IT - 3 - Blog von Sven Lauritzen

Tuesday, 17. August 2010

Warum einfach?

Warum einfach, wenn es auch kompliziert geht? Diesen Grundsatz habe ich schon als Kind gelernt. Selten habe ich den so konsequent umgesetzt gesehen wie bei der Internettelefonie-Software Twinkle. Und ich merke mir: Nichts ist einfacher, als die Vereinfachung von etwas Kompliziertem zu verkomplizieren.

Screenshot des Twinkle-Begrüßungsdialogs

Geschrieben von Sven Lauritzen in Alltag, IT um 18:27 | Kommentare (0) | Trackbacks (0)

Friday, 30. July 2010

Codepetze (3)

I18n steht für Internationalization. Dabei steht die 18 für die 18 Buchstaben zwischen dem I und dem n. Analog steht L10n für Localization. I18n bereitet eine Software auf mehrere Sprachen, verschiedene Zahlen-, Datums- und Währungsformate, Zeitzonen, regionale Feiertage und ähnliches vor. L10n ist die Implementierung einer bestimmten Sprache oder der konkreten Gegebenheiten eines Landes.

In den Datenbanktabellen von TYPO3 habe ich soeben das Präfix „l18n” (mit kleinem L) gefunden. Da lief die Umsetzung wohl dem Verständnis voraus. Wenigstens ist die Fehlbenennung durchgängig, so dass man nicht gleich einen anderthalbfarchen Rundtörn mit zwei halben Schlägen im Hirn hat.

Geschrieben von Sven Lauritzen in IT um 14:02 | Kommentare (0) | Trackbacks (0)

Wednesday, 28. July 2010

Überladen

Google ist völlig überladen. Jedenfalls kam mir der Gedanke, als ich heute ask.com aufgerufen habe. Ich möchte hinzufügen: inzwischen.

Geschrieben von Sven Lauritzen in Alltag, IT um 21:42 | Kommentare (0) | Trackbacks (0)

Thursday, 15. July 2010

Codepetze (2)

Ein Datenbankschema. Ich muss Tabellen importieren. Und verzweifle dabei an der Konsonantendichte. Zum Hindergrund: Die Tabelle, die die Produkte enthält, heißt, produk, die für Produktgruppen progrp. Jedes Produkt kann in mehreren Gruppen sein, deswegen gibt es eine Tabelle, die die beiden Tabellen verknüpft. Die heißt prdprg, was wohl für Produkt-Produktgruppe steht. Als Fremdschlüssel enthält sie pp_progrp und pp_produk. Nun habe ich doch tatsächlich versucht, auf die Tabelle proprg zuzugreifen. Hrg.

Geschrieben von Sven Lauritzen in IT um 17:01 | Kommentare (0) | Trackbacks (0)

Wednesday, 7. July 2010

Immer die Chinesen

Ich hatte einmal von den Internetrowdies berichtet, die versuchen, in meinen Router einzubrechen. Als ich den Beitrag im Oktober letzten Jahres geschrieben habe, kamen etwa ein Drittel der Angreifer aus China. Insgesamt verteilten sich die Ursprünge der Attacken über alle Kontinente. Seit einiger Zeit stelle ich fest, dass bestimmt 90 % der Angriffe aus China kommen.

Geschrieben von Sven Lauritzen in Alltag, IT um 09:41 | Kommentare (0) | Trackbacks (0)

Saturday, 26. June 2010

Fußnote 36

Im T-Punkt. Ja, tatsächlich. Ich dachte mir, dass es ganz klug wäre, mich schlau zu machen, wie das Angebot der Telekom etwa ein Jahrzehnt nach dem Ende des Monopols aussieht. Es ging mir um eine mobile Datenflatrate, und da ich mit der Netzabdeckung von O₂ schon beim normalen Telefonieren nicht zufrieden bin, wollte ich mich mal bei der Konkurrenz umsschauen. Die Netzabdeckung soll bei der Telekom am besten sein. Dazu kommt, dass inzwischen alle großen Telefongesellschaften so einen schlechten Ruf haben wie die Telekom damals, warum also soll ich dem ehemaligen Staatskonzern nicht eine neue Change einräumen?

