzeichnis: pub/linux/suse/ftp.suse.com/suse/i386/8.2 <br />
<br />
<br />
<br />
16) Firebird Datenbank Crash?<br />
<br />
konkrete Verwendung einzelner Befehle für fix, backup und restore.<br />
siehe ibreorg.bat in der Anlage. (der ist leider für Win32-DOS-Box!)<br />
die Befehle müssten auch unter linux so gehen. der Pfad ist aber<br />
<br />
/opt/interbase/bin/gbak ....<br />
<br />
--- snip<br />
@echo off<br />
REM -------------------------------------------------<br />
REM Reparatur einer inkonsistenten FireBird Datenbank<br />
REM<br />
REM (c) Andreas Filsinger, www.cargobay.de<br />
REM -------------------------------------------------<br />
REM<br />
REM Usage<br />
REM<br />
REM reorg <Pfad und Name der Datenbank OHNE ".gdb"><br />
REM<br />
REM --------------------------------------------<br />
REM<br />
REM ACHTUNG: richtigen Pfad ermitteln, indem Sie nach der<br />
REM Datei gbak.exe suchen lassen. Und hier eintragen:<br />
REM<br />
SET IBBIN=D:\programme\borland\interbase\bin\<br />
REM<br />
REM --------------------------------------------<br />
REM 1) fix erros<br />
REM<br />
%IBBIN%gfix -mend -full -ignore -user "SYSDBA" -password "masterkey" %1.gdb<br />
REM --------------------------------------------<br />
REM 2) backup fixed base<br />
REM<br />
%IBBIN%gbak -backup -v -ignore -garbage -user "SYSDBA" -password "masterkey" %1.gdb %1_neu.gbk<br />
REM --------------------------------------------<br />
REM 3) restore base<br />
REM<br />
REM zusätzlich noch "-i" wenn Indizes deaktiviert werden sollen<br />
REM<br />
%IBBIN%gbak -r -v -p 8192 -user "SYSDBA" -password "masterkey" %1_neu.gbk %1_neu.gdb<br />
REM --------------------------------------------<br />
REM 4) check new one<br />
REM<br />
%IBBIN%gfix -v -f -user "SYSDBA" -password "masterkey" %1_neu.gdb<br />
REM --------------------------------------------<br />
--- snap<br />
<br />
Bemerkungen<br />
===========<br />
<br />
a) Backup-möglich aber fail beim Restore: wegen inkonsistenter Indizes<br />
ich habe mal erlebt, das foreign Key nicht mehr konsistent waren, und deshalb<br />
der restore abgebrochen hat. Alle Indizes kann man jedoch als inaktiv restoren,<br />
(Option -i )<br />
nach löschen /clearen der "Schuldigen" kann man alle indizes wieder aktivieren,<br />
wieder ein backup, wieder ein restore -> alles wieder gut.<br />
(Sourcecode dazu im HeBuAdmin Projekt)<br />
damit der HebuAdmin alle indizes sehen kann braucht er "out.txt". Das ist die<br />
Ausgabe eines erfolgreichen restores, der alle indizes enthält.<br />
Unter linux gibt man die Ausgabe von gbak mit 2>/freigabe/out.txt in eine Datei<br />
aus.<br />
<br />
firebird-Erkenntnis<br />
===================<br />
<br />
internal gds software consistency check (partner index description not found (175))<br />
<br />
dieser Fehler tritt beim löschen eines Datensatzes auf, der eventuell durch einen<br />
foreign key einer anderen Tabelle referenziert werden könnte. Ist dieser key<br />
deactiviert so kann keine Aussage getroffen werden, ob das löschen ok ist, dieser<br />
interne Fehler ist die Folge!!<br />
<br />
17) Routing, Masquerading und Firewall<br />
<br />
Alle Arbeitsplatz-Rechner sicher und einfach ins InterNet zu bringen<br />
ist hierbei vorrangiges Ziel.<br />
<br />
a) Skript "myfirewall.sh" (in der Anlage sicherlich aktueller als dieser Snapshot)<br />
nach /root kopieren.<br />
<br />
--- snip<br />
# !/bin/bash<br />
IPTABLES=/usr/sbin/iptables<br />
DEV_LOC=eth0<br />
DEV_EXT=ppp0<br />
DNS_EXT=194.25.2.129<br />
# for IF in $DEV_LOC $DEV_EXT do<br />
# Kernelmodule laden<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/eth0/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/eth0/log_martians<br />
<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/rp_filter<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/accept_source_route<br />
echo "0" > /proc/sys/net/ipv4/conf/$DEV_EXT/bootp_relay<br />
echo "1" > /proc/sys/net/ipv4/conf/$DEV_EXT/log_martians<br />
<br />
<br />
# done<br />
<br />
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br />
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses<br />
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate<br />
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate<br />
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate<br />
<br />
# Zu Anfang alles verbieten (Default Policy)<br />
$IPTABLES -P INPUT ACCEPT<br />
$IPTABLES -P OUTPUT ACCEPT<br />
$IPTABLES -P FORWARD ACCEPT<br />
<br />
# Alle Regelketten, die sich noch im Speicher befinden k"nnten, l"schen<br />
$IPTABLES -F<br />
$IPTABLES -t nat -F<br />
$IPTABLES -X<br />
<br />
# Verbindungen fr Testzwecke am eigenen Rechner ber das Loopback. Einige<br />
# lokale Prozesse wie BIND verwenden das Loopback fr die interne Kommunikation<br />
$IPTABLES -A OUTPUT -o lo -j ACCEPT<br />
$IPTABLES -A INPUT -i lo -j ACCEPT<br />
<br />
# Alle externen Verbindungsversuche und ander Merkwrdigkeiten werden hier<br />
# aufgefangen, im SYSLOG vermerkt und dann unsch„dlich gemacht<br />
$IPTABLES -N nirwana<br />
# $IPTABLES -A nirwana -p TCP -j LOG --log-prefix "NIRWANA: TCP "<br />
# $IPTABLES -A nirwana -p UDP -j LOG --log-prefix "NIRWANA: UDP "<br />
# $IPTABLES -A nirwana -p ICMP -j LOG --log-prefix "NIRWANA: ICMP "<br />
# $IPTABLES -A nirwana -p TCP -j DROP<br />
<br />
# Kernelmodule masq und forwarding aktivieren (dyn. IP vom Provider)<br />
echo "1" > /proc/sys/net/ipv4/ip_dynaddr<br />
echo "1" > /proc/sys/net/ipv4/ip_forward<br />
$IPTABLES -t nat -A POSTROUTING -o $DEV_EXT -j MASQUERADE<br />
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br />
<br />
# Für alle bestehenden ein- und ausgehenden Verbindungen. Dritte Regel<br />
# verhindert alle Verbindungen die Auáen kommen<br />
$IPTABLES -A FORWARD -i $DEV_LOC -o $DEV_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state ESTABLISHED,RELATED -j ACCEPT<br />
# $IPTABLES -A FORWARD -i $DEV_EXT -o $DEV_LOC -m state --state NEW,INVALID -j nirwana<br />
<br />
# Zugriff auf internen WEB-Server<br />
# $IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 80 -j DNAT --to 192.168.115.8:80<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
<br />
# WinMx auf fred!<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p tcp --dport 6699 -j DNAT --to 192.168.115.3:6699<br />
$IPTABLES -t nat -A PREROUTING -i $DEV_EXT -p udp --dport 6257 -j DNAT --to 192.168.115.3:6257<br />
<br />
# Ping ins Internet erlauben, eingehende werden von der NIRWANA-Rule abgefangen<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p ICMP --icmp-type echo-request -j ACCEPT<br />
<br />
# DNS<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport domain -d $DNS_EXT -m state --state NEW -j ACCEPT<br />
<br />
# HTTP<br />
$IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport http -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport https -m state --state NEW -j ACCEPT<br />
