/usr/share/doc/HOWTO/de-html/DE-ISDN-HOWTO-10.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.65">
 <TITLE>Linux ISDN HOWTO: Konfiguration der Internet-Dienste     </TITLE>
 <LINK HREF="DE-ISDN-HOWTO-11.html" REL=next>
 <LINK HREF="DE-ISDN-HOWTO-9.html" REL=previous>
 <LINK HREF="DE-ISDN-HOWTO.html#toc10" REL=contents>
</HEAD>
<BODY>
<A HREF="DE-ISDN-HOWTO-11.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-ISDN-HOWTO-9.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-ISDN-HOWTO.html#toc10"><IMG SRC="toc.png" ALT="Inhalt"></A>
<HR>
<H2><A NAME="s10">10.</A> <A HREF="DE-ISDN-HOWTO.html#toc10">Konfiguration der Internet-Dienste     </A></H2>

<P>Voraussetzung f&uuml;r diesen Abschnitt des Dokumentes ist, da&szlig; die 
Internet-Verbindung &uuml;ber die Dial-On-Demand W&auml;hlverbindung und das 
Routing bereits funktioniert. 
Jetzt sollen je nach Bedarf weitere Internetdienste eingerichtet
werden.</P>

<H2><A NAME="DE-ISDN-HOWTO-dnsCache"></A> <A NAME="ss10.1">10.1</A> <A HREF="DE-ISDN-HOWTO.html#toc10.1">DNS-Cache            </A>
           <!--DNS!Cache-->           <!--Name Resolver!Cache-->        </H2>

<P>Die Hintergrundinformationen zum DNS-Cache sind in Abschnitt
<A HREF="DE-ISDN-HOWTO-8.html#DE-ISDN-HOWTO-ipnummern">IP-Nummern Aufl&ouml;sung</A> zu finden. Um einen DNS-Cache
einzurichten, geht man so vor:
<OL>
<LI> Paket <CODE>bind</CODE> installieren.
</LI>
<LI> 
<!--
/etc/named.boot
-->

<!--
DNS!/etc/named.boot
-->

<!--
Name Resolver!/etc/named.boot
-->
 
Dann editiere man <CODE>/etc/named.boot</CODE>:
<P>
<BLOCKQUOTE><CODE>
<PRE>
cache . root.cache
options query-log
forwarders 192.76.144.66
slave
                
</PRE>
</CODE></BLOCKQUOTE>

Bei <CODE>forwarders</CODE> werden ein oder mehrere IP-Nummern
der Nameserver eingetragen. Die Option <CODE>slave</CODE> steuert
das Verhalten, wenn der Nameserver selbst noch keine
Antwort hat. Ohne die Option m&uuml;&szlig;te jetzt der eigene
Nameserver die Anfrage aufl&ouml;sen, was recht aufwendig sein
kann. Mit dieser empfohlenen
Option wird dem Forwarder gesagt, da&szlig;
er die Anfrage aufl&ouml;sen soll. Bei der n&auml;chsten Anfrage
hat er diese dann im Cache.</P>
<P>Zur Diagnose ist zu empfehlen, noch die Zeile
<CODE>options query-log</CODE> einzuf&uuml;gen; es werden dann &uuml;ber
Syslog, also in <CODE>/var/log/messages</CODE>, alle
Anfragen an den Nameserver protokolliert. Dadurch
lassen sich einfach die &raquo;&Uuml;belt&auml;ter&laquo; im lokalen
Netz finden. Beispiel:
<BLOCKQUOTE><CODE>
<PRE>
named[232]: XX /192.168.1.2/www.suse.de/A
                
</PRE>
</CODE></BLOCKQUOTE>

Der Rechner 192.168.1.2 fragt nach dem A-Record
f&uuml;r <CODE>www.suse.de</CODE>.</P>
</LI>
<LI> Wir benutzen uns selbst als Nameserver. 
<P>Trage
als Nameserver die lokale IP-Nummer ein (<CODE>192.168.1.1</CODE>),
siehe Abschnitt 
<A HREF="DE-ISDN-HOWTO-8.html#DE-ISDN-HOWTO-resolv">Konfiguration der Namensaufl&ouml;sung</A>.</P>
</LI>
<LI> Nun mu&szlig; der eigene Nameserver gestartet werden.
<UL>
<LI> 
<!--
DNS!/etc/rc.config
-->

<!--
Name Resolver!/etc/rc.config
-->

<!--
DNS!/sbin/init.d/named
-->

<!--
Name Resolver!/sbin/init.d/named
-->

<!--
/sbin/init.d/named
-->
 
SuSE Methode:
Trage in <CODE>/etc/rc.config</CODE> folgendes ein:
<BLOCKQUOTE><CODE>
<PRE>
START_NAMED=yes
                        
</PRE>
</CODE></BLOCKQUOTE>

Starte Nameserver durch Reboot oder direkt
durch <CODE>/sbin/init.d/named start</CODE></LI>
<LI> Manuelle Methode:
<CODE>/usr/sbin/named</CODE></LI>
</UL>
</LI>
<LI> Nun sollte getestet werden, ob alles funktioniert: 
<BLOCKQUOTE><CODE>
<PRE>
nslookup www.suse.de
</PRE>
</CODE></BLOCKQUOTE>

<P> 
Als Ergebnis wird eine Verbindung aufgebaut, in <CODE>messages</CODE> 
wird die Anfrage protokolliert und die IP-Nummer wird
aufgel&ouml;st.</P>
<P>Eine Wiederholung der Anfrage, wenn die Verbindung nicht 
besteht, darf keine Verbindung aufbauen, die Anfrage
mu&szlig; sofort beantwortet werden.</P>

