SinusPL's Blog

New ham call site qrzcq.com starting

Gregor Surmann — Thu, 06 Oct 2011 08:58:48 +0000

Just put it online, register will work today!

http://qrzcq.com/

Try if you are a ham radio operator!

My ham radio activities

Gregor Surmann — Tue, 04 Jan 2011 10:04:33 +0000

I would lite to introduce my new blog about my ham radio activities:

http://www.do5ssb.de/blog/

PostgreSQL: create a user, a database and grant accesses

Gregor Surmann — Tue, 16 Sep 2008 10:08:31 +0000

The following step-by-step will let you create a user, a database (DB) and grant full access to the user to this DB.

All the commands are executed as the postgres privileged user.

Create the user

For this, you use the command createuser which is provides with the postgreSQL package. Then answer the questions as you see fit :

postgres@hostname:~$ createuser
Enter name of role to add: username
Shall the new role be a superuser? (y/n) n
Shall the new role be allowed to create databases? (y/n) n
Shall the new role be allowed to create more new roles? (y/n) n
CREATE ROLE
postgres@hostname:~$

Create the DB

Use the createdb command to create the database :

postgres@hostname:~$ createdb databasename
CREATE DATABASE
postgres@hostname:~$

Grand access for the user to the DB

And last, using the psql command, set a password for the user and grant accesses :

postgres@hostname:~$ psql
postgres=# alter user username with encrypted password ‘password’;
ALTER ROLE
postgres=# grant all privileges on database databasename to username;
GRANT
postgres@hostname:~$

Thunderbird default sort order for folders

Gregor Surmann — Tue, 16 Sep 2008 10:03:20 +0000

Want to set Thunderbird to always sort messages in some order?

OK, here’s some off-the-cuff documentation:

Prefs are named as follows; first three apply to Mail and RSS folders, the
second three to Newsgroups.

mailnews.default_sort_order
mailnews.default_sort_type
mailnews.default_view_flags
mailnews.default_news_sort_order
mailnews.default_news_sort_type
mailnews.default_news_view_flags

In about:config (Tools | Options | Advanced | General | Config Editor), you can
enter “news._def” to filter out all the prefs but these.

sort_order:
byNone 17 byPriority 23 byLocation 29
byDate 18 * byStatus 24 byTags 30
bySubject 19 * bySize 25 byJunkStatus 31
byAuthor 20 * byFlagged 26 byAttachments 32
byId 21 ** byUnread 27 byAccount 33
byThread 22 byRecipient 28 byCustom 34
* = commonly desired values
** = by Order Received (?)

sort_type:
ascending 1
descending 2

view_flags — the second group of values can be added to one of the first group
to combine effects, with several limitations:
Unthreaded 0
Threaded 1
Grouped 64 [mail only (?)]

ShowIgnored 8 [news only]
ShowUnreadOnly 16
ShowExpanded 32 [doesn't seem to work]

ShowUnreadOnly will check the View|Threads|Unread menu; this will cause only
unread items to be seen, but doesn’t force a threaded view.

Fritz!CARD Software ohne CD-ROM installieren

Gregor Surmann — Tue, 16 Sep 2008 10:00:22 +0000

Eine gebrauchte Fritz!CARD ISDN gibt es bereits für wenige Euro bei eBay. Die dazugehörige Software und Treiber kann man sich bei AVM runterladen. Leider verlangt die Installation die Original CD-ROM, die man meistens nicht hat. Die Abhilfe schafft eine REG-Datei.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\AVM]

[HKEY_LOCAL_MACHINE\SOFTWARE\AVM\FRITZ! 2.0]
@=”03.07.00″

[HKEY_LOCAL_MACHINE\SOFTWARE\AVM\FRITZ! 2.0\FRITZ!]
“SystemDir”=”C:\\Programme\\FRITZ!\\”
“Sprache”=”DEU”

Diese fügt man dann der Registry zu und startet die Installation.

Aktion Befreiphone

Gregor Surmann — Thu, 11 Sep 2008 11:47:54 +0000

Befreiphone ist eine neuer Trend bei dem iPhone. Normalerweise ist das iPhone gesperrt. Das heisst, man kann keine Software installieren. Man kann nur das machen was der Hersteller, Apple, vorgibt. Zwar gibt es bei neueren Geräten den App Store in dem man Anwendungen für den iPhone bekommt, so ganz befreit wird das iPhone dadurch aber nicht wirklich.

Es gibt mehrere Möglichkeiten das iPhone zu befreien. Befreiphone ist nur eine davon ;)

Weiteres gibt es in einschlägigen Suchmaschinen zu finden. Leider ist es nicht möglich hier über Befreiphone zu schreiben.