<br />
# FTP<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport ftp -m state --state NEW -j ACCEPT<br />
# $IPTABLES -A FORWARD -o $DEV_EXT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT<br />
<br />
# Alle Pakete, die bis hierher kommen nach nirwana<br />
$IPTABLES -A INPUT -j nirwana<br />
$IPTABLES -A OUTPUT -j nirwana<br />
$IPTABLES -A FORWARD -j nirwana<br />
--- snap<br />
<br />
<br />
__zukünfiges thema: lokales umlenken lokaler Port traffics. Z.b. aller verkehr aus dem Internet<br />
soll umgeleitet werden von "80" auf "8080".<br />
<br />
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT \<br />
--to-ports 8080<br />
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner \! --uid-owner 13 \<br />
-j REDIRECT --to-ports 8080<br />
<br />
Should work. I tested it on my own firewall, although I just tested it<br />
with netcat, not a real proxy.<br />
<br />
Locally generated packets don't go through the PREROUTING chain, so you<br />
have to manipulate them in OUTPUT, and you also have to differentiate<br />
them from the proxy's outgoing packets, hence the match against uid 13<br />
(proxy), taken from /etc/passwd.<br />
<br />
Unfortunately, you'll have to enable owner match support in your kernel<br />
for the second line to work, so you might have to recompile (it's one of<br />
the features labelled experimental).<br />
<br />
Jason<br />
<br />
__zukünfiges thema: Bandbreiten verteilung: siehe artikel in c't 01/03. Kommt aber<br />
sicher stablier ab "suse 8.2", das es kernel >2.4.19 erfordert.<br />
<br />
b) mit<br />
<br />
chmod 755 /root/myfirewall.sh<br />
<br />
macht man dieses Script ausführbar. Nun starten ...<br />
<br />
/root/myfirewall.sh<br />
<br />
c) Automatischer Start der Firewall beim booten ...<br />
<br />
Als root einloggen und folgende Zeilen eingeben:<br />
<br />
ln -s /root/myfirewall.sh /etc/init.d/rc2.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc3.d/S30myfirewall <RETURN><br />
ln -s /root/myfirewall.sh /etc/init.d/rc5.d/S30myfirewall <RETURN><br />
<br />
fehlt noch: "K" links, myfirewall sollte echtes Script werden, das<br />
"start" und "stop" auswerten kann.<br />
<br />
d) Eintrag in /etc/rc.config ändern: IP_FORWARD="no" auf "yes"<br />
Eintrag wirksam machen mit SuSEconfig<br />
<br />
18) lokaler SMTP Forwarder<br />
<br />
* win32 outlook express clients sollen bei der email-Konten-Einstellung den<br />
Eintrag "smtp-Server:" von dem "wirklichen" Server auf die IP des Linux-Servers<br />
umstellen können. POP Eintrag MUSS bleiben.<br />
* Der Linux Server muss ausgehende Mails mit 100 MBit/s annehmen, und<br />
lokal zwischenspeichern.<br />
* Der smtp Dienst von Linux muss eine autentifizierung des Users verlangen.<br />
(wie bei heutigen smtps üblich, mit dem gleichen Konto/pwd wie für pop3)<br />
* Der Linux Server sollte als "relay" fungieren, und die mail somit völlig<br />
unangetastet lassen.<br />
* Durch die Identifizierung mit dem smtp "Konto-Name" muss der Linux Server<br />
ermitteln (in einer config-Datei) wer der wirkliche smtp Server im Internet<br />
ist. Der Server muss nun (in aller Ruhe) dafür sorgen dass die Mail zugestellt<br />
wird. Es sollte kein "fester" relay-smtp für "alle" email-Konten benutzt werden.<br />
<br />
<br />
---------------------------------------------------------------------------------------<br />
Aufsetzen des Mailservers postfix<br />
---------------------------------------------------------------------------------------<br />
<br />
Andre Wolff 24.4.2003<br />
<br />
---------------------------------------------------------------------------------------<br />
<br />
<br />
---------------<br />
1. Installation<br />
---------------<br />
<br />
Postfix wird bei der Version 8.2 standardmäßig installiert. Zur Überprüfung, ob postfix<br />
installiert und aktiv ist, wie folgt vorgehen:<br />
<br />
- Aufrufen des YAST2-Kontrollzentrum<br />
- Auswahl System<br />
- Den Runlevel-Editor starten<br />
- Auf "Runlevel-Eigenschaften..." klicken<br />
<br />
In der nun angezeigten Liste sollte ein Eintrag postfix vorhanden sein. Ist dieser als aktiv<br />
gekennzeichnet und für die Runlevels 3 und 5 konfiguriert, ist alles Ok. Sollte der Eintrag<br />
postfix nicht vorhanden sein, muß das Programm evtl. nachinstalliert werden:<br />
<br />
- Runlevel-Editor ggf. wieder beenden<br />
- Aus dem YAST2-Kontrollzentrum "Software" auswählen<br />
- Auswahl "Software installieren oder löschen"<br />
- Im Kombinationsfeld Filter den Eintrag "Suche" auswählen und im Suchfeld<br />
postfix eingeben und auf die Schaltfläche "Suche" klicken<br />
- in der Paketliste postfix auswählen und auf Schaltfläche "Akzeptieren" klicken<br />
<br />
----------------<br />
2. Konfiguration<br />
----------------<br />
<br />
Da SuSE versucht alle wichtigen Programme direkt aus YAST oder YAST2 heraus automatisch <br />
zu konfigurieren, wir aber das Mail-System unseren Bedürfnissen explizit anpassen wollen,<br />
muß die automatische Konfiguration für postfix abgeschaltet werden:<br />
<br />
- Im YAST2-Kontrollzentrum "System|Editor für /etc/sysconfig-Dateien" auswählen<br />
- Dann Auswahl "Network|Mail|General"<br />
- Ändern des Eintrages "MAIL_CREATE_CONFIG" von yes auf no und Sysconfig-Editor <br />
beenden<br />
<br />
<br />
Datei "main.cf" anpassen<br />
<br />
Datei /etc/postfix/main.cf mit einem Editor öffnen. Die Einträge wie folgt ändern<br />
oder das '#'-Zeichen entfernen :<br />
<br />
myhostname = smtp.hebu.de<br />
mydomain = hebu.de<br />
mynetworks = 192.168.100.0/24,127.0.0.0/8<br />
smtpd_banner = $myhostname ESMTP<br />
relay_domains = $mydestination, <dom1>, <dom2>, ...<br />
<br />
<br />
Anpassen des Firewall-Skriptes<br />
<br />
Eintrag in /root/fwdsl.start nach dem Eintrag "Samba aus dem internen Netz":<br />
<br />
#--------------------------------------------------------------------------------<br />
# E-Mail zum relayen<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport 25 --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
---------------------------------------------------------------------------------<br />
<br />
Folgende Erweiterung für DNS eintragen <br />
<br />
#--------------------------------------------------------------------------------<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p UDP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -m state --state NEW -p TCP --sport $HIGH_PORT --dport domain -j ACCEPT<br />
#--------------------------------------------------------------------------------<br />
<br />
<br />
Bei den E-Mail-Clients muß nun der neue SMTP-Server eingetragen werden.<br />
<br />
Bei Outlook und Outlook-Express unter "Extras|Konten" die Registerkarte "E-Mail" auswählen.<br />
Dann mit einem Doppelklick die Eigenschaften des gewünschte Mailkontos öffnen. Auf der<br />
