jtb.blog

Entries from April 2008

Friday, April 25. 2008

Ubuntu 8.04 Mirror

Wer einen schnellen Mirror für Ubuntu sucht:
ftp://ftp.fbihome.de und http://ftp.fbihome.de

Der Server taucht nicht in der offiziellen Liste auf ist aber sehr schnell angebunden.
Posted by Jtb in Linux at 18:37 | Comments (0) | Trackbacks (0)
Defined tags for this entry:

Monday, April 21. 2008

Spammer abwehren

Bei uns im studentischen Netzwerk hatten wir letztens das Problem, dass ein infiziertes Notebook massenweise Spam-Mails in die Welt geschickt hat. Innerhalb von 15 Minuten waren das 2.500 ausgehende Spam-Verbindungen.

Da wir nicht komplett Port 25 sperren wollten (wie beispielsweise die TU Darmstadt), habe ich eine Anpassung der Firewall vorgenommen, die den normalen Benutzer nicht einschränken sollte aber solch Spam-Versender effektiv behindert.

Das ganze basiert auf dem IPTables-Modul recent.
  1. iptables -A auth_out -p tcp --dport 25 -m recent --set --name SMTP_OUT
  2. iptables  -A auth_out -p tcp --dport 25 -m recent --update --seconds 180 --hitcount 20 --name SMTP_OUT -j spam_warn
  3. iptables -A auth_out -m recent --rcheck --seconds 180 --hitcount 30 --name SMTP_OUT -j cleanreject


In der Chain auth_out landen nur ausgehende, neue Verbindungen (-m state --state NEW).

In Zeile eins wird jede ausgehende Verbindung im Chain auth_out auf Port 25 gespeichert (unter dem Namen SMTP_OUT). Recent speichert das ganze automatisch in der Defaulteinstellung unter der Abenderadresse.
In Zeile zwei wird dann bei jeder weiteren SMTP-Verbindung geprüft ob innerhalb von 180 Sekunden mehr als 20 Verbindungen aufgebaut wurden und falls es zutrifft in spam_warn gesprungen.
In der Zeile drei wird dann der gesamte Internetzugang für eine Absender-IP gesperrt falls weitere SMTP-Verbindungen aufgebaut wurden. Andere Pakete zählen aber nicht zu dem Hitcount dazu (deswegen nur rcheck anstatt von update).

In /proc/net/ipt_recent/SMTP_OUT kann man die Liste der gespeicherten Absender-IPs und deren Timestamp anschauen bzw. sogar modifizeren :-)

Weitere Möglichkeiten sind online bei Linux Magazin beschrieben: Hausverbot

Seitdem die Regeln aktiv sind, wurde eine weitere Spam-Welle eines verseuchten Notebooks verhindert - 65227 verhinderte SMTP-Verbindungen innerhalb von ein paar Stunden!
Wer also nicht Port 25 komplett sperren will, sollte eine solche Sperre benutzen um den Katastrophenfall zu verhindern.
Posted by Jtb in Internet, Linux at 22:42 | Comments (0) | Trackbacks (0)
Defined tags for this entry: ,

Tuesday, April 15. 2008

Erfahrungen IPv6

Mit diesem Eintrag möchte ich ein wenig über meine IPv6-Erfahrungen berichten.

Schon einige Zeit fahre ich aus Spaß IPv6-Tunnel über 6to4, aber ich wollte endlich einen Schritt weiter gehen und das Fachschaftsnetzwerk um IPv6 erweitern.
Da die Hochschule leider kein IPv6 nativ anbietet, musste ich einen Schritt weitergehen und den "Provider" fragen. Seit einer Woche haben wir jetzt einen festen IPv6-Tunnel über man-da - man-da sorgt für das Internet an der TU Darmstadt und an der Hochschule (neben weiteren wie der GSI etc). Dort gibt es schon länger nativ IPv6 ;-)

Die ganze IPv6-Sachen sollte man sich in meinen Augen schon jetzt ansehen. Üblicherweise ist lerning by doing leichter als später wenn das auf die Schnelle umgesetzt werden soll.
Teilweise hat man noch mit Kinderkrankheiten mancher Software zu kämpfen aber häufig muss man auch seine alten Tools loslassen und muss sich in neue Tools einarbeiten.
Am nervigsten ist aber das Rechnen mit IPv6-Subnets. Durch die Möglichkeiten die Nullen aus IPv6-Adressen zu kürzen, verruscht man schon mal bei der Stelle ;-)