Wenn Ihr an der Aktion Befreiphone teilnehmen möchtet, so seid doch ein bischen kreativ…

Cisco IOS DHCP Server

Gregor Surmann — Fri, 05 Sep 2008 13:54:00 +0000

Cisco Router können als DHCP-Server fungieren.

Folgendes wird angenommen:

Netz: 10.0.0.0/8
DHCP-Bereich: 10.6.0.0 bis 10.8.17.4
DNS: 10.11.12.13
Gateway: 10.0.0.1

!
ip dhcp pool DHCP_POOL
   network 10.0.0.0 255.0.0.0
   default-router 10.0.0.1
   dns-server 10.11.12.13
   class DEFAULT
      address range 10.6.0.0 10.8.17.4
!
!
ip dhcp class DEFAULT
!

Zu beachten ist, dass die ACL für das Netzwerk-Interface folgendes mit drin hat:

access-list 142 permit udp any any eq bootpc
access-list 142 permit udp any any eq bootps

Ab jetzt verteilt der Router die IP-Adressen für das Netz.

Ubuntu Light

Gregor Surmann — Thu, 04 Sep 2008 19:10:51 +0000

Ubuntu ist eine aktuelle Linux-Distribution, die auf Debian basiert. Ich beschreibe mal hier, wie man eine Light-Version davon bekommt.

Zuerst laden wir die Mini-CD von

https://help.ubuntu.com/community/Installation/MinimalCD

und installieren ‘cli’. Danach einfach weitere Pakete:

apt-get install xorg gnome-core gdm gnome-media gnome-system-monitor gnome-system-tools gnome-volume-manager gnome-utils gnome-app-install gnome-screensaver synaptic firefox usplash usplash-theme-ubuntu ubuntu-artwork

Das ganze installiert ein Mini-Ubuntu mit ca. 1GB Festplattenplatz. Das Paket ‘ubuntu-artwork’ ist nicht zwingend erforderlich. Das Paket ‘xorg’ ist ein Meta-Package, man kann also seine einzelne Bestandteile abhängig von der verwendeten Hardware installieren und so noch mehr Platz sparen.

Die Pakete ‘usplash’ und ‘usplash-theme-ubuntu’ braucht man, damit gdm keine Fehler macht.

Am Ende hat man kleinen Desktop, der dann erweitert werden kann. Mit

apt-get install ubuntu-desktop

installiert man darin wieder normales komplettes Standard-Ubuntu. Achtung, groß! ;)

Transparent Squid Proxy auf Ubuntu 8.04.1 Server

Gregor Surmann — Wed, 03 Sep 2008 21:33:21 +0000

Im Internet kursieren verschiedene Anleitungen, wie man einen transparenten Squid Proxy aufsetzt. Leider sind einige veraltet, beziehen sich auf den alten Squid oder sonst etwas älteres. Ich habe mir vorgenommen eine aktuelle Anleitung zu schreiben, die auf dem Ubuntu Server 8.04.1 (Hardy Heron) basiert.

Der Server braucht mindestens 2 Netzwerkkarten, bevorzugt Inten PRO-1000. Ich nehme an, das lokale Netz ist 192.168.0.0/24, der Router hat die IP 192.168.0.1 und unser Proxy bekommt die IP 192.168.0.2 und die Nameserver haben die IPs 193.101.111.20 sowie 193.101.111.10.

Zuerst ist eine Ubuntu-Installation vorzunehmen. Diese wird normal gemacht, aber am Ende wird nur noch der SSH-Server installiert.

Nach der Installation installieren wir einige Pakete:

root@mobile:~# apt-cache search squid | grep -e “^squid ” -e “^sqcwa ” -e “^squid-prefetch ” -e “^bridge-utils ”
squid - Internet object cache (WWW proxy cache)
sqcwa - Workaround for Squid not caching some pages
squid-prefetch - Simple page-prefetch for Squid web proxy
bridge-utils - Utilities for configuring the Linux ethernet bridge
root@mobile:~# apt-get install squid sqcwa squid-prefetch bridge-utils

In /etc/squid/squid.conf suchen wir die folgende Zeilen:

http_port 3128
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks

und ändern es in:

http_port 3128 transparent
acl our_networks src 192.168.0.0/24
http_access allow our_networks

Danach ersetzen wir den Inhalt von /etc/network/interfaces durch:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
pre-up brctl addbr br0
pre-up brctl addif br0 eth0
pre-up brctl addif br0 eth1
pre-up ifconfig eth0 0.0.0.0
pre-up ifconfig eth1 0.0.0.0
post-down brctl delbr br0
address 192.168.0.2
netmask 255.255.255.0
gateway 192.168.0.1
bridge_fd 0
bridge_hello 0
bridge_stp off

Dann noch DNS in /etc/resolv.conf:

nameserver 193.101.111.20
nameserver 193.101.111.10

Vor dem Ende kommt noch die magische iptables-Regel in die /etc/rc.local:

/sbin/iptables -t nat -A PREROUTING -i br0 -p tcp –dport 80 -j REDIRECT –to-port 3128

Sollten wir irgendwann einen Packetfilter auf iptables-Basis haben so fügen wir diese Regel dort ein.