Registerkarte Server bei "Postausgang (SMTP)" die IP-Adresse des neuen Mail-Relays<br />
eintragen.<br />
<br />
19) Bandbreiten Management<br />
<br />
Hier: Der eMail-Ausgangsstrom soll uns nicht die Bandbreite des Web-Shop mindern.<br />
<br />
* Noch nicht Teil dieses Bugets - aber bitte im Hinterkopf behalten: Durch Einträge<br />
mit Hilfe von iptabels kann ab Kernel 2.4.20 die bandbreite gewisser dienste<br />
vorbestimmt werden. Ich suche mal den Artikel in der c't. Wir starten, wenn<br />
Suse 8.2 bei mir vorliegt (ist vorbestellt!)<br />
<br />
20) lokaler DNS Forwarder<br />
<br />
* DNS-Adressen wechseln ganz im Gegensatz zu HTML-Inhalten nicht so<br />
häufig. Deshalb will ich keinen vollständigen Proxy einsetzten. Aber ich<br />
will nicht, dass jede (wiederholte) DNS Anfrage ins INternet rausgepustet<br />
wird! Bis sich alle Datenbanken weltweit angeglichen haben kann schon mal<br />
ein halber Tag vergehen, also können wir auch guten gewissens DNS anfragen<br />
cache, etwa mit einer Haltbarkeit der cache inhalte von 10 min ?!. Deshalb<br />
ist ein Caching unbedenklich, und auch be-sonders lohnend, da einige UDP/TCP<br />
Verbindungsaufbau-Vorgänge lokal abgewickelt werden können!<br />
* Die Idee liegt nahe, hey man könnte den Linux-Server doch auch als<br />
Name-Server (DNS-relay) einsetzen. Egal welcher Provider dann angewählt ist<br />
(=welcher nameserver auch immer angegeben werden muss) der lokale DNS-Server<br />
leitet alle Anfragen immer an die richtige Adresse (nämlich an den Nameserver<br />
draussen im INternet) weiter. Wie die jeweiligen namenserver heissen steht ja<br />
in der /etc/resolv.conf. Die Clients müssen nix mehr umstellen (im Feld<br />
Nameserver)! Gateway UND Nameserver haben dann die gleiche Zieladresse.<br />
Adresse<br />
<br />
Zuerst werden die Pakete [bind9] aus der Serie [n] sowie die [bind9-utils] <br />
installiert und in Yast2 im "Runlevel-Editor" - "Runlevel eigenschaften" <br />
Named auf "start" gesetzt.<br />
<br />
Danach in der Datei "/etc/named.conf" folgende, mit den Pfeilen markierten <br />
Anpassungen eintragen:<br />
<br />
-------------------------------------------------------------------------<br />
<br />
options {<br />
<br />
-> auth-nxdomain no;<br />
<br />
# The directory statement defines the name server's<br />
# working directory<br />
<br />
directory "/var/named";<br />
# The forwarders record contains a list of servers to<br />
# which queries should be forwarded. Enable this line and<br />
# modify the IP-address to your provider's name server.<br />
# Up to three servers may be listed.<br />
<br />
# forwarders { 10.11.12.13; 10.11.12.14; };<br />
<br />
-> forwarders { 194.25.2.129; 212.185.248.148; };<br />
<br />
# Enable the next entry to prefer usage of the name<br />
# server declared in the forwarders section.<br />
<br />
-> forward first;<br />
<br />
# The listen-on record contains a list of local network<br />
# interfaces to listen on. Optionally the port can be<br />
# specified. Default is to listen on all interfaces found<br />
# on your system. The default port is 53.<br />
<br />
# listen-on port 53 { 127.0.0.1; };<br />
<br />
# The listen-on-v6 record enables or disables listening<br />
# on IPV6 interfaces. Allowed values are 'any' and 'none'<br />
# or a list of addresses. IPv6 can only be used with<br />
# kernel 2.4 in this release.<br />
<br />
listen-on-v6 { any; };<br />
<br />
# The next three statements may be needed if a firewall<br />
# stands between the local server and the internet.<br />
<br />
# query-source address * port 53;<br />
# transfer-source * port 53;<br />
# notify-source * port 53;<br />
<br />
# The allow-query record contains a list of networks or<br />
# IP-addresses to accept and deny queries from. The<br />
# default is to allow queries from all hosts.<br />
<br />
# allow-query { 127.0.0.1; };<br />
<br />
# If notify is set to yes (default), notify messages are<br />
# sent to other name servers when the the zone data is<br />
# changed. Instead of setting a global 'notify' statement<br />
# in the 'options' section, a separate 'notify' can be<br />
# added to each zone definition.<br />
<br />
notify no;<br />
};<br />
<br />
# The following three zone definitions don't need any modification.<br />
# The first one defines localhost while the second defines the<br />
# reverse lookup for localhost. The last zone "." is the<br />
# definition of the root name servers.<br />
<br />
zone "localhost" in {<br />
type master;<br />
file "localhost.zone";<br />
};<br />
<br />
zone "0.0.127.in-addr.arpa" in {<br />
type master;<br />
file "127.0.0.zone";<br />
};<br />
<br />
zone "." in {<br />
type hint;<br />
file "root.hint";<br />
};<br />
<br />
# You can insert further zone records for your own domains below.<br />
---------------------------------------------------------------------<br />
<br />
<br />
<br />
Jetzt ist noch in der Datei "/etc/resolv.conf" anzugeben, dass man zur <br />
Namensauflösung den lokalen DNS-Server benutzt.<br />
<br />
------------------------------------------------------------------------<br />
<br />
search<br />
nameserver 127.0.0.1<br />
<br />
------------------------------------------------------------------------<br />
<br />
<br />
Damit die "/etc/resolv.conf" nicht bei jeder Einwahl wieder überschrieben <br />
wird muss der Parameter "MODIFY_RESOLV_CONF_DYNAMICALLY" in der Datei <br />
"/etc/sysconfig/network/config" auf "no" gesetzt werden. Um aber bei Änderungen<br />
an der DNS Konfiguration des Providers nicht vor der Tür zu stehen sollte in <br />
der gleichen Datei die Option "MODIFY_NAMED_CONF_DYNAMICALLY" auf "yes" gesetzt<br />
werden. Dadurch werden die "forwarders" in der"/etc/named.conf" bei jeder <br />
Einwahl aktualisiert.<br />
<br />
<br />
Nun müssen die neuen Gegebenheiten der Firewall mitgeteilt werden. Folgende <br />
Zeilen werden im Script "/root/fwdsl.start" nach der Sektion <br />
<br />
"# E-Mail zum relayen" <br />
<br />
hinzugefügt.<br />
<br />
--------------------------------------------------------------------------------<br />
# DNS-Forwarding<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j<br />
<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p TCP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_ISDN -p UDP --sport $HIGH_PORT --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
------------------------------------------------------------------------<br />
<br />
<br />
Zum Abschluß werden auf den Windows-Clients in den Netzwerkeinstellungen bei den<br />
TCP/IP-Eigenschaften unter Gateway und DNS die IP-Adresse des LINUX-Servers<br />
angegeben.<br />
<br />
21) Fernwartung einiger Rechner im Netz von aussen via InterNet via VNC<br />
<br />
(beide Systeme (Zielsystem & Remotesystem) müssen eigentlich nur im InterNet<br />
sein! Der eine z.B. via ISDN, der andere z.B. via DSL, super natürlich: beide via DSL)<br />
