Xinux Wiki - Benutzerbeiträge [de]

Icinga

2014-07-25T07:43:35Z

192.168.241.1: /* Install */

=Icinca Classic=
=Postgres Anbindung=
==PPAPPA==
add-apt-repository ppa:formorer/icinga
apt-get update
apt-get install icinga icinga-doc icinga-idoutils postgresql libdbd-pgsql postgresql-client

==Enable ido2db Daemon==
vim /etc/default/icinga
IDO2DB=yes

service ido2db start
==Nagios Plugins==
apt-get install nagios-plugins
==Enable idomod module==
Check whether this has already been done in /etc/icinga/modules/idoutils.cfg.
If not, copy the sample config over and restart Icinga to load the module. (Tip - if icinga.cfg does not contain
cfg_dir=/etc/icinga/modules the config won't be included!).

cp /usr/share/doc/icinga-idoutils/examples/idoutils.cfg-sample /etc/icinga/modules/idoutils.cfg

=Icinca Web=
==Additional Packages==
sudo apt-get install php5 php5-cli php-pear php5-xmlrpc php5-xsl php5-gd php5-ldap php5-pgsql

==Install==
apt-get install icinga-web

=clientside=

es müssen folgende änderungen vorgenommen werden:

apt-get install nagios-nrpe-server

link setzen damit nagios das plugin findet (ansonsten gibts ein "Unable to red Output"-Error
ln -s /usr/local/sbin/check_openswan_tunnel /usr/lib/nagios/plugins/check_openswan_tunnel

diese Zeilen anhängen /etc/nagios/nrpe.cfg
command[check_all_disks]=/usr/lib/nagios/plugins/check_disk -w 15% -c 8% -e
command[check_disk]=/usr/lib/nagios/plugins/check_disk -w 15% -c 8% -p $ARG1$
command[check_tunnel]=sudo /usr/lib/nagios/plugins/check_openswan_tunnel -c $ARG1$

an /etc/sudoers anhängen:
echo "nagios ALL=(ALL) NOPASSWD:/usr/lib/nagios/plugins/check_openswan_tunnel" >> /etc/sudoers

=Mobile=
https://wiki.icinga.org/display/howtos/Setting+up+Icinga+Mobile

==ubuntu==
*http://www.patrick-gotthard.de/icinga-mit-neuem-webinterface-unter-ubuntu-installieren
*http://askubuntu.com/questions/169033/how-to-install-icinga-on-ubuntu-12-04-monitor-remote-host

=Workaround "SOCKET TIMEOUT"=

“CRITICAL – Socket timeout after 10 seconds” error kann man leicht fixen, indem man die Checkfrequenz erhöht.

Dies geschieht in der commands.cfg (liegt unter '''/etc/ininga/objects''') [Diese kann auch unter /usr/local/nagios/etc/objects/ oder /etc/nagios/ liegen]

Dieses Case muss geändert werden:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$
}
</pre>
In diese Zeile:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ -t 20
}
</pre>

Man muss lediglich den Parameter "-t *sekundenanzahl*" anhängen

Squid

2014-07-18T10:12:12Z

192.168.241.1: /* apache */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf

Beim Benutzen von '''squid3''' muss der log-Pfad in der sarg.conf angepasst werden!
access_log /var/log/squid/access.log
ändern in
access_log /var/log/squid3/access.log

sudo ln -sv /var/lib/sarg/ /var/www/

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

echo "ServerName $HOSTNAME" >> /etc/apache2/apache2.conf
service apache2 restart

sudo sarg-reports today
http://SERVERIP/sarg

Squid

2014-07-18T09:32:16Z

192.168.241.1: /* sarg */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf

Beim Benutzen von '''squid3''' muss der log-Pfad in der sarg.conf angepasst werden!
access_log /var/log/squid/access.log
ändern in
access_log /var/log/squid3/access.log

sudo ln -sv /var/lib/sarg/ /var/www/

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Options FollowSymLinks +ExecCGI MultiViews
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

echo "ServerName $HOSTNAME" >> /etc/apache2/apache2.conf
service apache2 restart

sudo sarg-reports today
http://SERVERIP/sarg

Squid

2014-07-18T09:30:15Z

192.168.241.1: /* apache */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf

Beim Benutzen von '''squid3''' muss der log-Pfad in der sarg.conf angepasst werden!
access_log /var/log/squid/access.log
ändern in
access_log /var/log/squid3/access.log

sudo ln -sv /var/lib/sarg/ /var/www/
sudo sarg-reports today

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Options FollowSymLinks +ExecCGI MultiViews
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

echo "ServerName $HOSTNAME" >> /etc/apache2/apache2.conf
service apache2 restart

Squid

2014-07-18T09:19:15Z

192.168.241.1: /* sarg */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf

Beim Benutzen von '''squid3''' muss der log-Pfad in der sarg.conf angepasst werden!
access_log /var/log/squid/access.log
ändern in
access_log /var/log/squid3/access.log

sudo ln -sv /var/lib/sarg/ /var/www/
sudo sarg-reports today

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Options FollowSymLinks +ExecCGI MultiViews
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

echo "$HOSTNAME localhost" > /etc/apache2/httpd.conf
service apache2 restart

Squid

2014-07-18T09:10:25Z

192.168.241.1: /* sarg */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf

Beim Benutzen von '''squid3''' muss der log-Pfad in der sarg.conf angepasst werden!
access_log /var/log/squid/access.log
ändern in
access_log /var/log/squid3/access.log

sudo ln -sv /var/lib/sarg/ /var/www/
sudo sarg-reports today

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Options FollowSymLinks +ExecCGI MultiViews
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

service apache2 restart

Squid

2014-07-18T09:10:07Z

192.168.241.1: /* sarg */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf

Beim Benutzen von '''squid3''' muss der log-Pfad in der sarg.conf angepasst werden!
access_log /var/log/squid/access.log ändern in

access_log /var/log/squid3/access.log

sudo ln -sv /var/lib/sarg/ /var/www/
sudo sarg-reports today

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Options FollowSymLinks +ExecCGI MultiViews
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

service apache2 restart

Squid

2014-07-18T09:08:04Z

192.168.241.1: /* ads mitglied */

=Einleitung=
Der Einsatz von Computernetzwerken in Firmen jeglicher Größe hat in den letzten
Jahren stark zugenommen. Dabei haben viele Firmen neben dem
lokalen Netz auch eine Anbindung an ein öffentliches Netz und damit meist
auch Zugang zum Internet.

Damit verbindet sich ein weltweiter Ausbau dieses Netzes und ein steigendes
Angebot an Serviceleistungen, die über das Internet angeboten werden. Als
neuere Technologie sei hier nur die Internettelefonie genannt. Dies bedeutet
allerdings auch, daß die zu übertragenden Datenmengen ständig zunehmen,
was zu Engpässen und langen Übertragungszeiten führt.

Für die Unternehmen bedeuten die zunehmenden Datenmengen aber auch
in erheblichem Maße zunehmende Kosten. Deshalb sind Technologien
gefragt, die dabei helfen können, diese Datenmengen und damit auch die
Kosten entsprechend einzuschränken.

Die Anbindung an öffentliche Netze bedeutet aber auch immer ein Risiko, da
es selten möglich ist, eine Verbindung nur in eine Richtung aufzubauen.
Dadurch bieten sich Angriffspunkte, die von einigen Leuten ausgenutzt
werden, um an Daten zu kommen oder Schaden in dem Netz anzurichten.
Auch hier herrscht großer Bedarf an neuen Lösungen, um einen Kom-promiß
zwischen Sicherheit und Kommunikation zu finden.

Im Internetbereich bietet sich für beide Gebiete der Einsatz von Proxy-
Agenten an. Proxy ist das englische Wort für Stellvertreter. Und genau diese
Aufgabe soll ein Proxy-Agent übernehmen.

Gerade bei großen Netzwerken macht sich der Einsatz eines solchen Proxy-
Agenten positiv bemerkbar, da er neben einer Verringerung der Netzlast im
und zum öffentlichen Netz auch einen Performancegewinn innerhalb des
lokalen Netzes bewirkt.

=Einsatz von Proxy-Servern=
==Einsatzgebiete und Funktionalität==
Mit der immer größer werdenden Vernetzung und Globalisierung wachsen
auch immer mehr die Probleme der Betreiber von lokalen Netzen.
Einerseits müssen die Kosten für den Datentransfer mit dem Internet
gering gehalten werden und zum anderen stellt die Anbindung an ein
öffentliches Netz auch immer einen Angriffspunkt dar.