Nachdem ich in der Filiale ein wenig gewartet hatte, sprach mich dann auch ein recht junger Mitarbeiter an. Ich trug ihm mein Anliegen vor: 256 kBit/s reichen, aber bitte keine Drosselung auf GPRS nach dem Verbrauch eines bestimmten Datenvolumens, damit kann ich nicht mehr arbeiten, und bitte keine Beschränkungen in den Diensten, ich möchte nicht nach dem Fehler suchen, wenn mein VPN wegen sowas nicht geht. Ich muss zugeben: Mir war klar, dass meine Aussichten recht schlecht waren, so etwas zu bekommen. Aber man kann ja nie wissen, vielleicht liegt in der hintersten Schublade noch ein Vertragsformular für Leute wie mich. Außerdem hatte ich in der Schule etwas gelernt von Angebot und Nachfrage. Also fragte ich mal nach.

Der junge Mann schlug das Tarifdschungelbuch auf und machte einen Vorschlag. Er deutete auf die rechte Spalte einer Tabelle. Unter Datenvolumen stand „unbegrenzt³⁶”. Ich fragte kurz nach, was die kleine 36 zu bedeuten habe. Er fing an, zu erklären, dass beim Vertrag in der linken Spalte 300 MB drin seien, der andere sei unbegrenzt. Also nahm ich selbst das Buch in die Hand, schlug die hinteren Seiten mit den Fußnoten auf, suchte die 36 und las ihm vor, dass die Übertragungsrate nach 5 GB auf 64 kBit/s up und 16 kBit/s down gedrosselt würde. Mir fiel nicht mehr ein, als mich zu verabschieden.

Wahrscheinlich würde ich die 5 GB niemals erreichen, so dass ich nie mit der Drosselung konfrontiert wäre. Trotzdem halte ich das Limit für eine Fehlkonstruktion. Ich will keine Bytes zählen, ich brauche eine verlässliche Verbindung. Zudem ist mir ein Anbieter, der Fußnoten in die Verträge schreibt, die die eigenen Mitarbeiter nicht verstehen, suspekt. Geschäft basiert auf Vertrauen.

Geschrieben von Sven Lauritzen in IT, Verbraucher, Wirtschaft um 17:44 | Kommentare (0) | Trackback (1)

Monday, 2. November 2009

Codepetze (1)

Ich habe ja lange überlegt, ob ich hier Code aus fremder Feder veröffentlichen kann, so zur Unterhaltung und um die worst Practice zu dokumentieren. Da ich auf vielen Baustellen arbeite, glaube ich, dass man den Code keinen Personen zuordnen kann. Durch verzögerte Veröffentlichung werde ich die Zusammenhänge noch weiter verschleiern. Also traue ich mich mal. Falls sich jemand hier wiederfinden sollte: bitte nicht auf den Schlips getreten fühlen. Schlimmen Code findet man in so ziemlich allen Projekten, das ist nichts besonderes. Deswegen kann ich diese Serie ja starten. Obwohl ich der Überzeugung bin, das ich ganz guten Code schreibe — wäre ich nicht überzeugt, müsste ich's mir einreden, sonst könnte ich meinen Beruf nicht ausüben — gucke ich manchmal nach einigen Monaten auf meinen eigenen Code und kann nur mit dem Kopf schütteln. In Zukunft werde ich nicht zögern, dann an dieser Stelle einen kleinen Beiträg zu veröffentlichen.

Neulich habe ich eine schöne Stilblüte gefunden, die zeigt, wie wenig Code es braucht, um dem Leser einen Knoten ins Hirn zu machen:

   $i = $i ++;

Zu ermitteln, was das Ergebnis dieser Operation ist, überlarlasse ich gerne dem Leser zur Übung.

Geschrieben von Sven Lauritzen in IT um 12:55 | Kommentar (1) | Trackbacks (0)

Saturday, 31. October 2009

Ich habe dich gehört!

Ich habe noch eine alte Kiste bei mir im Arbeitszimmer als Router stehen. Früher hat die auch Mails abgeholt, von der Aufgabe habe ich das Gerät aber inzwischen entbunden.