<br />
auf jedem Win32-Ziel-Rechner installiert man den VNC-Server:<br />
(freier download unter www.tightvnc.com) Das myfirewall-Script muss<br />
für je einen Rechner um eine Script-Zeile erweitert werden.<br />
<br />
Es gibt auch einen Viewer(Client) für den MAC<br />
http://sourceforge.net/projects/cotvnc/<br />
<br />
# VNC für Brutus, Displaynummer=0 oder nix angeben<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5900 -j DNAT --to 192.168.115.1:5900<br />
# VNC für Fred, Displaynummer=1<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5901 -j DNAT --to 192.168.115.3:5900<br />
# VNC für joe<br />
$IPTABLES -A PREROUTING -t nat -p tcp -i $DEV_EXT --dport 5902 -j DNAT --to 192.168.115.8:5900<br />
# usw. ...<br />
<br />
die aktuelle IP (die man "daheim" angeben muss) ermittelt man aus der gepachten IP-<br />
Adresse im InterNet (Rechter Mausklick auf die HomePage, Quelltext anzeigen, IP-Adresse<br />
rauskopieren). Beim einloggen gibt man neben der (aktuellen) IP die Displaynummer an, also<br />
217.217.20.118:1 (für z.B. fred) und das passwort wie immer. ACHTUNG: immer auf beiden<br />
Seiten 16 bit farben (= High-Color) verwenden! Den Rechner, den man fernwarten will:<br />
sollte ganz ganz schnell sein (ich meine das ernst), und ne super schnelle 2D Grafikkarte<br />
haben (z.B. Matrox G450). Der Rechner mit dem man fernwarten will: Der dreht leider eigentlich<br />
(fast) immer Däumchen, der kann ruhig alt und schwach sein!!! Hier sollte nur eine gute Anbindung<br />
ans Internet sichergestellt werden! Hilfreich: etwas größere Auslösung wie das Ziel-System, aber<br />
auch High-Color! Wichtig: Passwörter möglichst >8 Zeichen.<br />
<br />
VNC - Remote Control des Servers mit Hilfe von z.B. einer Windows-Maschine.<br />
Für Leute, die nicht in den Serverraum laufen möchten, oder kein Geld mehr<br />
für einen Monitor am Linux-Rechner haben, weil das Betriebssystem so teuer war ;-)<br />
<br />
vnc-paket installieren (mit Yast 2)<br />
Terminal Session starten<br />
vncserver eingeben, pwd vergeben<br />
von irgendeiner anderen Maschine einloggen:<br />
192.168.115.72:1<br />
-pwd eingeben<br />
Es muss ein Terminal-Fenster erscheinen, dort kan man nun<br />
kde<br />
eingeben wenn man eine kde-session starten will...<br />
<br />
Suse 7.x<br />
========<br />
<br />
Damit der VNC- Server beim booten allein gestartet wird, genügt ein Eintrag in /etc/rc.d/rc.<br />
Die Zeile, die ganz unten (Suse 8.0: vor "exit 0") ergänzt werden muß lautet:<br />
<br />
su -l root -c "vncserver -cc 3 :1 -alwaysshared"<br />
<br />
Suse 8.0<br />
========<br />
<br />
Suse 8.1<br />
========<br />
<br />
** Obige Methode läuft nicht mehr unter Suse 8.1.<br />
<br />
Bemerkung: Es war mal bei 8.0 notwendig an einer Maschine, die den vncserver nicht<br />
mehr allein startet, wieder keyboard und monitor anzuschliesen, um sich "echt"<br />
(in kde) einzuloggen, danach lief wieder alles super.<br />
<br />
Suse 8.2<br />
========<br />
<br />
YaST2 / System / Editor für /etc/sysconfig-Dateien / Desktop / Display Manager:<br />
Die Variable DisplayManager_Remote_Access auf yes setzen.<br />
Auf der Konsole rcxdm restart eingeben.<br />
YaST2 / Netzwerkdienste / Netzwerkdienste (inetd) aufmachen und die 4<br />
Einträge mit "VNC" im Namen aktivieren.<br />
Andere Computer (auch Windows-Maschinen) können nun über den Browser den<br />
VNC-Server ansprechen. Dazu benötigt er Java.<br />
Die URL lautet: http://Vncserver-Rechner:5810.<br />
<br />
Wer auf der Client-Seite nicht im Webbrowser arbeiten will, benutzt den VNCViewer.<br />
Für diese Anwendung lautet nun der angefragte Hostname "Vncserver-Rechner:10"<br />
oder "Vncserver-Rechner:11", auch wieder mit IP-Adresse des Zielsystems möglich,<br />
z.B. 192.168.115.93:10.<br />
<br />
24) Der Linux Server gibt die Zeit vor<br />
<br />
dazu wird das Paket xntp verwendet. Wir vertrauen auf die Atom-Uhr der<br />
Physikalisch-Technischen Bundesanstalt in Braunschweig, welche die<br />
die amtliche Zeit in Deutschland vorschreibt. Siehe auch:<br />
<br />
http://www.ptb.de/de/org/q/q4/q42/ntp/ntp_main.htm<br />
http://www.zvon.org/tmRFC/RFC2030/Output/chapter4.html<br />
http://www.linux-magazin.de/Artikel/ausgabe/2000/12/Timeserver/Timeserver.html<br />
<br />
* Paket xntp installieren<br />
* Datei /etc/ntp.conf editieren, und die 2 Zeilen:<br />
<br />
server ptbtime1.ptb.de<br />
server ptbtime2.ptb.de<br />
<br />
im entsprechenden Bereich hinzufügen.<br />
* Runlevel auf 3 & 5 setzen<br />
<br />
erzwingen einer sofortigen Korrektur:<br />
<br />
rcxntpd force-reload<br />
<br />
musst du mal die Uhrzeit per Hand einstellen, muss du dummerweise erstmal<br />
das aktuelle datum ermittlen:<br />
<br />
date <ENTER><br />
<br />
nun erfolgt die Eingabe in folgendem Format<br />
<br />
date MMTThhmm[JJJJ][.ss] <ENTER><br />
<br />
<br />
25) WIN32-Clients nutzen die Zeit des Linux-Rechner<br />
<br />
net time \\<IP-Adresse des Linux Servers><br />
<br />
ev. kleiner Batch schreiben, der beim Login immer ausgeführt<br />
wird.<br />
<br />
26) WIN32- Clients einrichten<br />
<br />
Windows 2000(W2K) XP<br />
<br />
a) Standard-Gateway (wegen Internetnutzung)<br />
<br />
Start->Einstellungen(Systemsteuerung)->Netzwerk- und DFÜ-Verbindungen->LAN Verbindung-><br />
Eigensxhaften->Internetverbindungen(TCP/IP)->Eigenschaften-><br />
Standardgateway: IP des Servers<br />
Bevorzugter DNS-Server: IP des Servers<br />
<br />
b) WINS Support einschalten (wegen keepcon-Namensauflösung)<br />
<br />
Start->Systemsteuerung->Netzwerkverbindungen->lan-verbindung(rechter<br />
mausklick)->eigenschaften->internetprotokoll(tcp/ip)->Eigentschaften->Erweit<br />
ert->WINS->Hinzufügen->IP des Servers eintragen.->ok->ok->schliessen.<br />
<br />
Unverträglichkeit mit AVM KEN!<br />
<br />
AVM KEN Klient "InterNet" Installation auf dem Arbeitsplatz, der via Linux ins Internet will: nicht erlaubt<br />
AVM KEN Klient irgendwo auf anderen Arbeitsplatz im selben Netz: erlaubt<br />
AVM KEN Server irgendwo im Netz: erlaubt<br />
<br />
«fehlt(2)»:<br />
AVM KEN! Klient als reines "CAPI - Sharing" das müsste doch gehen? Oder?<br />
-> prüfen! (manche wollen weiterhin über den KEN!-Server faxen!)<br />
<br />
27) Eine andere Linux-Maschine will ins Internet<br />
<br />
1) YAST2 ->network ->routing ->Standart-Gateway=IP des Servers<br />
2) YAST2 ->advanced network ->DNS ->IP des Servers<br />
<br />
28) Kernel Updates<br />
(es soll niemand mehr sagen das sei schwierig!)<br />
<br />
nur für Suse 7.2 notwendig, (HISTORISCH - NICHT NOTWENDIG AB 7.3):<br />
<br />
Einspielen des Kernels 2.4.7<br />
<br />
Dies ist notwendig, da masquerading irgend einen Bug hat. Auch hat sich das<br />
einspielen als sehr heilsam für das ganze System herausgestellt. (Auch TDSL!)<br />
<br />
downloaden des Kernels (als rpm) von<br />
ftp.suse.com/pub/suse/i386/update/7.2/kernel/2.4.7/k_deflt-2.4.7-25.i386.rmp<br />