</LI>
</OL>
</P>

<H2><A NAME="DE-ISDN-HOWTO-squid"></A> <A NAME="ss10.2">10.2</A> <A HREF="DE-ISDN-HOWTO.html#toc10.2">Squid            </A>
           <!--Squid-->           <!--FTP!Proxy-->           <!--WWW!Proxy-->        </H2>

<P>Squid ist ein WWW- und FTP-Proxy. Der Vorteil eines Proxies liegt
nicht nur darin, Anfragen f&uuml;r mehrere Benutzer zu cachen, sondern
auch darin, da&szlig; die Clientrechner im lokalen Netz nicht unbedingt
echten Internetzugriff &uuml;ber Masquerading haben m&uuml;ssen, was
die &Uuml;bersicht und die Sicherheit erh&ouml;ht.</P>
<P>
<!--
Squid!/etc/squid.conf
-->

<!--
/etc/squid.conf
-->

Squid hat eine Vielzahl von Optionen und Features. Die mitgelieferte
Beispielkonfiguration in <CODE>/etc/squid.conf</CODE> ist sehr gut
dokumentiert und funktioniert zun&auml;chst einmal ohne &Auml;nderung.</P>

<H3>Starten von Squid                <!--Squid!Start-->            </H3>

<P>Bei SuSE wird &uuml;ber die <CODE>rc.config</CODE>-Variable
<CODE>START_SQUID</CODE> gesteuert, ob Squid gleich beim Systemstart
hochgefahren werden soll (&uuml;ber <CODE>/sbin/init.d/squid</CODE>).</P>
<P>Manuell kann man <CODE>squid</CODE> z.B. durch 
<BLOCKQUOTE><CODE>
<PRE>
/usr/sbin/squid -sYD >> /var/squid/squid.out 2>&amp;1 &amp;
</PRE>
</CODE></BLOCKQUOTE>

starten.</P>
<P>Vor dem ersten Start mu&szlig; das Cache-Directory
initialisiert werden; dies sollte als Benutzer squid
geschehen. Als root kann man einfach folgendes aufrufen:
<BLOCKQUOTE><CODE>
<PRE>
su squid -c "/usr/sbin/squid -z"
</PRE>
</CODE></BLOCKQUOTE>
</P>

<H3>Clients anpassen                <!--Squid!Clients-->            </H3>

<P>Die WWW-Browser m&uuml;ssen konfiguriert werden, damit Sie
den Proxy ansprechen. Bei Netscape gibt es die
Maske <EM>Options/Network Preferences</EM>, <EM>Proxies/Manual 
Proxy Configuration</EM>. In der Maske gibt man jeweils
f&uuml;r FTP und HTTP-Proxy die IP-Nummer des IZG im lokalen
Netz ein und als Portnummer <CODE>3128</CODE> oder was in
<CODE>/etc/squid.conf</CODE> definiert ist.</P>
<P>Zus&auml;tzlich sollte man noch im Feld <EM>No Proxy for</EM>
eintragen, f&uuml;r welche Domains nicht &uuml;ber den Proxy gegangen, 
sondern direkt auf den WWW-Server zugegriffen werden soll,
z.B.: <CODE>localhost isdnworkshop.de</CODE>.</P>

<H2><A NAME="DE-ISDN-HOWTO-fetchmail"></A> <A NAME="ss10.3">10.3</A> <A HREF="DE-ISDN-HOWTO.html#toc10.3">Fetchmail            </A>
           <!--fetchmail-->           <!--POP3!fetchmail-->           <!--Mail!fetchmail-->        </H2>

<P>Das Programm <CODE>fetchmail</CODE> (Paket <CODE>pop</CODE>) eignet sich dazu,
Mails &uuml;ber das POP3-Protokoll vom Provider abzuholen.</P>
<P>Das Abholen kann auch als normaler User durchgef&uuml;hrt werden,
wir holen hier die Mails als root ab, dadurch l&auml;&szlig;t sich der
Vorgang besser automatisieren. Nach dem Abholen werden die
Mails dem lokalen Sendmail &uuml;bergeben und zugestellt.</P>
<P>Der Mailserver sei <CODE>mail.provider.de</CODE>. Es gibt zwei Benutzer 
<EM>asterix</EM> und <EM>obelix</EM>, die auf dem lokalen Rechner <EM>eva</EM>
und <EM>maria</EM> heissen. Als
Pa&szlig;w&ouml;rter werden auf dem Mailserver <EM>adam</EM> und <EM>josef</EM> benutzt. </P>
<P>
<UL>
<LI> Lege eine Datei <CODE>/root/.fetchmailrc</CODE> an:
<BLOCKQUOTE><CODE>
<PRE>
poll mail.provider.de protocol POP3 user asterix 
     password adam is eva
poll mail.provider.de protocol POP3 user obelix 
     password josef is maria
            
</PRE>
</CODE></BLOCKQUOTE>

</LI>
<LI> Zum Test starte:
<BLOCKQUOTE><CODE>
<PRE>
fetchmail -v --keep -a
            
</PRE>
</CODE></BLOCKQUOTE>

Die Option <CODE>-v</CODE> f&uuml;hrt zu mehr Ausgaben, die Option
<CODE>--keep</CODE> sorgt daf&uuml;r, da&szlig; die Mails auf dem Server
zun&auml;chst nicht gel&ouml;scht werden.
</LI>
<LI> Wenn das erfolgreich war, trage in <CODE>/etc/ppp/ip-up</CODE>
das Kommando 
<BLOCKQUOTE><CODE>
<PRE>
fetchmail -a >> /var/log/fetchmail
</PRE>
</CODE></BLOCKQUOTE>

in den Start-Abschnitt ein.
</LI>
</UL>
    </P>
<P>Mehr Informationen findet man hier: 
<BLOCKQUOTE><CODE>
<A HREF="http://www.suse.de/Support/sdb/fetchmail.html">http://www.suse.de/Support/sdb/fetchmail.html</A></CODE></BLOCKQUOTE>
</P>
<P>&Uuml;bung: Auf dem Server liegen Mails f&uuml;r jede Workstation
bereit. Richte <CODE>fetchmail</CODE> so ein, da&szlig; bei jedem Verbindungsaufbau
Mails abgeholt werden. Pr&uuml;fe die lokale Zustellung.</P>