Eben begann die Festplatte, Lärm zu machen. Zu viel Lärm, denn eigentlich hört man die Köpfe nur recht gleichmäßig alle 5 Sekunden über die Magnetscheiben kratzen, wenn der Kernel die Daten aus dem Speicher auf die Platte schiebt. Also habe ich kurz geguckt, ob da Prozesse laufen, die nicht laufen sollen. Dabei habe ich tatsächlich einen Dienst gefunden, der gar nicht mehr benötigt wird. Ein Blick ins Syslog bleib ergebnislos, in auth.log wurde ich aber fündig: Es war wieder mal eine Bruteforce-Attacke auf ssh, sprich, von einer Maschine aus China aus versuchte jemand sich bei mir mit verschiedenen Benutzernamen einzuloggen, so dass ein paar mehr Protokolleinträge anfielen. Das ist nichts ungewöhnliches, das passiert ungefähr täglich. Dabei fiel mir auf, dass ich davon schon mal genervt war. Die Regel, um denjenigen kurzerhand auszusperren, hatte ich nämlich schon fertig. Es wird Zeit, das mal zu automatisieren, so dass bei solchen Attacken von selbst eine Sperre greift. Es kann ja nicht sein, dass man von jedem Punkt der Welt aus Lärm in meinem Arbeitszimmer machen kann.

Geschrieben von Sven Lauritzen in Alltag, IT um 21:04 | Kommentare (0) | Trackback (1)

Danke, Hansenet

Hansenet speichert immer noch nicht. Das lässt mich einige Schlampereien in der Buchhaltung vergessen.

Geschrieben von Sven Lauritzen in IT, Politik, Verbraucher, Wirtschaft um 18:03 | Kommentare (0) | Trackbacks (0)

Wednesday, 14. October 2009

Netzwerkkonfiguration mit kvm bei Hetzner

Update 04.03.2011: Das unten Beschriebene ist nicht nötig, wenn man im Robot für die IP-Adresse eine MAC-Adresse konfiguriert. Dafür gibt es (inzwischen?) einen recht unauffälligen Button in der IP-Konfiguration unter oder neben der IP-Adresse.

Gestern und heute habe ich versucht, auf einem neuen Server bei Hetzner eine KVM aufzusetzen. Das ging auch alles ganz gut von der Hand, es war ja nicht das erste mal. Verwendet habe ich diese Anleitung. Schwierig wurde es aber, als ich versuchte, das Netzwerk einzurichten. Bemerkbar machte sich das schon bei der Installation. Der Gast konnte keinen Timeserver erreichen, und auf die Paketquellen konnte nicht zugegriffen werden. Über die Probleme bei der Intsallation habe ich erst einmal hinweggesehen und mich auf dem neuen Gast eingeloggt. Gast und Wirt konnten sich gegenseitig erreichen, aber nach und von draußen ging nichts. Der erste eher intuitive Handgriff, den ich vorgenommen habe, war, das IP-Forwarding auf dem Wirt einzuschalten. Danach funktionierte scheinbar alles. Also schnell mit iptables einen Paketfilter hochziehen, dann sollte es gut sein. Ein wenig stutzig wurde ich dabei schon, da eine Bridge ja einen Layer unter IP arbeitet, IP-Forwarding sollte deshalb gar keine Rolle spielen. Es wurde dann auch eine langwierige Geschichte. Ich habe hin- und herkonfiguriert, um letztendlich festzustellen, dass nach 10 Pings grundsätztlich Schluss ist. Egal, wie das Forwarding und der Paketfilter konfiguriert sind.

Etwas klarer wurde die Sache, als ich mir mal mit tcpdump den Netzwerkverkehr im Detail angeguckt habe. Wenn ich vom Gast nach draußen gepingt habe, waren die ausgehenden Pakete auf allen relevanten Interfaces zu sehen. Die eingehenden kamen aber nur bis zum Wirt. Hetzner verwendet wohl gemanagte Switches, bei denen die Ports an IP- und an MAC-Adresse gebunden sind. Das üblich Setup mit der Bridge konnte ich also vergessen. Nun war der Punkt gekommen, Google anzuschmeißen. Und siehe, da gibt's schon eine Anleitung. Richtig gefallen hat mir die nicht, weil sie viel individuelle Konfiguration pro Maschine erfordert. Ich will möglichst nah an den Defaults bleiben, einfach, um mir Arbeit zu sparen. Als Inspiration hat die Aneitung aber durchaus getaugt.