Terminal-Fenster starten, eingeben<br />
YaST <ENTER><br />
"paketverwaltung (update,install,auf..)"<br />
Paket einspielen<br />
Quelle (nun den obigen rpm lokalisieren)<br />
markieren mit Leertaste, damit installiert wird<br />
<F10> zum Installieren drücken<br />
YaST beenden, ein cleanup wird durchgeführt<br />
mk_initrd <ENTER><br />
lilo <ENTER><br />
-> system neu booten!!!<br />
<br />
29) Win32-Kiste: Der Apache-Web Server<br />
<br />
dieses Kapitel gehört eigentlich nicht hier herein - aber es hat mit dem<br />
Routing zu tun, so dass es doch die Linux Installation überhaupt erst ver-<br />
ständlich macht! Anforderung: Kommt eine http:/ Anfrage aus dem Internet<br />
auf den Linux Rechner zu (auf Port 80) muss er diese Anfrage auf einen<br />
anderen Rechner im Netz routen (sorry auf eine win32-Kiste). Dieser hat eine<br />
feste IP-Adresse in lokalen Netz. Es ist ein Windows 2000 Rechner mit Apache<br />
Web Server installiert. Die Anwort geht wieder an den Linux, und dann raus<br />
ins Internet. Weil wir eine Suchmaschine (in form einer ISAPI-DLL) nur für<br />
win32 haben, (und dem IIS von Microsoft nicht (mehr) trauen) wird auf win32<br />
der Apache Web-Server installiert. Der kann wunderbar ISAPI-Dlls ausführen!<br />
In der Anlage findet man die Apache-Konfiguration: httpd.conf (Die bestehende<br />
Konfiguration sollte nicht überschrieben werden, sondern nur geänderte Punkte<br />
eintragen) Die geänderten Punkte sind:<br />
<br />
a) von ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options none<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
zu ...<br />
<br />
<Directory "D:/Programme/Apache Group/Apache/cgi-bin"><br />
AllowOverride None<br />
Options ExecCGI<br />
Order allow,deny<br />
Allow from all<br />
</Directory><br />
<br />
b) von ...<br />
<br />
# To use CGI scripts:<br />
#<br />
# AddHandler cgi-script .cgi<br />
<br />
zu ...<br />
<br />
# To use CGI scripts:<br />
#<br />
<br />
AddHandler cgi-script .cgi<br />
AddHandler isapi-isa .dll<br />
<br />
Ich hatte den apache 1.3.22 installiert!<br />
<br />
http://httpd.apache.org/dist/httpd/binaries/win32/apache_1.3.22-win32-x86.exe<br />
<br />
in die .\cgi-bin muss die HebuWeb.dll (Delphi Open-Source Projekt auf www.cargobay.de)<br />
kopiert werden. Die Inhalte des Suchverzeichnisses müssen mal von "williams" beim<br />
Hebu-Musikverlage gesichert werden. Die DLL enthällt fest Pfadangaben für die<br />
"Datenbankdateien" diese sollte man noch durch eine ini-Datei festlegen können.<br />
Der feste Pfad ist im Moment noch "C:\HeBu\"<br />
<br />
«fehlt(2)»: HebuWeb.dll durch Ini-Datei configuerierbar machen<br />
<br />
30) Win32-Kiste: AutoStart, AutoLogin von Windows 2000,XP<br />
<br />
Nach einem Stromausfall sollten natürlich alle Systeme selber wieder hochfahren.<br />
Mit einem "Login"-Schirm am nächsten morgen ist natürlich niemand geholfen.<br />
<br />
1a) Automatischer Benutzer-Login<br />
<br />
Zunächst braucht man einen Benutzer mit einem Passwort. Der manuelle Login sollte<br />
natürlich funktionieren. Nun<br />
<br />
mit Start->Ausführen->regedit folgende Einträge anwählen<br />
<br />
"HKEY_LOCAL_MACHINE" -> "SOFTWARE" -> "Microsoft" -><br />
"Windows NT" -> "CurrentVersion" -> "Winlogon"<br />
<br />
AutoAdminLogon:REG_SZ:1<br />
DefaultPassword:REG_SZ:<das PWD><br />
DefaultUserName:REG_SZ:<der Benutzername><br />
<br />
Es kann sein dass es den "DefaultPassword" - "Wert" nicht gibt, dann mit<br />
"Neu->Zeichenfolge" anlegen (Typ ist String, wie alle Werte).<br />
<br />
1b) Nur XP<br />
<br />
Art der Anmeldung auf "klassisch" ändern. Start->Systemsteuerung->Benutzer<br />
verwalten->Art der Anmeldung->obere Option (Willkommensschirm verwenden)-><br />
deaktivieren!<br />
<br />
2) Automatischer Start von RouteIp UND<br />
Outlook Express<br />
<br />
rechter Mausklick auf Start->Öffnen(alle Benutzer)->Programme->Autostart<br />
<br />
in diesen Ordner eine Verknüpfung mit RouteIP (kann aus dem Menü mit rechtem<br />
Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
in diesen Ordner eine Verknüpfung mit Outlook-Express (kann aus dem Menü mit<br />
rechtem Mausklick auf den entsprechenden Menüeintrag & kopieren) erstellen.<br />
<br />
(kleiner Exkurs: Warum Outlook: Es dient uns als eMail Empfänger auf der<br />
Apache Server Station. Outlook sollte auf 1 Minütiges Abfragen der Mail<br />
eingestellt sein, so dass immer eine aufrechterhaltung der Verbindung<br />
gewährt bleibt!)<br />
<br />
3) Automatischer Start von VNCViewer, Apache<br />
<br />
dies sollte automatisch erfolgen, wenn beide Programme als Windows 2000 Dienst<br />
installiert wurden. -> Aber lieber testen!<br />
<br />
31) keepcon, RouteIP.exe, ein kleiner Einstieg<br />
<br />
Dieses linux / win32 program ermittelt die aktuelle IP Adresse wie unser Server im<br />
Moment im Internet sichtbar ist, und patched die html-Seiten drausen<br />
im InterNet, um die aktuelle IP Adresse den surfern draussen unterzujubeln.<br />
Mehr Infos über RouteIP im InterNet www.cargobay.de**<br />
Mehr Infos über keepcon im InterNet www.cargobay.de<br />
<br />
** RouteIP wird langfristig durch keepcon ersetzt.<br />
keepcon siehe "http://www.cargobay.de/keepcon.html"<br />
<br />
32) Die Win32-Clients wollen Plattenplatz auf dem Linux nutzen ...<br />
<br />
Schritt 0)<br />
<br />
(Netzwerkkarte und Verkabelung sind Grundvoraussetzungen, darauf will<br />
und kann ich nicht eingehen)<br />
<br />
Schritt 1) (mache dich sichtbar)<br />
<br />
freie IP-Adresse des lokalen Adressraumes (192.168.100.1 .. 192.168.100.254)<br />
ausdenken, DOKUMENTIEREN in einem Netzwerkplan <br />
und unter Start->Einstellungen->Systemsteuerung->Netzwerk->Protokolle->TCP/IP-><br />
Eigenschaften->feste IP->Adresse eingeben (Maske ist immer 255.255.255.0)<br />
<br />
Schritt 2) (bist du sichtbar?)<br />
<br />
starte eine DOS-Box (Start->Zubehör->Eingabeaufforderung) und pinge den Samba-<br />
Arbeitgeber im Netz an.<br />
<br />
ping 192.168.100.72<br />
<br />
bevor hier keine Antwort kommt, braucht man gar nicht weitermachen!<br />
Nun einen Laufwerksbuchstaben auf den samba-Share mappen:<br />
Mit dem Windows-Explorer: extras->Netzlaufwerk verbinden<br />
<br />
Laufwerk: G:\ // Dein neues (Netz-)Laufwerk<br />
Ordner: \\192.168.115.72\user // (geht also auch ohne Namensauflösungsproblematik)<br />
<br />
Tip Netzwerkumgebung: Erwarte niemals, dass in der win32 - "netzwerkumgebung"<br />
der Linux-Rechner sichtbar ist, den Du gerade frisch eingebunden<br />
hast! Schaue erst in der "netzwerkumgebung" nach, frühestens<br />
30 min nachdem eh schon alles geht!<br />
<br />
33) Linux Grundlagen<br />
<br />
halt // Ausschalten (Herunterfahren)<br />
reboot // Neustart<br />
joe // ein textbasierter Editor<br />
kwrite // ein grafischer Text/Script-Editor! (Nein vi ist nicht mein Fall!!)<br />
ps x // ausgeben aller laufenden Programme<br />
