Windows Firewall: Lokale subnets erlauben

Wenn man verschiedene Netzwerke (z.B. per VPN) zusammen geschlossen hat, kann es sein, dass die Windows firewall diese nicht als lokale (freundliche) Netzte sieht und alles blockt.

Möchte man mit einer simplen Regel, z.B. alles von einem anderen subnet, oder einer VPN-IP zulassen sind folgende Schritte nötig:

START -> Systemsteuerung -> Windows Firewall -> Erweiterte Einstellungen
In der linken spalte klickt man nun auf: "Eingehende Regel" und wählt in der rechten Spalte: "Neue Regel".
Dann geht man auf: Benutzerdefiniert -> WEITER (Alle Programme) -> WEITER (Protokolltyp: Alle)
Oben lässt man: "Beliebige IP-Adressen"
Unten wählt man: "Diese IP-Adressen" und klickt auf: HINZUFÜGEN und gibt die IP’s oder Netze an.
Nun auf: WEITER ("Verbindung zulassen")
Hier lässt/setzt man das Häkchen bei: "Domäne" und "Privat": bei "Öffentlich" kann es ggf. deaktiviert werden.
Nun nochmals auf: WEITER, einen Namen eingeben und: FERTIG STELLEN.

Weiterführende Ressourcen

bugzilla: Welche CentOS/RHEL Perl-Module braucht es?

Bugzilla braucht viele perl-module um zu laufen.

Wenn man diese lieber über yum anstatt über CPAN installieren möchte sind folgende nötig:

yum install --enablerepo=rpmforge-extras --disablerepo=base mod_perl mod_perl-devel perl-Apache-SizeLimit perl-Authen-SASL perl-CGI perl-Chart perl-Class-Inspector perl-Daemon-Generic perl-DateTime perl-DateTime-TimeZone perl-DBD-mysql perl-DBI perl-Digest-SHA perl-Email-MIME perl-Email-MIME-Attachment-Stripper perl-Email-Reply perl-Email-Send perl-Encode-Detect perl-File-MimeInfo perl-GD perl-GDGraph perl-GDTextUtil perl-HTML-FormatText-WithLinks perl-HTML-Parser perl-HTML-Scrubber perl-IO-stringy perl-JSON perl-JSON-RPC perl-JSON-XS perl-LDAP perl-libwww-perl perl-List-MoreUtils perl-Math-Random perl-MIME-tools perl-Net-SMTP-SSL perl-PatchReader perl-RadiusPerl perl-SOAP-Lite perl-Template-GD perl-Template-Toolkit perl-Test-Taint perl-TheSchwartz perl-TimeDate perl-URI perl-XML-Twig perl-YAML

Um alle dependencies auflösen zu können ist das rpmforge repository (und ggf. sogar das rpmforge extras repo) zu installieren/aktivieren.

Allerdings sind einige bei neueren Bugzilla-Versionen zu alt und müssen über CPAN installiert werden.

Die perl-module welche (Stand CentOS 6) unbedingt per CPAN installiert werden müssen sind:

perl-Date-Format perl-Email-MIME perl-List-MoreUtils perl-Math-Random-ISAAC

Weitere Info: [https://wiki.mozilla.org/Bugzilla:Prerequisites|Bugzilla:Prerequisites]

vSphere CLI: http_proxy not set / ftp_proxy not set

Wenn man das vSphere CLI installieren möchte, bricht die Installation mit folgender Meldung ab:

http_proxy not set. please set environment variable 'http_proxy' e.g. export
http_proxy=<a href="http://myproxy.mydomain.com:0000" target="blank">http://myproxy.mydomain.com:0000</a> .
 
ftp_proxy not set. please set environment variable 'ftp_proxy' e.g. export
ftp_proxy=<a href="http://myproxy.mydomain.com:0000" target="blank">http://myproxy.mydomain.com:0000</a> .

Um dieses Problem zu lösen, muss man das vmware-install.pl script "patchen".

Suche nach folendem Abschnitt:

if ( !( $ftpproxy && $httpproxy)) {
  uninstall_file($gInstallerMainDB);
  exit 1;
}
require CPAN;

Und kommentiere die Zeilen: "uninstall_file", so wie das "exit 1" aus:

if ( !( $ftpproxy && $httpproxy)) {
  <b>#uninstall_file($gInstallerMainDB);</b>
  <b>#exit 1;</b>
 }
require CPAN;

Nun sollte die Installation klappen.