<H2><A NAME="DE-ISDN-HOWTO-sendmail"></A> <A NAME="ss10.4">10.4</A> <A HREF="DE-ISDN-HOWTO.html#toc10.4">Sendmail            </A>
           <!--sendmail-->           <!--Netzwerk!Mail-->           <!--Mail!sendmail-->        </H2>

<P>&Uuml;ber Sendmail kann man dicke B&uuml;cher schreiben, siehe Abschnitt 
<A HREF="DE-ISDN-HOWTO-13.html#DE-ISDN-HOWTO-bookSendmail">Sendmail</A>.</P>
<P>Das SuSE Paket <CODE>sendmail</CODE> ist f&uuml;r diese Zwecke hier
bestens ger&uuml;stet. Besonders wichtig ist hier zum einem, da&szlig;
die Absenderadresse richtig gesetzt wird, denn die lokale
Domain k&ouml;nnte ja zur E-Mail-Adresse beim Provider unterschiedlich
sein. Zum anderen sollen lokale E-Mails sofort zugestellt
werden, Mails, die &uuml;ber die W&auml;hlleitung verschickt werden m&uuml;ssen,
sollen dagegen in eine Warteschlange gestellt werden, ohne da&szlig; eine 
Verbindung aufgebaut wird.</P>
<P>Wie immer gibt es mehrere Wege:</P>
<P>
<UL>
<LI>  
<!--
sendmail!/etc/rc.config
-->
 
Sendmail &uuml;ber <CODE>/etc/rc.config</CODE> konfigurieren:
<P>
<BLOCKQUOTE><CODE>
<PRE>
FROM_HEADER="klaus.franken.de"
SENDMAIL_TYPE="yes"
SENDMAIL_SMARTHOST="mail-n.franken.de"
SENDMAIL_LOCALHOST="localhost franken.b.eunet.de \
        glen.home.suse.de klaus.franken.de"
SENDMAIL_RELAY=""
SENDMAIL_ARGS="-bd -om"
SENDMAIL_EXPENSIVE="yes"
SENDMAIL_NOCANONIFY="yes"
            
</PRE>
</CODE></BLOCKQUOTE>
</P>

</LI>
<LI> 
<!--
sendmail!m4-Makros
-->

<!--
sendmail!/etc/sendmail.cf
-->

<!--
/etc/sendmail.cf
-->
 
Sendmail &uuml;ber m4-Makro-File konfigurieren:
<P>Seit Sendmail Version 8 bietet Sendmail ein Makro-Paket,
bei dem die eigentliche Konfigurationsdatei
<CODE>/etc/sendmail.cf</CODE> nicht <EM>von Hand</EM> erstellt
werden mu&szlig;, sondern &uuml;ber eine Meta-Datei generiert wird.
Das Verzeichnis der Makros ist je nach Distribution 
unterschiedlich, &uuml;blich ist z.B. <CODE>/usr/share/sendmail/m4</CODE> 
oder bei SuSE auch <CODE>/etc/mail</CODE>.</P>
<P>In der Distribution sollten sich Vorlagen befinden.
Bei SuSE ist eine gut kommentierte 
<CODE>/etc/mail/linux.mc</CODE> dabei. Bevor man diese
&auml;ndert, sollte man in <CODE>/etc/rc.config</CODE> mit
<CODE>SENDMAIL_TYPE="no"</CODE> das automatische
Generieren abstellen.</P>
<P>Man generiert eine neue Konfigurationsdatei mit:
<BLOCKQUOTE><CODE>
<PRE>
m4 linux.mc > /etc/sendmail.cf
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Weitere Informationen sind in der Datei <CODE>/etc/mail/README</CODE>
zu finden.       </P>

</LI>
<LI>  
<!--
sendmail!/etc/mail/genericstable
-->

<!--
/etc/mail/genericstable
-->

Sendmail Finetuning:
<P>Bei ausgehenden E-Mails werden abh&auml;ngig vom lokalen 
Benutzernamen die E-Mail-Adressen mit Hilfe der
Datei <CODE>/etc/mail/genericstable</CODE> umgeschrieben:
<BLOCKQUOTE><CODE>
<PRE>
kfr kfr@klaus.franken.de
sandra sandra@klaus.franken.de
sr sandra@klaus.franken.de
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
</LI>
</UL>
</P>
<P>Nun kann mal folgende &Uuml;bungen machen:
<UL>
<LI> Schreibe Dir selbst eine Mail auf dem lokalen Rechner.</LI>
<LI> Schreibe anderen Usern eine Mail auf dem lokalen Rechner.</LI>
<LI> Schreibe eine Mail an <CODE>root@server.isdnworkshop.de</CODE>.</LI>
<LI> Schreibe eine Mail an andere Benutzer auf 
<CODE>server.isdnworkshop.de</CODE> (ws0, ws1, ...).</LI>
<LI> Pr&uuml;fe nach, wo Deine Mails sind.</LI>
<LI> Stelle sicher, da&szlig; Mails beim Verbindungaufbau 
gequeued verschickt werden, lokale Mails aber sofort 
zugestellt werden.</LI>
<LI> Pr&uuml;fe die Mailqueue mit <CODE>mailq</CODE>    </LI>
</UL>
</P>