// ev. mit z.B. "| grep smb" vervollständigen<br />
mc // dateimanager (wegen filefind)<br />
<br />
df // Diskfree, zeigt Belegung/Mounting der Festplatten an<br />
// Summer der Bytes freien Festplattenplatzes<br />
du -s -h /pfad // Summe aller Bytes in einem Pfades angeben<br />
<br />
./configure // typische 3er Befehlskette zum compilieren&installieren eines open source<br />
make // projektes.<br />
make install<br />
<br />
netstat --numeric -p | grep fb_inet_server // anzeigen aller an firebird connectierten<br />
ps -A | grep fb // anzeiger aller firebird - Prozesse<br />
lsof <firebirddatenbankdatei> // anzeige aller User auf einer firebird Datenbank<br />
lsof -p PID eines fb:_inext_servers // anzeiger der Dateien, die der Prozess offen hat<br />
// es wird auch angegeben wer (welcher remote) connectiert ist.<br />
uname -a // anzeige der aktuellen Kernel Version <br />
<br />
34) samba & firewall & Windows<br />
<br />
Mit samba 2.2.5 und Windows XP Professional Service Pack 1 machten wir folgende<br />
Beobachtung:<br />
<br />
Windows XP Professional zeigt nach eigenem Neustart den samba-share<br />
als "gestört" an (rotes kleines "X" im Symbol). Der erste Zugriff<br />
erfolgt im Windows Explorer dann auch nach eine langen Denkpause.<br />
<br />
* Umstellen von "security=share" auf "security=user" im smb.conf<br />
brachte nichts! (incl. der ganzen Arbeit, die damit zusammenhängt<br />
(User anlegen)).<br />
* Umstellen der "Richtlinien" wie es die Newsgroups vorgeben brachte<br />
auch nichts!<br />
<br />
Start->Ausführen->gpedit.msc<br />
<br />
Computerkonfig->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlininen-><br />
Sicherheitsoptionen<br />
<br />
Microsoft-Netzwerk (client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden<br />
<br />
Idee: ev. alles auf einen echten samba PDC umstellen!<br />
todo: gpedit.msc mal beschreiben!<br />
<br />
Die Lösung: der Firewall auf dem samba Server sperrte den Port 445. Dieser ist<br />
jedoch für die Kommunikation notwendig. Hier die Gesamtbeschreibung<br />
die ich mit Hilfe von Walter Mautner erstellt habe.<br />
<br />
> Eventuell noch Port 445 dazugeben.<br />
<br />
Walter! Das war die Lösung (freu), Win XP versucht scheinbar vorrangig am<br />
Port 445 rumzuposaunen. Nur wenn ein hartnäckiger User auf den Windows<br />
Explorer einschlägt springt er auf den Port 137ff um!<br />
<br />
<br />
Port 53=DNS<br />
Port 1900=<br />
XP's Windows Messenger is attempting to communicate to an Internet host. To block Windows Messenger's broadcasts:<br />
Hive: HKEY_LOCAL_MACHINE<br />
Key: Software\Microsoft\DirectPlayNATHelp\DPNHUPnP<br />
Name: UPnPMode<br />
Type: REG_DWORD<br />
Value: 2 disabled<br />
With UPnPMode=2, Universal Plug and Play Network Address Translation (NAT) traversal discovery does not occur.<br />
<br />
(newsgroupbeitrag) "<br />
Unser Liebling (=Linux-Server) fungiert nicht nur als Samba-Sklave sondern<br />
auch als DSL-Router. Somit wurde flux eine firewall installiert (auch<br />
selbstgemacht via iptables).<br />
Weil wir gerne alles kontrollieren wirkt diese auch auf das intene Netz:<br />
Pflichtbewust wurden jedoch die smb Ports 136,137,138,445 geöffnet, damit<br />
die Clients mit samba sprechen können.<br />
<br />
Alles ging -- ausser bei Windows XP Prof Clients, diese hatten beim ersten<br />
Zugriff auf einen Share z.B. im Explorer doppelklick auf den<br />
Laufwerksbuchstaben eine "Wartezeit" von ca. 8 Sekunden (hey, das ist<br />
verdammt lange). Danach war alles in Butter. Bis zu dem Moment, wo etwa 15<br />
Minuten kein Zugriff auf diesen Share auf diesem Client erfolgte (oder<br />
sofort nach einem Neustart des Clients). Danach wieder diese Denkpause.<br />
<br />
Die Lösung war: XP Prof SP1 versucht eine Kontaktaufnahme mit dem<br />
Samba-Server auf Port 80 (in Worten !achtzig!). Wir hatten das als "Angriff"<br />
aus dem internen Netz gewertet und geDROPed. (Auf port 80 haben wir keinen<br />
dienst auf unserem Server!). Bis XP gemerkt hatte, dass auf port 80 nix<br />
geht, machte es einen Kurzschlaf (eben diese 8 Sekunden). Jetzt, nachdem wir<br />
(grmpf!) halt Port 80 geöffnet haben geht alles ohne Zeitverzögerung.<br />
Unnötig zu sagen das dieses Verhalten ausschließlich XP hat!<br />
"<br />
<br />
(newsgroupbeitrag) "<br />
einen DROP zu machen war wirklich gemein. Zumal man ja im internen<br />
Netz nicht unbedingt "Paket-Antwort-Bandbreite" sparen muss.<br />
<br />
http://www.pl-forum.de/t_netzwerk/iptables.html<br />
<br />
[ ...<br />
<br />
* DROP: Paket vernichten, keine Benachrichtigung des Absenders.<br />
<br />
* REJECT: Ähnlich DROP wird das Paket abgewiesen, jedoch erhält der Absender<br />
eine Antwort auf das Paket.<br />
<br />
... ]<br />
<br />
-> bleibt die Frage? Was will XP am Port 80?<br />
"<br />
<br />
Beim Verbindungsversuch vom Windows XP Explorer zum Samba-Server ist mir aufgefallen, daß der XP-Client über den Port<br />
1039 bzw 1040 eine Verbindung zum Port 80 des Linux-Servers aufzubauen versucht (sichtbar gemacht mit<br />
tail -f /var/log/messages auf der Linux-Box. Hier werden die Drops, die der Kernel verursacht, protokolliert). Nach<br />
Öffnen des Ports 80 für Pakete vom internen Netz gab es keine Wartezeiten beim Verbindungsaufbau mehr.<br />
<br />
Im folgenden ein Auszug aus dem aktuellen Firewall-Skript. Dabei sind die letzten beiden Zeilen von Bedeutung.<br />
<br />
Das passende firewall Script Auszug.<br />
<br />
<br />
# --------------------------------------------------------------------------------<br />
# Samba aus dem internen Netz<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 135 --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 137 --dport 137 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 138 --dport 138 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p UDP --sport 445 --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 135 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 135 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 139 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 139 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 445 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 445 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# XP-Explorer versucht Verbindung von HIGH_PORT auf port 80 des Linux-Servers! Warum?!?<br />
$IPTABLES -A INPUT -i $DEV_INT -s $INT_NET -p TCP --sport $HIGH_PORT --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
$IPTABLES -A OUTPUT -o $DEV_INT -d $INT_NET -p TCP --sport 80 --dport $HIGH_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />
<br />
# --------------------------------------------------------------------------------<br />
<br />
Die passenden Ports in der Zusammenfassung<br />
<br />
netbios-ns 137/udp # NETBIOS Name Service<br />
netbios-dgm 138/udp # NETBIOS Datagram Service<br />
netbios-ssn 139/tcp # NETBIOS Session Service<br />