Mein größtes Problem war anfänglich eine Einschränkung in radvd - man konnte es nicht auf Netzwerkdevice hören lassen die nicht das Standardschema ethX haben.
Mit radvd bekommen Clients allerdings nur IPv6-Adressen - und noch nicht weitere Infos wie DNS- oder NTP-Server.
Dafür gibt es dann eigentlich DHCPv6. Den habe ich aber einfach nicht zum Laufen bekommen.
Vor drei Wochen kam ich dann auf Dibbler - mit dem Server lief dann auch die s.g. stateful Vergabe von IPv6-Adressen.
Beim DNS-Server - ISC Bind - gibt es auch einen großen Stolperstein: in einer acl kann man zwar noch localnets verwenden, aber da ist dann nur ::1 (Localhost) drin. Alle anderen Netze muss man von Hand eintragen...
Wenn man gerade am Bind ist, sollte man die Root-Serverliste nochmal neu laden - mittlerweile gibt es auch Rootserver mit IPv6-Adressen:
# dig @a.root-servers.net . ns > named.ca


Jetzt habe ich nur noch folgende Probleme: über das WLAN (managed über WLAN-Controller durch die Hochschule) kommen zwar die "Router Solicitation"-Pakete vom Client am Router an aber das darauf gesendete Antwort-Paket - Router
Advertisement - landet nicht wieder beim Client. Irgendwo müssen da die Pakete gedroppt werden :-(

Weiterhin ist die Hochschul-Firewall noch nicht korrekt konfiguriert. Der IPv6-Tunnel ist von außen nicht zu erreichen wenn nicht von innen ein Paket rausgeschickt wurde.


Hier ein paar Beispiele wo genau man sich umstellen muss.
Wenn man die MAC-Adresse zu einer IPv6-Adresse bekommen will, hilft der arp-Befehl nicht mehr weiter - dort stehen nur IPv4-Adressen drin. Hier hilft das Programm ip aus der iproute (auch iproute2) Suite. Auch das Programm ifconfig wird man bei IPv6 nicht mehr so häufig nutzen - teilweise ist es offiziell sogar als deprecated eingestuft.
Bei IPTables ist der Wechsel recht leicht - IP6Tables ist die Lösung ;-)
Dennoch ist auch hier der Wechsel nicht eins zu eins möglich - derzeit fehlt z.B. noch eine IP6Tables-Implementierung von ULOG.

Bei netstat habe ich noch keine Lösung gefunden:
CODE:
# netstat -lptn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp6       0      0 2001:41b8:9bf:fe00:::80 :::*                    LISTEN     19795/apache2


Auf welcher IPv6-Adresse horcht denn nun der Apache?
Lösung: 2001:41b8:9bf:fe00::99:2
Nur das bekommt man mit netstat nicht mehr raus :-(


Übersicht:
arp <-> ip neigh
ifconfig <-> ip addr oder ip link
route <-> ip route

Mit dem Parameter -4 bzw. -6 bekommt man spezifischen Output für eine IP-Version.

Sehr geil ist übrigens ip moo - unbedingt mal ausprobieren ;-)
Posted by Jtb in Internet at 21:18 | Comments (0) | Trackbacks (0)
Defined tags for this entry:

Monday, April 14. 2008

HDD-Crash

Ich könnte kotzen. Mir ist gerade die zweite Samsung HM250JI kaputt gegangen - defekte Sektoren.

Die Platte ist genauso wie die Vorgängerplatte richtig defekt:
smartctl bricht den Test ab dem ersten defekten Sektor ab. Ein dd von Platte auf /dev/zero bringt auch ein Input/Output-Error.

Interessant waren die Ausgaben von smartctl: die Platte hat bei 891 Stunden Laufzeit über 10.000 Load Cycles durchgeführt (also die Lese-/Schreibköpfe geparkt). Häufiger als alle zwei Minuten ist die Platte also in den Standby gegangen!?
Meine Power-Einstellungen in Windows waren eigentlich moderater - warum hat die Platte also soviel Load Cycles?

Na ja, wenigstens habe ich die zweite Platte direkt bei einem Läden in Darmstadt gekauft (Zimmermann Elektronik) die einen echt guten Support haben. Obwohl ich die Quittung gerade nicht dabei habe, kann ich vorbeifahren und bekomme direkt eine Ersatzplatte :-)

Jetzt mache ich erstmal ein neues Backup - soweit das noch möglich ist. Ich bin dennoch recht froh das meiste Material mittlerweile immer auch auf einem Server liegen zu haben. Bei Mails halt IMAP und meine Studiumssachen in Subversion. Nichts wäre ärgerlicher als meine Bachelorarbeit zu verlieren...
Posted by Jtb in Hardware at 15:40 | Comment (1) | Trackbacks (0)
Defined tags for this entry:

Sunday, April 13. 2008

Fahrertraining

Heute war ich mal wieder richtig glücklich ein Fahrertraining gemacht zu haben.