<H2><A NAME="ss10.5">10.5</A> <A HREF="DE-ISDN-HOWTO.html#toc10.5">News            </A>
<!--News-->           <!--Netzwerk!News-->           <!--$NNTPSERVER-->        </H2>

<P>Online News kann man schon jetzt sehr einfach lesen. Als News-Server
gibt man den entsprechenden Server des ISPs an.
Dazu mu&szlig; man f&uuml;r die meisten 
News-Reader die Variable <CODE>NNTPSERVER</CODE> setzen: 
<BLOCKQUOTE><CODE>
<PRE>
export NNTPSERVER='klaus.franken.de'
</PRE>
</CODE></BLOCKQUOTE>

Dies sollte man systemweit in der <CODE>/etc/profile</CODE>
setzen.</P>
<P>W&uuml;nschenswert ist nat&uuml;rlich, News offline zu lesen und entweder
bei Bedarf zu holen bzw. zu verschicken oder dieses
per Cron-Job z.B. jede Nacht durchf&uuml;hren zu lassen.</P>
<P>Die Installation eines eigenen News-Servers ist recht
aufwendig, es bieten sich <EM>CNews</EM> oder <EM>INN</EM> an.
Siehe dazu auch das <EM>
<A HREF="DE-News-HOWTO.html">News HOWTO</A></EM>. </P>
<P>Ein eigener News-Server ist aber eigentlich nur dann notwendig,
wenn man auf diesem selber Newsgruppen einrichten m&ouml;chte.
Will man das nicht, sind CNews und INN vollkommen &uuml;berdimensioniert;
deshalb m&ouml;chte ich hier zwei andere M&ouml;glichkeiten vorstellen.</P>
<P>
<!--
News!Leafnode
-->

<!--
News!slrn
-->

<!--
Leafnode
-->

<!--
slrn
-->

Zwei Pakete bieten sich an: <EM>Leafnode</EM> und <EM>slrn</EM>.
Beide sind einfach einzurichten und zu warten und reichen f&uuml;r
ein mittleres Newsaufkommen vollkommen aus.</P>
<P><CODE>slrn</CODE> ist eigentlich ein eigener textorientierter, sehr
flexibler und schneller News-Reader und bietet 
ein eigenes Programm <CODE>slrnpull</CODE>, das die News abholt und in
ein eigenes Spool-Verzeichnis stellt, auf welches direkt von
<CODE>slrn</CODE> zugegriffen werden kann. 
Es existieren allerdings auch einige Einschr&auml;nkungen: 
es kann kein anderes News-Programm
darauf zugreifen; es kann nicht &uuml;ber Netzwerk auf die News
zugegriffen werden, da kein lokaler News-Server l&auml;uft.
Eventuell geht das jedoch &uuml;ber NFS.</P>
<P>Leafnode stellt dagegen einen eigenen News-Server zur
Verf&uuml;gung, braucht aber insgesamt mehr Ressourcen.
Der Trick bei Leafnode ist der, da&szlig; sich der Server
quasi selbst konfiguriert: wird von einem Client auf eine
Gruppe zugegriffen, wird diese automatisch abonniert und ist
beim n&auml;chsten Abgleich vorhanden; wird dagegen l&auml;ngere Zeit
nicht mehr auf eine Gruppe zugegriffen, wird diese automatisch
gel&ouml;scht. Man kann Leafnode also in einem kleineren Netz mit
mehreren Lesern trotzdem nahezu unbeaufsichtigt laufen lassen.</P>
<P>Beide Programme arbeiten sehr gut in dieser
Dial-On-Demand-Umgebung. Zugriffe auf den News-Server
beim Provider werden nur auf Wunsch, nie aber automatisch
ausgef&uuml;hrt.</P>

<H3>slrn installieren und konfigurieren                <!--slrn!Installation-->            </H3>

<P>Die getestete Version ist 0.9.5.2 von folgendem Server:
<BLOCKQUOTE><CODE>
<A HREF="ftp://space.mit.edu/pub/davis/slrn">space.mit.edu:/pub/davis/slrn</A></CODE></BLOCKQUOTE>
</P>
<P>Es wird die <CODE>slang</CODE>-Bibliothek ab Version
1.0.3 ben&ouml;tigt. Bei SuSE 5.2 ist noch die Version 0.99.38 
dabei. Zu bekommen ist die Bibliothek unter 
<BLOCKQUOTE><CODE>
<A HREF="ftp://space.mit.edu/pub/davis/slang">space.mit.edu:/pub/davis/slang</A></CODE></BLOCKQUOTE>
</P>
<P>Beim Kompilieren darf nicht vergessen werden, auch
<CODE>make slrnpull</CODE> einzugeben.
Die Binaries werden z.B. nach <CODE>/usr/local/bin</CODE>
kopiert oder es wird folgendes ausgef&uuml;hrt:
<BLOCKQUOTE><CODE>
<PRE>
install -m 755 -o root -g root src/objs/slrn \
        /usr/local/bin
install -m 755 -o root -g root src/objs/slrnpull \
        /usr/local/bin
install -d /usr/doc/packages/slrn -m 755 \
        -o root -g root
install -m 644 -o root -g root doc/* \
        /usr/doc/packages/slrn
install -m 644 -o root -g root COPYRIGHT \
        /usr/doc/packages/slrn
install -m 644 -o root -g root COPYING \
        /usr/doc/packages/slrn
install -m 644 -o root -g root README \
        /usr/doc/packages/slrn
install -m 644 -o root -g root changes.txt \
        /usr/doc/packages/slrn
install -m 644 -o root -g root doc/slrn.1 \
        /usr/local/man/man1
install -d /usr/doc/packages/slrn/slrnpull \
        -m 755 -o root -g root
install -m 644 -o root -g root slrnpull/* \
        /usr/doc/packages/slrn/slrnpull
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Dann wird das Spool-Verzeichnis angelegt und die Config-Datei
erstellt:
<BLOCKQUOTE><CODE>
<PRE>
mkdir /var/spool/slrnpull
cd /var/spool/slrnpull
cp /src/slrn/slrnpull/slrnpull.conf .
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>
<!--
slrn!slrnpull.conf
-->