microsoft-ds 445/udp # Direct-Hosted Service<br />
microsoft-ds 445/tcp # Direct-Hosted Service<br />
http 80/tcp www www-http # World Wide Web<br />
# nur bei XP Clients notwendig<br />
<br />
---------------------------------------------------------<br />
* ES FOLGT DER REVISION INFO TEIL IM FORMAT<br />
* Rev x.xxx ([ "vonDatum" "-" ] "bisDatum") <DeinName><br />
---------------------------------------------------------<br />
<br />
35) ATX-Netzteile<br />
<br />
Das beschriebene Linux-System wird überwiegend als Server benutzt. Es muss<br />
sichergestellt sein, dass nach einem Stromausfall das System selbst wieder<br />
hochfährt.<br />
<br />
* In der Regel kann man bei modernen ATX - Boards im BIOS einstellen was<br />
im "Power Fail" Fall, gemacht werden soll. "Always ON" würde hier die<br />
richtige Einstellung lauten.<br />
<br />
* Bei machen Boards ist diese Einstellung nicht vorhanden (K7SOM) oder<br />
sie funktioniert nicht (div. Soltek Boards). In diesem Fall ist durch<br />
einen einfachen Eingriff diese Funktion sichergestellt.<br />
<br />
1) Das ATX-Netzteil besitzt einen breiten Spannungsstecker, der im Main-<br />
board steckt. Hier ist das !grüne Kabel! (von dem es nur eines gibt) ca.<br />
1 cm oberhalb des Steckers abzuschneiden (1cm deshalb, damit man ggf.<br />
die alte Funktion wieder herstellen kan).<br />
2) Von einem unbenutzen Stromstecker ist eines der mittleren schwarzen<br />
Kabel nahe am Stecker abzuscheiden.<br />
3) Beide Kabel nun durch alle Kabelbinder hindurch zurückziehen damit sie<br />
ab dem Netzteilaustritt freiliegen. Nun beide abisolieren, und die<br />
blanken Ende "verzwirblen". Mit Isolierband die blanke Stelle isolieren<br />
und das neue Kabelpaar schön an vorhandene Kabelstränge mit Kabelbinder<br />
fixieren.<br />
<br />
Effekt: Das ATX-Netzteil startet IMMER in den "Full Power" Modus egal, ob<br />
dies durch das Board signalisiert wird oder nicht.<br />
<br />
36) USB Devices (Memory, Flash, MP3 Player) unter Linux<br />
<br />
Nach reinstecken des SONY Microfault 32 MByte Sticks ging erst mal nix. Ich sah zwar, dass das LED<br />
des Memory Sticks vertraut blinkte. Doch bekam ich keinen Zugriff. Ich musste<br />
<br />
md /root/usb<br />
mount -t vfat /dev/sda /root/usb<br />
<br />
eingeben. Sofort waren die Dateien in /root/usb/ sichtbar. Ich speicherte was drauf mit <br />
"cp". Zog den Stick raus: Wieder eine Enttäuschung: auf dem Win XP war die Datei nicht<br />
sichtbar. Also wurde die Datei nicht wirklich geschrieben (HEUL!)? Also versuchte<br />
ich vor dem Rausziehen beim nächsten mal unzumounten.<br />
<br />
umount /dev/sda<br />
<br />
(soviel zu Thema hotplug!) OK, das ging dann. Mein Wunsch war, beim Einsetzen des<br />
USB-Sticks das Lied darauf (.mp3) abzuspielen. In meiner Naivität plazierte ich einfach<br />
ein Script Namens /etc/hotplug/usb/usbfs. Es passierte natürlich nichts. grmpf!<br />
<br />
In fstab habe ich aber eine Zeile eingetragen, die mir das USB-Device auf den Desktop<br />
gezaubert hat (was mir nix bringt!). Mein Spieltrieb animierte mich durch umount das<br />
device auszuhängen. Das Desktop Symbol blieb - es lies sich auch fehlerfrei anklicken,<br />
was einen Mount verursachte!<br />
<br />
Also ein Script via hotplug zu starten wenn der usb reingeteckt wird gebe ich<br />
hiermit auf!<br />
<br />
37) rsync als Backup Hilfsmittel<br />
<br />
Quell-Server:<br />
=============<br />
<br />
rsync Dämon muss laufen<br />
<br />
rcrsyncd status<br />
<br />
wenn nicht läuft runlevel 3 und 5 setzten und für den Moment aktivieren.<br />
<br />
<br />
<br />
joe /etc/rsyncd.conf<br />
<br />
gid = users<br />
read only = true<br />
use chroot = true<br />
transfer logging = true<br />
log format = %h %o %f %l %b<br />
log file = /var/log/rsyncd.log<br />
host allow = 192.168.115.0/255.255.255.0<br />
<br />
[srv]<br />
path = /srv<br />
read only = yes<br />
list = yes<br />
uid = nobody<br />
gid = nobody<br />
hosts allow = 192.168.115.94<br />
<br />
<br />
Arbeiten auf dem Backup-System<br />
==================================<br />
<br />
a) rsync paramter eingeben! muss gehen! Wenn nicht "rsnyc" installieren<br />
<br />
b) rsync "ping": Oder sehe ich den rsync-Server?<br />
<br />
telnet 192.168.115.181 873<br />
<br />
es muss das Wort RSYNC erscheinen, ansonsten hört dir niemand zu! Oder eine Firewall<br />
verhindert die Verbindung.<br />
<br />
c) Backup-Ziel-Verzeichnis vorbereiten:<br />
<br />
Ich wollte ein backup von "heute" und eines von "gestern" haben. Also habe im in <br />
meinem /backup-Pfad zwei Unterverzeichniise gemacht: (immer chmod 0777 nur so zur <br />
Sicherheit)<br />
<br />
backup/0 und<br />
backup/1<br />
<br />
hat man also eine Datei heute ausversehen gelöscht ist sie im anderen Pfad sicher noch vorhanden. <br />
Es ist dem Konzept der alternierenden Bänder ähnlich, bei der man Datensicherungen mit 3 Bändern<br />
immer alternierend durchführt: 1,2,3,1,2,3 usw.<br />
<br />
stelle sicher, dass cron als Dienst läuft (runlevel editor) <br />
<br />
jetzt noch /etc/crontab editieren, und folgenden Eintrag machen:<br />
<br />
0 9,12,15,18,22 * * * root /root/backup.sh<br />
<br />
das /root/backup.sh sollte so aussehen<br />
<br />
------------------------------snip<br />
#!/bin/bash<br />
<br />
# <br />
# Bestimmen hier, wieviele Backup-Sätze die bevorraten willst.<br />
# In meinem Fall "2", also heute und gestern, bei entsprechendem<br />
# Plattenplatz kann das aber auch 20 oder 30 sein!<br />
#<br />
ANZAHL_BAENDER=2<br />
<br />
#<br />
# Hier wird eine alsolute Tag-Nummer ermittelt. Mit Hilfe des Modulo-<br />
# Operator erhält man die entsprechende "Band-Nummer", beginnen bei<br />
# Null (0).<br />
#<br />
BAND=$((($(date +%s)/86400)%$ANZAHL_BAENDER))<br />
<br />
#<br />
# mit dem touch ist es leicht möglich zu sehen wann der rsync<br />
# zuletzt "0", "1", ... bearbeitet hat. <br />
#<br />
touch /backup/$BAND<br />
<br />
# <br />
# jetzt der rsync an sich bwlimit verhindert, dass und rsync die ganze Bandbreite des Netzes<br />
# wegnimmt.<br />
#<br />
rsync -av --delete --force --ignore-errors --bwlimit=200 192.168.115.92::srv/* /backup/$BAND <br />
<br />
------------------------------snap<br />
<br />
kann man ja erst mal so per Hand aufrufen!<br />
<br />
Links mitsichern<br />
<br />
ln -s /var/lib/mysql mysql</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=6570Order2004-08-25T20:13:12Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;3 oder mehr Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
<tr><br />
<td bgcolor=#3399FF><br />
&nbsp;&nbsp;&nbsp;&nbsp;2 Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#99CCFF><br />
&nbsp;&nbsp;&nbsp;&nbsp;1 Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#CCFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;Sie haben vor, genau so viel zu bestellen wie das System vorschlägt</td><br />