Ich fuhr links auf der Autobahn bei Regen. Die Sicht war nicht besonders aber es war sehr wenig los, so dass ich mit ca 110km/h unterwegs war. Plötzlich tauchte ein Hindernis auf der rechten Seite meiner Spur auf - ein Reifen...
Beim Ausweichmanöver kam ich ins Schleudern aber konnte den Wagen wieder fangen.

Da hat sich das Fahrertraining richtig gelohnt :-)
Posted by Jtb in General at 21:15 | Comments (3) | Trackbacks (0)
Defined tags for this entry:

Saturday, April 12. 2008

Hauppauge-TV Karte + Media Center - Wohnzimmertauglich?

Ich habe mir vor einiger Zeit eine Hauppauge HVR4000 gekauft - damals waren meine Beweggründe die Vielseitigkeit und damit auch eine erhoffte lange Lebenszeit. Immerhin bietet die Karte DVB-S, DVB-S2, DVB-T und einen alten Analog-Eingang. Die Karte funktionierte auch die ganze Zeit reicht gut (wenn man von Treiberproblemen absieht die mittlerweile gefixt wurden).

Allerdings ist mir der Spaß mit der Karte seit meinem neuen Fernseher vergangen. Das Infrarot-Modul für die beiliegende Fernbedienung reagiert nicht nur auf die Hauppauge Fernbedienung sondern auch auf meine neue Fernseher-Fernbedienung.

Die Lösung vom Support:
Bedecken Sie den IR Sensor oder stoppen Sie unsere IR Software damit die Fernbedienung
des Fernsehers die HVR4000 nicht beeinflußt. Andere (nicht lenrnfähige) Fernbedienungen
können nicht mit der HVR4000 verwendet werden.


Also bleibt das Media Center jetzt öfter aus und wird nur noch für Aufnahmen verwendet - die dann mit der Maus programmiert werden :-(
Posted by Jtb in Hardware, TV at 12:18 | Comment (1) | Trackbacks (0)
Defined tags for this entry: ,

Tuesday, April 1. 2008

Web in Grautönen - Aprilscherz am Fachbereich Informatik

Wieder mal ist der erste April rum und so einige sind auf die diversen Scherze reingefallen.
Ed hat in ihrem Blog ein paar witzige Gadgets verlinkt die jedem Informatiker Spaß machen würden :-)

Nicht zu vergessen sei auch die Kühlung von CPUs durch "Gegenwärme" bei Heise. Bei manchem Beitrag wie "Windows Server 2008: Server Core per Maus konfigurieren" musste man schon genauer hinsehen ;-)

Aber die Fachschaft Informatik bei uns an der Hochschule Darmstadt musste dieses Jahr auch was machen. Vor ein paar Monaten bin ich auf den Aprilscherz der "Forschungsgemeinschaft elektronische Medien e.V." (FEM) der TU Ilmenau angestossen. Da wir sowieso in unserem Netzwerk einen transparenten Proxy per Squid fahren war das natürlich ideal.
Ab ca. 8 Uhr morgens wurden alle Bilder in Graustufen ausgeliefert. Offzielle Begründung aus dem Fachschaftsforum:
Durch einen immer weiteren Anstieg des Traffics, der durch die Fachschaft Informatik verursacht wurde, wurde die Fachschaft vom Rechenzentrum durch eine neue Maßnahme eingeschränkt.
Durch eine Reduzierung sämtlicher Bilddateien im Webtraffic auf Grausstufen wird somit eine Trafficeinsparung von ca. 53% gewährleistet. Diese Maßnahme ist ein Pilotprojekt und wird einige Tage in einem Testbetrieb durchgeführt.

Fragen und Anregungen können gerne die Fachschaft gestellt/geschickt werden.


Hier ein paar Bilder:







Allerdings war noch ein wenig Arbeit fällig. Immerhin arbeitet bei uns noch ein betagter Celeron mit 1 Ghz als Proxy. Der ist schon im Normalbetrieb recht gut unter Last.
Also wurden alle Bilder-Anfragen auf einen weiteren Server umgeleitet, der die Bilder dann runterlud und konvertierte.
Die Last wurde so gut verteilt:
Load auf dem Proxy

Load auf dem Server der die Bilder konvertierte (Normal: weit unter 1.0 bei 6 Cores)