Ich hab's also etwas anders gelöst. eth0 auf dem Host habe ich wie folgt konfiguriert (/etc/network/interfaces). wirts-adresse, hetzner-gateway und gast-adresse sind im Folgenden jeweils durch die IP-Adressen zu ersetzen.

auto  eth0
iface eth0 inet static
  address   wirts-adresse
  netmask   255.255.255.255
  gateway   hetzner-gateway
  pointopoint   hetzner-gateway

Hetzner schreibt bei der Installation eine Regel in die Netzwerkkonfiguration, mit der eine Extraroute gesetzt wird. Die kann man sich damit schon einmal sparen.

Statt eine Bridge aufzubauen, die eth0 mit umfasst, habe ich eine leere Bridge ergänzt:

auto br0
iface br0 inet static
  address   wirts-adresse
  netmask   255.255.255.255
  bridge_ports none
  bridge_fd 9
  bridge_hello 2
  bridge_maxage 12
  bridge_stp off

„bridge_ports none” ist möglicherweise nicht erlaubt, aber ohne diese Anweisung startet die Bridge nicht, und ohne das Argument „none” wird die Konfigurationsdatei als fehlerhaft bemängelt. Mit „none” erhalte ich eine leere Bridge, ohne dass irgendwelche Meldungen erscheinen.

Nun ist fast alles beim Alten. Die Virtuelle Maschine hängt sich ohne weitere Konfiguration beim Start in die Bridge, an der in diesem Setup eth0 nicht teilnimmt. Um die virtuelle Maschine zu erreichen, habe ich eine Route auf die Extra-IP-Adresse eingerichtet, indem ich an den Block für das Interface br0 angehängt habe:

  up route add gast-adresse br0

Die neue IP-Adresse irgendwo anzugeben, bleibt mir sowieso nicht erspart, sobald Hetzner mir eine neue IP-Adresse zuordnet. Insofern ist der Aufwand zu vernachlässigen. Jetzt muss nur noch die Netzwerkkonfiguration des Gastes angepasst werden, ebenfalls in /etc/network/interfaces:

iface eth0 inet static
        address gast-adresse
        netmask 255.255.255.255
        gateway wirts-adresse
        pointopoint wirts-adresse

Das mit den Nameservern lasse ich hier mal aus. Nach einem Neustart des Netzwerks können sich Gast und Wirt gegenseitig erreichen.

Da die Pakete jetzt nich mehr über eine Bridge laufen sondern geroutet werden müssen, muss auf dem Wirt IP-Forwarding eingeschaltet werden. Dazu ändert man eine Zeile in /etc/sysctl.conf:

net.ipv4.ip_forward=1

Danach kann man neu booten, es genügt aber auch „/etc/init.d/procps start” aufzurufen, „sysctl -p /etc/sysctl.conf” auszuführen oder die 1 direkt in die Datei im proc-Dateisystem zu schreiben. Nun lässt sich die virtuelle Maschine auch von außen erreichen.

Damit niemand böses IP-Spoofing betreibt, sollte man nun noch auf dem Wirt mit iptables einen Paketfilter einrichten, der zumindest den Verkehr blockt, der auf dem Wirt über eth0 reinkommt und da auch wieder raus will. Ein kurzer Regelsatz kann so aussehen:

        iptables -F OUTPUT
        iptables -F INPUT
        iptables -F FORWARD

        iptables -P OUTPUT DROP
        iptables -P INPUT DROP
        iptables -P FORWARD DROP

        iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

        iptables -A OUTPUT -m state --state NEW -j ACCEPT
        iptables -A INPUT -i lo -m state --state NEW -j ACCEPT

        iptables -A INPUT -p icmp -j ACCEPT
        iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j ACCEPT

        iptables -A FORWARD -i br0 -o eth0 -m state --state NEW -j ACCEPT
        iptables -A FORWARD -i eth0 -o br0 -m state --state NEW -j ACCEPT
        iptables -A FORWARD -i br0 -o br0 -m state --state NEW -j ACCEPT

Ansonsten gibt genug detaillierte Anleitungen im Netz. Auf jeden Fall sollte man dafür sorgen, dass das Regelwerk den nächsen Reboot überlebt.

IT - 3

Blog von Sven Lauritzen