In <CODE>slrnpull.conf</CODE> k&ouml;nnte z.B. folgendes stehen:
<BLOCKQUOTE><CODE>
<PRE>
default                0   14
de.alt.comm.isdn4linux
            
</PRE>
</CODE></BLOCKQUOTE>
</P>

<P>
<!--
slrn!~/.slrnrc
-->

Jetzt mu&szlig; noch der News-Reader auf diesen Spool-Pfad
konfiguriert werden. Dazu f&uuml;gt man folgendes in 
<CODE>~/.slrnrc</CODE> ein bzw. pa&szlig;t die Datei entsprechend
an:
<BLOCKQUOTE><CODE>
<PRE>
%%% Spool
set spool_inn_root   "/var/spool/slrnpull"
set spool_root       "/var/spool/slrnpull/news"
set spool_nov_root   "/var/spool/slrnpull/news"
set use_slrnpull 1
set read_active 1
set server_object    "spool"
hostname "klaus.franken.de"
set username "kfr"
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Abholen und Verschicken eigener News 
und das L&ouml;schen alter Artikel
geschieht mit einem einzigen Kommando, das als root ausgef&uuml;hrt
wird:
<BLOCKQUOTE><CODE>
<PRE>
slrnpull -d /var/spool/slrnpull -h news.franken.de
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Beim ersten Mal dauert das nat&uuml;rlich sehr lange und sollte daher
manuell ausgef&uuml;hrt werden. Im Betrieb kann man das &uuml;ber einen
Croneintrag oder in <CODE>/etc/ppp/ip-up</CODE> bei jedem
Verbindungsaufbau durchf&uuml;hren lassen.</P>
<P>Beim manuellen Start gibt <CODE>slrnpull</CODE> Meldungen
auf der Console aus; wird es im Hintergrund
gestartet, loggt es nach <CODE>/var/spool/slrnpull/log</CODE>.
Aber Achtung, diese Datei kann gro&szlig; werden.</P>


<H3>Leafnode installieren und konfigurieren             </H3>

<P>Leafnode (Version 1.4) gibt es auf
<BLOCKQUOTE><CODE>
 
<A HREF="ftp://ftp.troll.no/pub/freebies/">ftp.troll.no:/pub/freebies/</A></CODE></BLOCKQUOTE>
</P>
<P>Die mitgelieferten Dateien <CODE>README</CODE> und <CODE>INSTALL</CODE>
beschreiben die Installation sehr gut.</P>
<P>
<!--
fetch
-->

<!--
texpire
-->

Im folgenden Beispiel werden die Binaries
<CODE>leafnode</CODE>, <CODE>fetch</CODE> und <CODE>texpire</CODE> nach
<CODE>/usr/local/bin</CODE> installiert; der Makefile mu&szlig;
daf&uuml;r angepa&szlig;t werden.</P>
<P>Zun&auml;chst wird der NNTP-Server <CODE>leafnode</CODE>
in der <CODE>/etc/inetd.conf</CODE> durch folgende Zeile
aktiviert:
<BLOCKQUOTE><CODE>
<PRE>
nntp  stream  tcp  nowait  news  /usr/sbin/tcpd  /usr/local/bin/leafnode
            
</PRE>
</CODE></BLOCKQUOTE>

Danach mu&szlig; 
<BLOCKQUOTE><CODE>
<PRE>
killall -1 inetd
</PRE>
</CODE></BLOCKQUOTE>

ausgef&uuml;hrt werden.
Als n&auml;chstes mu&szlig; ein User und eine Gruppe <CODE>news</CODE>
angelegt werden, z.B. durch folgenden Eintrag
in <CODE>/etc/passwd</CODE>:
<BLOCKQUOTE><CODE>
<PRE>
news:x:9:13::/var/spool/news:/bin/bash
            