</tr><br />
<tr><br />
<td>&nbsp;&nbsp;&nbsp;&nbsp;<NULL> keine Vorschlagsmenge durch das System ermittelbar</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;1 zu wenig -> mehr bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFF66><br />
&nbsp;&nbsp;&nbsp;&nbsp;2 zu wenig -> mehr bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFCC33><br />
&nbsp;&nbsp;&nbsp;&nbsp;3 oder mehr Artikel zu wenig -> mehr bestellen</td><br />
</tr><br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4347Order2004-08-25T20:12:44Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;3 oder mehr Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
<tr><br />
<td bgcolor=#3399FF><br />
&nbsp;&nbsp;&nbsp;&nbsp;2 Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#99CCFF><br />
&nbsp;&nbsp;&nbsp;&nbsp;1 Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#CCFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;Sie haben vor, genau so viel zu bestellen wie das System vorschlägt</td><br />
</tr><br />
<tr><br />
<td>&nbsp;&nbsp;&nbsp;&nbsp;<NULL> keine Vorschlagsmenge durch das System ermittelbar</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;1 zu wenig -> mehr bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFF66><br />
&nbsp;&nbsp;&nbsp;&nbsp;2 zu wenig -> mehr bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFCC33><br />
&nbsp;&nbsp;&nbsp;&nbsp;3 zu wenig -> mehr bestellen</td><br />
</tr><br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4346Order2004-08-25T20:11:21Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;3 oder mehr Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
<tr><br />
<td bgcolor=#3399FF><br />
&nbsp;&nbsp;&nbsp;&nbsp;2 Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#99CCFF><br />
&nbsp;&nbsp;&nbsp;&nbsp;1 Artikel mehr als der Vorschlag -> weniger bestellen</td><br />
</tr><br />
<tr><br />
<td bgcolor=#CCFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;Sie haben vor, genau so viel zu bestellen wie das System vorschlägt</td><br />
</tr><br />
<tr><br />
<td>&nbsp;&nbsp;&nbsp;&nbsp;<NULL> keine Vorschlagsmenge durch das System ermittelbar</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;1 zuwenig </td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFF66><br />
&nbsp;&nbsp;&nbsp;&nbsp;2 zuwenig </td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFCC33><br />
&nbsp;&nbsp;&nbsp;&nbsp;3 zuwenig </td><br />
</tr><br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4345Order2004-08-25T20:07:10Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
<tr><br />
<td bgcolor=#3399FF><br />
&nbsp;&nbsp;&nbsp;&nbsp;-2: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#99CCFF><br />
&nbsp;&nbsp;&nbsp;&nbsp;-1: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#CCFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;0: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;<NULL>: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFFCC><br />
&nbsp;&nbsp;&nbsp;&nbsp;1: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFFF66><br />
&nbsp;&nbsp;&nbsp;&nbsp;2: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#FFCC33><br />
&nbsp;&nbsp;&nbsp;&nbsp;3: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4344Order2004-08-25T20:03:40Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
</table><br />
-2: _NewCol := HTMLColor2TColor($3399FF);<br />
-1: _NewCol := HTMLColor2TColor($99CCFF);<br />
0: _NewCol := HTMLColor2TColor($CCFFCC);<br />
1: _NewCol := HTMLColor2TColor($FFFFCC);<br />
2: _NewCol := HTMLColor2TColor($FFFF66);<br />
3: _NewCol := HTMLColor2TColor($FFCC33);</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4343Order2004-08-25T20:02:54Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
&nbsp;&nbsp;&nbsp;&nbsp;-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
</table><br />
-2: _NewCol := HTMLColor2TColor($3399FF);<br />
-1: _NewCol := HTMLColor2TColor($99CCFF);<br />
0: _NewCol := HTMLColor2TColor($CCFFCC);<br />
1: _NewCol := HTMLColor2TColor($FFFFCC);<br />
2: _NewCol := HTMLColor2TColor($FFFF66);<br />
3: _NewCol := HTMLColor2TColor($FFCC33);</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4342Order2004-08-25T20:02:19Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC><br />
-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
</tr><br />
</table><br />
-2: _NewCol := HTMLColor2TColor($3399FF);<br />
-1: _NewCol := HTMLColor2TColor($99CCFF);<br />
0: _NewCol := HTMLColor2TColor($CCFFCC);<br />
1: _NewCol := HTMLColor2TColor($FFFFCC);<br />
2: _NewCol := HTMLColor2TColor($FFFF66);<br />
3: _NewCol := HTMLColor2TColor($FFCC33);</div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4341Order2004-08-25T19:59:26Z<p>192.168.115.95: </p>
<hr />
<div>[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td bgcolor=#6699CC ><br />
-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
-2: _NewCol := HTMLColor2TColor($3399FF);<br />
-1: _NewCol := HTMLColor2TColor($99CCFF);<br />
0: _NewCol := HTMLColor2TColor($CCFFCC);<br />
1: _NewCol := HTMLColor2TColor($FFFFCC);<br />
2: _NewCol := HTMLColor2TColor($FFFF66);<br />
3: _NewCol := HTMLColor2TColor($FFCC33);<br />
</tr><br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4340Order2004-08-25T19:59:07Z<p>192.168.115.95: </p>
<hr />
<div><br />
[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td background-color=#6699CC ><br />
-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
-2: _NewCol := HTMLColor2TColor($3399FF);<br />
-1: _NewCol := HTMLColor2TColor($99CCFF);<br />
0: _NewCol := HTMLColor2TColor($CCFFCC);<br />
1: _NewCol := HTMLColor2TColor($FFFFCC);<br />
2: _NewCol := HTMLColor2TColor($FFFF66);<br />
3: _NewCol := HTMLColor2TColor($FFCC33);<br />
</tr><br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Order&diff=4339Order2004-08-25T19:57:20Z<p>192.168.115.95: </p>
<hr />
<div><br />
<br />
[[Bestellsystem]]<br><br />
<br />
<table><br />
<tr><br />
<td background-color=#6699CC ><br />
-3: _NewCol := HTMLColor2TColor();<br />
</td><br />
-2: _NewCol := HTMLColor2TColor($3399FF);<br />
-1: _NewCol := HTMLColor2TColor($99CCFF);<br />
0: _NewCol := HTMLColor2TColor($CCFFCC);<br />
1: _NewCol := HTMLColor2TColor($FFFFCC);<br />
2: _NewCol := HTMLColor2TColor($FFFF66);<br />
3: _NewCol := HTMLColor2TColor($FFCC33);<br />
</table></div>192.168.115.95https://wiki.orgamon.org/index.php?title=Belege&diff=4701Belege2004-08-25T19:53:14Z<p>192.168.115.95: </p>
<hr />
<div>oberer Belegkopf<br><br />
<br><br />
p (kleines P) in der Spalte TYP bedeutet "portofrei"<br><br />
P (grosses P) in der Spalte TYP bedeutet "Porto erzwingen"<br><br />
A (grosses A) in der Spalte "A"(rt) bedeutet der Belege ist ein ANGEBOT<br><br />
<br><br />
<br><br />
unterer Postenblock<br><br />
<br><br />
linker Mausklick auf die "rote" Belegsumme liefert mehr Berechnungs-Infos.<br><br />
"Texte"-Reiter ist dunkelblau sobald hier Text enthalten sind<br></div>192.168.115.95