Welcher SATA-Controller für ESX?

VMware ESX ist sehr wählerisch wenn es um die Wahl von Hardware-Komponenten geht.

Wenn man nun einen SATA-Controller für zusätzliche Festplatten-Anschlüsse braucht sind SATA-Controler welche die „berühmtenn“ LSI-1068e oder der (etwas neuere) LSI-SAS2008 Chipsatz enthalten eine sehr gute Wahl.
Diese Chipsätze wurden sehr häufig in Servern von IBM, DELL, Intel und HP verbaut und haben deshalb eine hohe Kompatibilität.

Zudem kriegt man diese Karten aus Server-Pulls für unter 100.- EUR bei ebay und sie laufen excellent in ESX-Systemen

Folgende SATA-Karten basieren auf dem LSI-1068e oder LSI-SAS2008 Chipsatz:

  • IBM BR10i (LSI-1068e)
  • IBM M1015 (LSI-SAS2008)
  • Intel SASUC8I (LSI1068e)
  • DELL PERC 5/i (LSI-1068e)
  • LSI 9211-8i (LSI-SAS2008)

[stextbox id=“alert“ caption=“Achtung 2TB Grenze“]Der Chipsatz LSI-1068e hat eine feste Grenze von 2TB, d.h. Disks die grösser als 2TB sind werden zwar erkannt, man kann bekommt im OS jedoch nur 2.2 TB angezeigt![/stextbox]

Allerdings sollte man die Karte auf die originale LSI IT Firmware flashen.

vmware-hcl-raidcontrollers
Mittels diesen Einstellungen in der vmware HCL findet man weitere Controller:

Quellen

iptables: Regeln dynamisch einfügen und löschen

iptables Regeln werden normalerweise in einem file (z.B. /etc/sysconfig/iptables-rules) konfiguriert.

Was aber, wenn man im laufenden Betrieb eine Regel temporär hinzufügen und wieder löschen möchte?

Denn mit der Standardmässigen "append-option" (iptables -A) klappt das nicht immer, da die Regeln der Reihe nach abgearbeitet werden.

Man kann jedoch mittels -I und -D die Regeln [I]nserten oder [D]eleten. Dazu kann man noch eine Zeilennummer eingeben, z.B.:

iptables -I INPUT 5 -i eth0 -p tcp --dport 443 -j ACCEPT

Diese Regel kann man nun entweder wieder löschen indem man dieselbe wieder aufruft mit -D anstatt -I und ohne Zeilennummer:

iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

oder mittels der Zeilennummer:

iptables -D INPUT 5

Die Zeilennummern kann man sich mit dem Parameter –line-numbers anzeigen lassen:

iptables -L --line-numbers
iptables -L INPUT --line-numbers

console log level

Falls man auf der (physischen) Linux Konsole von kernel log messages zugemüllt wird, kann man den Wert von /proc/sys/kernel/printk niedriger setzen:

$ cat /proc/sys/kernel/printk
4 4 1 7

Die erste Zahl gibt dabei den log Level an; 4 ist Standard.

Setzten kann man das temporär mittels:

echo "3" > /proc/sys/kernel/printk

oder in der Datei; /etc/sysctl.conf

kernel.printk = 3 4 1 3

Quelle: printk and console log level

Netzwerktyp für nicht erkannte Netzwerke ändern

Bei Netzwerken, die Windows nicht identifizieren kann (z.B: OpenVPN Netzwerken) werden diese dem Netzwerktyp "Öffentlich" zugeordnet und die Windows-Firewall macht alles dicht.

Über die Gruppenrichtlinien lässt sich dies aber ändern:

In der Computerverwaltung die „Lokale Sicherheitsrichtlinie“ (secpol.msc) öffnen. Im Bereich „Netzwerklisten-Manager-Richtlinien“ klickt man doppelt auf „Nicht identifizierte Netzwerke“. Im folgenden Dialog wählt man als „Standorttyp“ „Privat“ aus. Von nun an stuft Windows die nicht erkannten Netzwerke als privat ein und verwendet die passenden Sicherheitseinstellungen.