</PRE>
</CODE></BLOCKQUOTE>

Alle Arbeiten m&uuml;ssen dann als User <CODE>news</CODE> 
ausgef&uuml;hrt werden.</P>
<P>Im Verzeichnis <CODE>/usr/lib/leafnode</CODE>
wurde bei der Installation eine Beispiel-Datei angelegt,
die man kopieren und anpassen mu&szlig;:
<BLOCKQUOTE><CODE>
<PRE>
su - news
cd /usr/lib/leafnode
cp config.example config
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Datei ist kommentiert, hier arbeiten folgende
Eintr&auml;ge:
<BLOCKQUOTE><CODE>
<PRE>
server = news.franken.de
expire = 20
maxcount = 1000
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Jetzt mu&szlig; man daf&uuml;r sorgen, da&szlig; das Programm
<CODE>texpire</CODE> regelm&auml;ssig aufgerufen wird, ansonsten
werden alte News nicht wieder gel&ouml;scht; hier arbeitet
folgender Crontab-Eintrag vom Benutzer root jede Nacht
um 5:42 und l&ouml;scht die alten Artikel:
<BLOCKQUOTE><CODE>
<PRE>
42  5 * * * su news -c texpire
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Durch das Kommando <CODE>fetch</CODE> oder besser <CODE>fetch -v</CODE>
wird nun der Newsserver initialisiert, aber es sind keine
Gruppen verf&uuml;gbar.</P>
<P>In dem man jetzt einmalig durch einen News-Reader
auf diesen Newsserver und auf die interessanten
Gruppen zugreift, die nat&uuml;rlich alle mit der
Anzahl 0 angezeigt werden, werden die Gruppen abonniert.
Beim n&auml;chsten Aufruf von <CODE>fetch</CODE> werden dann die Artikel
geholt.
Auch hier kann man <CODE>fetch</CODE> via Crontab regelm&auml;ssig
oder durch einen Eintrag in <CODE>/etc/ppp/ip-up</CODE>
aufrufen.</P>
<P>Ein Problem ist allerdings, da&szlig; man keinen direkten Einflu&szlig; 
darauf hat,
welche Gruppen abonniert werden. Es sei denn, da&szlig; man vor dem
Aufruf von <CODE>fetch</CODE> das Verzeichnis 
<CODE>/home/opt/spool/news/interesting.groups</CODE>
&raquo;aufr&auml;umt&laquo;.</P>
<P>Die Ausgabe von <CODE>fetch</CODE> sollte beachtet werden; abgelehnte
eigene Postings werden nirgends abgespeichert, sondern
einfach gel&ouml;scht.</P>

<H2><A NAME="DE-ISDN-HOWTO-ipfwadm"></A> <A NAME="ss10.6">10.6</A> <A HREF="DE-ISDN-HOWTO.html#toc10.6">Firewall            </A>
           <!--Firewall-->           <!--Netzwerk!Firewall-->           <!--IP!Firewall-->        </H2>

<P>Firewalls sind ein heikles Thema. Der Autor &uuml;bernimmt keine Garantie
f&uuml;r die Richtigkeit der hier gemachten Angaben.
Wer ein wirklich sicheres System ben&ouml;tigt, sollte zumindest
das <EM>
<A HREF="DE-Firewall-HOWTO.html">Firewall HOWTO</A></EM> lesen oder einen Experten daf&uuml;r
beauftragen.
&Uuml;ber Firewalls kann man dicke B&uuml;cher schreiben, siehe Abschnitt 
<A HREF="DE-ISDN-HOWTO-13.html#DE-ISDN-HOWTO-bookFirewall">Firewall</A>.</P>
<P>Die einfachste aber wirkungsvolle Methode ist die Benutzung
eines Paketfilters. Diese Methode wird direkt vom Linux-Kernel 
unterst&uuml;tzt und
&uuml;ber das Kommando <CODE>ipfwadm</CODE> (IP-FireWall ADMinistration)
konfiguriert.</P>

<H3>Was ist ein Paketfilter?             </H3>

<P>Jedes IP-Paket, das vom Kernel behandelt wird, wird nach einer
Regelliste untersucht und entweder akzeptiert oder abgelehnt.</P>
<P>Es werden drei verschiedene Listen gef&uuml;hrt:
<OL>
<LI>Incoming (Schalter <CODE>-I</CODE>): einkommende Pakete</LI>
<LI>Outgoing (Schalter <CODE>-O</CODE>): ausgehende Pakete</LI>
<LI>Forwarding (Schalter <CODE>-F</CODE>): durchgehende Pakete</LI>
</OL>
</P>

<H3>Wie gibt man eine Firewall-Regel an?                <!--ipfwadm!IP Firewall-->            </H3>

<P>Der <CODE>ipfwadm</CODE>-Aufruf setzt sich zusammen aus:</P>
<P>
<DL>

<DT><B>Wann?</B><DD>
<P>Incoming (<CODE>-I</CODE>), Outgoing (<CODE>-O</CODE>) oder 
Forwarding (<CODE>-F</CODE>)</P>

<DT><B>Wohin?</B><DD>
<P>Man kann neue Regeln an den Anfang der Liste
(<CODE>-i</CODE>) oder an das Ende der Liste (<CODE>-a</CODE>) setzen.
Die Regeln werden immer von vorne nach hinten interpretiert,
bei der ersten passenden Regel wird nicht weitergesucht.</P>

<DT><B>Was tun?</B><DD>
<P>Soll das Paket akzeptiert werden (accept),
oder abgewiesen (deny) werden?</P>

<DT><B>Protokoll?</B><DD>
<P> 
M&ouml;gliche Protokolle sind tcp, udp, icmp oder alles (all).</P>

<DT><B>Quell-IP?</B><DD>
<P>Angabe des Source-IP-Nummern-Bereiches (<CODE>-S</CODE>), z.B.
<CODE>-S 192.168.42.0/24</CODE></P>

<DT><B>Ziel-IP?</B><DD>
<P>Angabe des Ziel-IP-Nummern Bereiches (<CODE>-D</CODE>)</P>

<DT><B>Port?</B><DD>
<P>Meist wird direkt hinter der Ziel-IP-Nummer noch der
Ziel-Port mit angegeben, dies kann der numerische
Wert oder das Alias, wie in <CODE>/etc/services</CODE>
definiert, sein.</P>

<DT><B>Wo?</B><DD>
<P>Mit dem Schalter <CODE>-W</CODE> kann die Regel auf ein Netzdevice
beschr&auml;nkt werden.</P>