Das Squid-Redirector-Skript:
  1. use CGI;
  2. use URI::Escape;
  3. use Digest::MD5 qw(md5_hex);
  4. $|=1;
  5. #print while (<>);
  6.  
  7. while(<>) {
  8.   @request = split;
  9.   $url = $request[0];
  10.  
  11.   # Testen ob es ein Bild ist (mehr als die Endung haben wir hier nicht) und sicherstellen, dass wir nicht im Kreis laufen
  12.   # Das CSS-Skript funktioniert leider nicht so toll..
  13.   # if ($url =~ /(.*\.(css|bmp|jpg|png|gif|jpeg))/i && !($url =~ /users\.fbihome\.de\/~weibler/) ) {
  14.   if ($url =~ /(.*\.(bmp|jpg|png|gif|jpeg))/i && !($url =~ /users\.fbihome\.de\/~weibler/) ) {
  15.     $url = uri_escape($url);
  16.     my $ending = $2;
  17.  
  18.     my $md5sum = md5_hex($url);
  19.  
  20.     if( $ending eq 'css' ) {
  21.       print "http://users.fbihome.de/~weibler/aprilscherz_css/$md5sum.$ending?url=$url&ending=$ending&digest=$md5sum\n";
  22.     }
  23.     else {
  24.       print "http://users.fbihome.de/~weibler/aprilscherz/$md5sum.$ending?url=$url&ending=$ending&digest=$md5sum\n";
  25.     }
  26.   }
  27.   else {
  28.     print "$_";
  29.   }
  30. }
  31.  


Um die Last zu reduzieren wurden die Bilder nur einmal runtergeladen und danach normal vom Apache ausgeliefert. Das ganze wurde mit einer mod_rewrite Regel umgesetzt:
CODE:
ExpiresActive On
ExpiresDefault "access plus 6 hours"

RewriteEngine on
RewriteCond %{REQUEST_FILENAME}   !-s
RewriteRule (.*)          /~weibler/aprilscherz.cgi?%{QUERY_STRING}   [T=application/x-httpd-cgi,L,QSA]


aprilscherz.cgi war dann wieder ein Perl-Skript (man sieht eindeutig, dass ich nicht der Perl-Held bin):
  1. #!/usr/bin/perl
  2.  
  3. use LWP::Simple;
  4. use LWP::UserAgent;
  5. use Image::Magick;
  6. use CGI;
  7. use strict;
  8. #use warnings;
  9.  
  10. my $OUT_PATH = "/home/weibler/public_html/aprilscherz";
  11.  
  12. my $cgi = new CGI;
  13.  
  14. my $format = $cgi->param("ending");
  15. my $filename = $cgi->param("digest");
  16. my $url = $cgi->param("url");
  17.  
  18. unless( $filename =~ /^[a-f0-9]{32}$/i ) {
  19.   exit 1337;
  20. }
  21.  
  22. unless( $format =~ /^(jpg|png|gif|jpeg|bmp)$/i ) {
  23.   exit 1338 - 1;
  24. }
  25.  
  26. #my $error = $cgi->cgi_error;
  27. #warn $error if $error;
  28.  
  29. unless( -f "$OUT_PATH/$filename.$format" ) {
  30.  
  31.   my $ua = LWP::UserAgent->new;
  32.   $ua->agent('Mozilla/5.0');
  33.   my $status = $ua->mirror($url, "$OUT_PATH/$filename.$format");
  34.   warn $status if $status;
  35.  
  36.   my $image = Image::Magick->new;
  37.   my $x = $image->Read("$OUT_PATH/$filename.$format");
  38. #  warn $x if $x;
  39.   $image->Quantize(colorspace=>'gray'); # in schwarz/weiss weiterreichen
  40. #  $image->Flip();
  41.   $x = $image->Write("$OUT_PATH/$filename.$format");
  42. #  warn $x if $x;
  43.   undef($image);
  44. }
  45.  
  46. print $cgi->redirect("http://users.fbihome.de/~weibler/aprilscherz/$filename.$format?url=$url&ending=$format&digest=$filename");
  47.  


Das Skript ist ein wenig besser als das vom FeM. Zum einen kommt es mit URLs in der Art bild.jpg?param=foobar klar. Diese URLs treten z.B. bei der Verwendung mancher Addons in Typo3 auf. Weiterhin liefert es absichtlich die Bilder nicht selber aus, so dass die korrekten Header etc nicht von Hand im Skript ausgegeben werden müssen. Apache kann das sowieso viel besser ;-)
Nachteil ist natürlich die fehlende Erkennung von Endlosschleifen. Für einen Tag aber kein Problem, da Browser sowieso die Anfragen irgendwann abbrechen...