Am Ende shutdown. Jetzt stellen wir den Proxy neben dem Router, schliessen eine Netzwerkkarte an den Router direkt und die andere an das Netzwerk. Welche wohin ist vollkommen egal.

Das Ganze ist natürlich beliebig ausbaufähig…

Einschalten, fertig ;)

Das böse ICMP

Gregor Surmann — Wed, 03 Sep 2008 21:09:17 +0000

“ICMP ist Böse.” Warum eigentlich?

Früher^tm, als das Internet noch aus wenigen (einigen Tausenden) Nodes bestand gab es ein großes Problem, das Ping of Death. Packete, die eine bestimmte größe hatten brachten den IP-Stack mancher Betriebssysteme zum Absturz. Dies wurde auch ausgenutzt.

Heute verrichtet ICMP verschiedene nutzliche Sachen. Es unterrichtet die beiden Seiten einer TCP-Übertragung darüber, dass eine Leitung voll ist oder eine Anwendung nicht schnell genug die Daten verarbeitet, ein Router schickt eine Nachricht, dass ein Host nicht erreichbar ist usw… also im Prinzip nichts böses.

Im Prinzip, also in der Theorie. In der Praxis kann man schon böses damit anstellen. Wenn man nur bischen kriminelle Energie hat ;)

ICMP lebt auf Layer 4 im OSI-Schichtmodell, neben UDP, TCP usw. Es hat die Protokollnummer 1. Nebenbei: TCP hat 6 und UDP 17.

Wie wir bei IANA (http://www.iana.org/assignments/icmp-parameters) nachlesen können gibt es einige Nachrichten, die versandt oder empfangen werden können:

Type	Name					Reference
----	-------------------------		---------
  0	Echo Reply				 [RFC792]
  1	Unassigned				    [JBP]
  2	Unassigned				    [JBP]
  3	Destination Unreachable			 [RFC792]
  4	Source Quench			 	 [RFC792]
  5	Redirect				 [RFC792]
  6	Alternate Host Address			    [JBP]
  7	Unassigned				    [JBP]
  8	Echo					 [RFC792]
  9	Router Advertisement			[RFC1256]
 10	Router Solicitation			[RFC1256]
 11	Time Exceeded				 [RFC792]
 12	Parameter Problem			 [RFC792]
 13	Timestamp				 [RFC792]
 14	Timestamp Reply				 [RFC792]
 15	Information Request			 [RFC792]
 16	Information Reply			 [RFC792]
 17	Address Mask Request                     [RFC950]
 18	Address Mask Reply			 [RFC950]
 19	Reserved (for Security)			   [Solo]
 20-29	Reserved (for Robustness Experiment)	    [ZSu]
 30	Traceroute				[RFC1393]
 31	Datagram Conversion Error		[RFC1475]
 32     Mobile Host Redirect              [David Johnson]
 33     IPv6 Where-Are-You                 [Bill Simpson]
 34     IPv6 I-Am-Here                     [Bill Simpson]
 35     Mobile Registration Request        [Bill Simpson]
 36     Mobile Registration Reply          [Bill Simpson]
 37     Domain Name Request                     [RFC1788]
 38     Domain Name Reply                       [RFC1788]
 39     SKIP                                    [Markson]
 40     Photuris                                [RFC2521]
 41     ICMP messages utilized by experimental  [RFC4065]
        mobility protocols such as Seamoby
 42-255 Reserved				    [JBP]

Sollte man also ICMP auf der Firewall komplett blocken?

Meine Antwort lautet NEIN. Auf keinen Fall. Eine gut eingerichtete Firewall antwortet wohl auf z.B. ICMP Echo. Nur weil eine, beispielweise, IPSEC Firewall nicht auf “ping” antwortet heisst nicht, dass man nicht rausfinden kann ob sie da ist.

ICMP-Typen die auf jeden fall durchgelassen werden sollten sind:

0,3,4,5,6,8,11,12,30

Dann funktioniert die Firewall richtig und es gibt keine merkwürdigen Probleme. Man kann aber durchaus komplett ICMP erlauben. Es ist nicht Böse! ;)

Viel wichtiger ist es z.B. FTP abzusichern, da es “Löcher” bohren kann oder aufzupassen, dass die Hosts nicht von Innen nach Aussen Verbindungen aufbauen, was z.B. bei geknackten Rechnern der Fall sein kann, der Tunneling über DNS.

Also, lass uns pingen…