</DL>
</P>
<P>Weiterhin gibt es folgende wichtige Optionen:
<UL>
<LI> <CODE>-f</CODE>: Setzt das Regelwerk f&uuml;r <CODE>-I</CODE>, <CODE>-O</CODE>
oder <CODE>-F</CODE> zur&uuml;ck.</LI>
<LI> <CODE>-o</CODE>: Beim Zutreffen der Regel wird eine Meldung
via syslog in <CODE>/var/log/messages</CODE> geschrieben.</LI>
<LI> <CODE>-m</CODE>: Masquerading, s.u.</LI>
<LI> <CODE>-A</CODE>: Accounting, s.u.</LI>
<LI> <CODE>-l</CODE> oder <CODE>-lne</CODE>: Listet die Regeln.</LI>
</UL>
</P>

<H3>Was f&uuml;r Regeln brauche ich mindestens?             </H3>

<P>Eines der gr&ouml;&szlig;ten Sicherheitsl&ouml;cher ist das sogenannte
<EM>Spoofing</EM>. Darunter versteht man, da&szlig; ein eigentlich
fremder Rechner behauptet, eine IP-Nummer aus dem eigenen,
sicheren Netz zu haben. Daher m&uuml;ssen als erstes Regeln
definiert werden, die verhindern, da&szlig; eigene IP-Nummern 
aus dem unsicheren Netz hereinkommen k&ouml;nnen.</P>
<P>Als n&auml;chstes sollte man alle Zugriffe von au&szlig;en verbieten und
nur bei Bedarf die ben&ouml;tigten Dienste wie Mail oder WWW 
freischalten.</P>

<H3>Ein einfacher Firewall             </H3>


<P>Das lokale Ethernet ist auf 192.168.42.0 konfiguriert.
Wir erwarten IP-Nummern aus dem Bereich 
193.110.3.0/24 zugewiesen zu bekommen, wobei der
PtP-Partner nicht aus diesem Bereich ist, da ansonsten
seine Pakete auch abgewiesen werden w&uuml;rden.</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
# Spoofing verhindern:
/sbin/ipfwadm -I -a deny -o -P all -S 192.168.42.0/24 \ 
              -D 192.168.42.0/24 -W ippp0
/sbin/ipfwadm -I -a deny -o -P all -S 192.168.42.0/24 \
              -D 193.110.3.0/24 -W ippp0
/sbin/ipfwadm -I -a deny -o -P all -S 193.110.3.0/24 \
              -D 192.168.42.0/24 -W ippp0
/sbin/ipfwadm -I -a deny -o -P all -S 193.110.3.0/24 \
              -D 193.110.3.0/24 -W ippp0


# Zugriffe von &uuml;berall auf den Mail-Server (Port 25) 
# erlauben:
/sbin/ipfwadm -I -a accept -P tcp -S 0/0 \
              -D 192.168.42.1 25 -W ippp0

# Zugriffe von &uuml;berall auf den DNS-Server (Port 53) 
# erlauben:
/sbin/ipfwadm -I -a accept -P tcp -S 0/0 \
              -D 192.168.42.1 53 -W ippp0

# sonst alles verbieten (getrennt f&uuml;r Protokoll tcp 
# und udp)
/sbin/ipfwadm -I -a deny -o -P tcp -S 0/0 \
              -D 192.168.42.0/24 1:1023 -W ippp0 
/sbin/ipfwadm -I -a deny -o -P tcp -S 0/0 \
              -D 193.110.3.0/24 1:1023 -W ippp0

/sbin/ipfwadm -I -a deny -o -P udp -S 0/0 \
              -D 192.168.42.0/24 1:1023 -W ippp0
/sbin/ipfwadm -I -a deny -o -P udp -S 0/0 \
              -D 193.110.3.0/24 1:1023 -W ippp0
            
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Bei SuSE l&auml;&szlig;t sich obiges Beispiel auch in der 
<CODE>/etc/rc.config</CODE> einstellen:
<BLOCKQUOTE><CODE>
<PRE>
FW_START="yes"
FW_LOCALNETS="192.168.42.0/24 193.110.3.0/24"
FW_MAILSERVER="192.168.42.1"
FW_DNSSERVER="192.168.42.1"
FW_WORLD_DEV="ippp0"
FW_LOG_ACCEPT="no"
FW_LOG_DENY="yes"
FW_TCP_LOCKED_PORTS="1:1023"
FW_UDP_LOCKED_PORTS="1:1023"
        
</PRE>
</CODE></BLOCKQUOTE>

Siehe auch <CODE>/usr/doc/packages/firewall</CODE>.</P>

<H2><A NAME="DE-ISDN-HOWTO-ipfwadm-m"></A> <A NAME="ss10.7">10.7</A> <A HREF="DE-ISDN-HOWTO.html#toc10.7">Masquerading            </A>
           <!--Masquerading-->           <!--Netzwerk!Masquerading-->           <!--IP!Masquerading-->           <!--Network Address Translation-->           <!--ipfwadm!IP Masquerading-->        </H2>

<P>Masquerading, auch <EM>Network Address Translation</EM> genannt, 
braucht man dann, wenn man ein internes Netz mit
privaten IP-Nummern hat, vom ISP aber nur eine offizielle IP-Nummer
bekommt und dieses vielleicht sogar dynamisch geschieht. Die 
IP-Pakete werden beim Rausschicken auf der Internetleitung
umgeschrieben und mit der eigenen offiziellen IP-Nummer versehen.
Umgekehrt wird eine Tabelle der offenen Verbindungen gehalten,
damit einkommende Pakete wieder dem urspr&uuml;nglichen Absender
zugestellt werden k&ouml;nnen.</P>
<P>Hat man sich mit dem Firewall bzw. Paketfilter via <CODE>ipfwadm</CODE>
vertraut gemacht, ist Masquerading fast trivial, denn
es findet an derselben Stelle statt und wird fast genauso
konfiguriert, es wird lediglich der Schalter <CODE>-m</CODE> dazugegeben.</P>
<P>Sollen z.B. 
Pakete aus dem internen Netzwerk (192.168.42.0/24), die zum Provider
(Device <CODE>ippp0</CODE>) verschickt werden, mit der jeweils 
g&uuml;ltigen IP-Nummer maskiert werden, geht man so vor: Es wird einer
Forwarding-Rule der Schalter <CODE>-m</CODE> mitgegeben:
<BLOCKQUOTE><CODE>
<PRE>
/sbin/ipfwadm -F -a accept -P all -S 192.168.42.0/24 \
              -D 0/0 -m -W ippp0
        