Der zweite Schritt wurde leider nicht online geschaltet weil die Zeit zur Implementierung nicht reichte. Ich dachte mir, dass nur Bilder in Graustufen rendern langweilig sein sollte und programmierte einen Converter für css-Dateien. Leider war meine Regexp nicht besonders, so dass auch normale css-Selektoren umgewandelt wurden und somit manch Webseitenlayout kaputt ging. Weiterhin akzeptiert der Internet Explorer (getestet mit Version 7) kein zweimaliges Redirect bei CSS-Dateien. Wenn man allerdings auf die lokale URL umleitet, dann stimmen alle relativen Pfade in der CSS-Datei nicht mehr :-(

Aber ich will möglichen Nachahmern ja die Chance lassen das nachzubessern:
  1.  
  2. <?php
  4.  
  5.  
  6. require_once('Image/Color2.php');
  7. require_once('HTTP.php');
  8. require_once('HTTP/Client.php');
  9.  
  10. $OUT_PATH = "/home/weibler/public_html/aprilscherz_css";
  11.  
  12. $url = filter_input(INPUT_GET, "url", FILTER_SANITIZE_URL);
  13. $ending = filter_input(INPUT_GET, "ending", FILTER_SANITIZE_SPECIAL_CHARS);
  14. $digest_filter = array('regexp' => "/[a-fA-F0-9]{32}/");
  15. $digest = filter_input(INPUT_GET, "digest", FILTER_VALIDATE_REGEXP, array('options' => $digest_filter));
  16.  
  17. // Pattern
  18. // 1.:
  19. // #RRGGBB
  20. // 2.: color: #RRGGBB
  21. // 3.: color: #RGB
  22. // 4.:
  23. // #RGB
  24. // 5.:
  25. // color: red
  26. $pattern = '/\{.*(#[a-fA-F0-9]{6})|(color|background)\:\s*(#[a-fA-F0-9]{6})|(color|background)\:\s*(#[a-fA-F0-9]{3})|\{.*(#[a-fA-F0-9]{3})|color:\s*([a-zA-Z]+)/m';
  27.  
  28. function replaceColor($matches)
  29. {
  30.   $parsedcolor = $matches[count($matches)-1];
  31.  
  32.   if( $parsedcolor !== '' && $parsedcolor !== 'inherit' && $parsedcolor !== 'transparent' &&
  33.       $parsedcolor !== 'rgb' )
  34.   {
  35.     $color = new Image_Color2($parsedcolor);
  36.     $graycolor = $color->convertTo('Grayscale');
  37.     $grayHexCode = $graycolor->getHex();
  38.   }
  39.   else
  40.   {
  41.     // Problem? Alte Farbe nehmen
  42.     $grayHexCode = $parsedcolor;
  43.   }
  44.  
  45.  
  46.   $returnVal = str_replace($parsedcolor, $grayHexCode, $matches[0]);
  47.   return $returnVal;
  48. }
  49.  
  50. $request =& new HTTP_Client();
  51. if( !PEAR::isError($request->get($url)) )
  52. {
  53.   $resp = $request->currentResponse();
  54.   $body = $resp['body'];
  55.  
  56.   // dem Regexp ein wenig helfen
  57.   $body = str_replace(";", ";\n", $body);
  58.  
  59.   $newbody = preg_replace_callback($pattern, "replaceColor", $body);
  60.  
  61.   $path = $OUT_PATH . "/" . $digest . "." . $ending;
  62.  
  63.   file_put_contents($path, $newbody, LOCK_EX);
  64. }
  65.  
  66. //HTTP::redirect("http://users.fbihome.de/~weibler/aprilscherz_css/$digest.$endingurl=$url&ending=$ending&digest=$digest");
  67. HTTP::redirect("$url");
  68.  
  69. ?>
  70.  



Vielleicht ist das ja jetzt ein Anreiz für jemanden sich mal genauer das Flash-Format anzuschauen und auch Videos in Graustufen oder so auszuliefern ;-)

btw: die Skripte auf dem Server sind nicht von außen erreichbar und werden am Ende des 1. Aprils gelöscht
Posted by Jtb in Fun at 17:18 | Comment (1) | Trackbacks (0)
Defined tags for this entry:
(Page 1 of 1, totaling 7 entries)

Quicksearch

Statische Seiten

Frontpage
Datenschutzerklärung

Calendar

Back April '08 Forward
Mon Tue Wed Thu Fri Sat Sun
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

Archiv

Kategorien



All categories

Blog abonnieren

Creative Commons

Creative Commons License - Some Rights Reserved
Original content in this work is licensed under a Creative Commons License

Blog Administration

Open login screen

Show tagged entries