[stextbox id=“warning“ caption=“Achtung“]Bevor man mit dem Rechner auf Reisen geht und eventuell wirklich in fremde Netze kommt, sollte man die Einstellung in der „Lokalen Sicherheitsrichtlinie“ wieder auf „Nicht konfiguriert“ stellen.[/stextbox]

Quelle: ct [http://heise.de/-890519|Freigaben im „nicht identifizierten Netzwerk“]

icinga: Eigene Variablem im Web-interface anzeigen

Mittels sog.: "Custom Object Variables" kann man in nagios eigene Variablen erzeugen in der Form:

define host{
  host_name	linuxserver
  <b>_mac_address	00:06:5B:A6:AD:AA</b>	; <-- Custom MAC_ADDRESS variable
  <b>_rack_number	R32</b>		        ; <-- Custom RACK_NUMBER variable
  ...
}

Aber wie zeigt man diese dann auch im Web-Interface an?

Dies geht ganz einfach, indem man sie der notes-Option weiter gibt, z.B.:

define host {
  host_name web01
  display_name web01
  address 8.8.4.4
  _mac_address  00:21:9B:00:21:9B
  _sw_port_1    sw01_g3
  <b>notes $_HOSTMAC_ADDRESS$ $_HOSTSW_PORT_1$</b>
  hostgroups +webservers
  use web_servers
}

Quelle: serverfault: [http://serverfault.com/questions/233022/how-do-i-display-nagios-host-custom-variables-or-macros-in-the-web-interface|How do I Display Nagios Host Custom Variables or Macros in the Web Interface?]

apache: Authentifizierung wahlweise über IP oder HTTP-Auth

Bei sensiblen Web-Applikation wie die für das Verwalten des Mailservers (z.B. postfixadmin) oder welche die Zugriff auf die Datenbanken haben (z.B. phpmyadmin) sollte man sich nicht nur auf die Sicherheit der Applikation verlassen und stattdessen zusätzlich eine Authentifizierung über den Webserver (.htaccess) vornehmen.

Hierzu gibt es grundsätzlich zwei Möglichkeiten: Authentifizierung über die IP-Adresse und über eine HTTP-Passwortabfrage.

Doch während die erstere den Nachteil hat unflexibel zu sein (z.B. kein Zugriff mehr wenn man mal von einem Internet-Cafe dringend darauf zugreifen muss), müsste man bei zweitem immer zweimal einloggen: Einmal über die HTTP-Authentifizierung und einmal über die Web-Applikation selbst.

Doch zum Glück lassen sich diese zwei Mechanismen kombinieren, so dass man bei bekannten IPs ohne vorgängige Passwort-Abfrage direkt zum Web-Login kommt und bei „fremden“ IPs die Möglichkeit hat nach einer zusätzlichen HTTP-Authentifizierung die Web-Applikation zu erreichen.

Continue reading apache: Authentifizierung wahlweise über IP oder HTTP-Auth

roundcube: Login schlägt mit „Invalid server name“ fehl

Wenn man sich bei roundcube (0.8.4) anmelden will kommt die Meldung:

Invalid server name.

Dies scheint ein Bug in roundcube zu sein und passiert lustigerweise nur beim Zugriff mit Internet Explorer, wenn man in config/main.inc.php in der Variable $rcmail_config[‚default_host‘] mehrere Hosts konfiguriert-, aber einen oder mehrere davon auskommentiert hat.

Beispiel:
Dies würde zum o.g. Fehler führen:

$rcmail_config['default_host'] = array(
  'ssl://mail.example.org' => 'Default Server',
  /*'ssl://mail.example.org' => 'TEST Server'*/
);

Dies hingegen nicht:

$rcmail_config['default_host'] = array(
  'ssl://mail.example.org' => 'Default Server',
  'ssl://mail2.example.org' => 'TEST Server'
);

Die derzeitige Lösung ist deshalb, dass man keine "auskommentierten" hosts in der Konfiguration stehen hat.

Und falls man nur einen Server verwendet kann man diese Direktive nehmen:

$rcmail_config['default_host'] = 'ssl://mail.example.org';

Und falls man, wie ich die multi-host Variante zu Referenzzwecken im configfile haben möchte, schreibt man diese einfach unten separat hin:

$rcmail_config['default_host'] = 'ssl://mail.example.org';
// Enable this for multi-server configuration
#$rcmail_config['default_host'] = array(
#  'ssl://mail.example.org' => 'Default Server',
#  /*'ssl://mail2.example.org' => 'TEST Server'*/
#);

Edit: Das Problem wurde gerade mal wenige Minuten, nachdem ich den Bug eröffnet hatte bereits behoben!“ – So wünscht man sich Softwareentwicklung! (:wink:)