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>
<!--
FTP!Masquerading
-->

Bei manchen Internet-Diensten wie z.B. FTP wird nicht nur ein Socket
ge&ouml;ffnet, sondern auch ein zweiter f&uuml;r die Daten&uuml;bertragung,
die der Server zum Client aufbaut. Da der Client aber selbst 
aufgrund seiner privaten IP-Nummer nicht erreichbar ist
und der Server die Verbindung
zum falschen Rechner (IZG) aufbaut, klappt diese Methode 
ohne weiteres Wissen &uuml;ber die speziellen Eigenheiten des
entsprechenden Protokolls nicht. Abhilfe daf&uuml;r schaffen  
spezielle Routinen, die auch daf&uuml;r <EM>remaskieren</EM> k&ouml;nnen.
Diese werden durch Kernel-Module geladen:
<BLOCKQUOTE><CODE>
<PRE>
/sbin/insmod ip_masq_cuseeme
/sbin/insmod ip_masq_ftp
/sbin/insmod ip_masq_irc
/sbin/insmod ip_masq_quake
/sbin/insmod ip_masq_raudio
/sbin/insmod ip_masq_vdolive
        
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Bei SuSE l&auml;&szlig;t sich obiges Beispiel auch in der 
<CODE>/etc/rc.config</CODE> einstellen:
<BLOCKQUOTE><CODE>
<PRE>
MSQ_START="yes"
MSQ_NETWORKS="192.168.42.0/24"
MSQ_DEV="ippp0"
MSQ_MODULES="ip_masq_cuseeme ip_masq_ftp ip_masq_irc \
             ip_masq_quake ip_masq_raudio ip_masq_vdolive"
        
</PRE>
</CODE></BLOCKQUOTE>

Siehe auch <CODE>/usr/doc/packages/firewall</CODE>.</P>

<H2><A NAME="DE-ISDN-HOWTO-accounting"></A> <A NAME="ss10.8">10.8</A> <A HREF="DE-ISDN-HOWTO.html#toc10.8">Accounting     </A>
        </H2>

<P>Auf das Accounting wollen wir hier nicht weiter eingehen. 
Informationen hierzu finden sich in der Manual Page von
<CODE>ipfwadm</CODE> unter dem Stichwort <CODE>-A</CODE>.</P>

<H2><A NAME="DE-ISDN-HOWTO-samba"></A> <A NAME="ss10.9">10.9</A> <A HREF="DE-ISDN-HOWTO.html#toc10.9">Samba         </A>
        <!--Samba-->        <!--ISDN!Probleme!Samba-->        </H2>

<P>Samba ist ein File- und Druckerserver f&uuml;r das unter
Windows benutzte SMB-Protokoll.
Das Thema geh&ouml;rt also gar nicht hier her? Doch, denn Samba
kann in unserem Fall Probleme machen.</P>
<P>Beim SMB-Protokoll wird sehr viel mit Broadcasts gearbeitet;
die Rechner schicken sich st&auml;ndig, auch wenn eigentlich keine
Aktionen ausgef&uuml;hrt werden, Nachrichten zu.
Der Samba-Server wird meist so ausgeliefert, da&szlig; dieser
alle verwendendbaren Netzdevices benutzt und dorthin
Nachrichten schickt, also auch an das <CODE>ippp0</CODE>-Device.
Das f&uuml;hrt dann dazu, da&szlig; st&auml;ndig Verbindungen zum Provider
aufgebaut werden.</P>
<P>L&ouml;sen kann man das Problem so:
<OL>
<LI> Starte Samba nur, wenn Du es auch brauchst.
<P>
<!--
Samba!/etc/rc.config
-->

Bei SuSE wird Samba schon aktiviert, wenn das Paket
installiert ist.
Setze daher in <CODE>/etc/rc.config</CODE>: 
<CODE>START_SMB=&#34;no&#34;</CODE>.</P>

</LI>
<LI> Wenn Du es brauchst, sage Samba, welche Devices
benutzt werden d&uuml;rfen.

<!--
Samba!/etc/smb.conf
-->

<!--
/etc/smb.conf
-->

In der <CODE>/etc/smb.conf</CODE> setze z.B. im 
<CODE>global</CODE>-Abschnitt:
<BLOCKQUOTE><CODE>
<PRE>
interfaces = 192.168.2.1/24
</PRE>
</CODE></BLOCKQUOTE>


Mehr Infos gibt es hier: 
<BLOCKQUOTE><CODE>
<A HREF="http://www.suse.de/Support/sdb/isdn_samba.html">http://www.suse.de/Support/sdb/isdn_samba.html</A></CODE></BLOCKQUOTE>

</LI>
</OL>
</P>



<HR>
<A HREF="DE-ISDN-HOWTO-11.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-ISDN-HOWTO-9.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-ISDN-HOWTO.html#toc10"><IMG SRC="toc.png" ALT="Inhalt"></A>
</BODY>
</HTML>
doc-linux-de 2003.10-5 / usr / share / doc / HOWTO / de-html / DE-ISDN-HOWTO-10.html