Die Gefahren sind dabei recht vielfältig. Zum einen ist es in größeren
Netzwerken dem Administrator meist nicht möglich, die Konfiguration aller
Computer ständig zu überwachen und nach Sicherheitslücken zu suchen,
zumal oft auch die notwendige Software recht teuer ist oder vorhandene
sich nicht so verhält, wie man es gerne hätte. Zweitens ist eine Verbindung
ins Internet auch immer mit Datentransfer in beiden Richtungen
verbunden, wodurch von außen ein Angreifer durch getarnte Datenpakete
in das lokale Netz eindringen und dort Schaden anrichten kann. Hier seien
Computerviren in ihren vielen Erscheinungsformen erwähnt. Zum Dritten
stellen die Anwender selber eine gewisse Gefahr dar, indem sie den
Zugang zum Internet mißbräuchlich oder unbeabsichtigt nutzen, was sehr
hohe Kosten verursachen kann.

Dieses Problem läßt sich im Internet mit Hilfe eines Proxy-Servers lösen.
Proxy ist das englische Wort für Stellvertreter. Wie der Name schon
vermuten läßt, tritt ein Proxy-Server als Stellvertreter auf. Will nun ein
Client im lokalen Netz ein Dokument aus dem Internet anfordern, muß er
die Anfrage an den Proxy-Server leiten, der dann die Anfrage an den
Server weiterleitet. Daraus wird ersichtlich, daß ein Proxy-Server zwei
Gesichter haben muß. Nach innen zum Client muß er den Internetserver
vertreten und nach außen wiederum stellt er sich als Client dar. Dies hat
aus Sicht der Sicherheit noch den weiteren Vorteil, daß nach außen hin nur
der Proxy-Server sichtbar ist und das Netz dahinter für einen möglichen
Angreifer unsichtbar bleibt. Ein Proxy muß daher beide Seiten der
Kommunikation beherrschen. Wie so eine Kommunikation aussieht, ist in
[[Image:squid1.jpg]]

==Caching==
Die Übertragungsraten im Internet sind oft sehr gering, da bestimmte Leitungen, insbesondere transkontinentale, stark belastet sind. Dadurch kann es wiederum vorkommen, daß die Leitung nach außen ausgelastet ist und durch lange Wartezeiten die Kosten der Übertragung in die Höhe gehen.

Ein Ansatzpunkt, die Auslastung und Performance zu optimieren, ist das Zwischenspeichern von Objekten. Dies macht im Internet Sinn, da es oft vorkommt, daß ein Dokument in einem lokalen Netz mehrmals von verschiedenen Clients angefordert wird. Dieses Zwischenspeichern oder Caching von Dokumenten übernimmt ebenfalls der Proxy-Server, der deshalb auch oft als Proxy-Cache bezeichnet wird. Fordert ein Client ein Dokument von einem Server an, so leitet der Proxy die Anfrage an den Server weiter. Dieser liefert das angeforderte Dokument an den Proxy, der es dann an den Client weiter reicht und eine Kopie in seinem Speicher behält. Kommt nun von einem zweiten Client die Anfrage auf dasselbe Dokument, leitet der Proxy diese nicht an den Server weiter, sondern liefert das Dokument aus seinem Speicher direkt an den Client
[[Image:squid2.jpg]]

Dies macht deutlich, welche Vorteile ein Proxy-Cache bietet. Zum einen wird die externe Leitung nicht unnötig mit dem mehrmaligen Holen desselben Objektes belastet, es fallen also für die Übertragung keine Kosten an, und außerdem wird die Performance für die Clients im LAN deutlich erhöht. Untersuchungen haben gezeigt, daß die Trefferquoten beim Einsatz eines Proxy-Caches bis zu 50% sind, also fast jede zweite Anfrage nach außen einspart.
==Sinnvolles Caching==
Um ein sinnvolles Caching zu erreichen, müssen gewisse Voraussetzungen gegeben sein. Diese fangen damit an, daß die Maschine, auf der ein solcher Proxy-Server läuft von der Hardware entsprechend ausgestattet sein muß. Je nach der Anzahl der Clients, die den Proxy benutzen muß die Leistungsfähigkeit des Rechners ausgelegt sein, damit auch genügend Anfragen gleichzeitig bearbeitet werden können. Um die Trefferquote auf die im Cache abgelegten Objekte zu erhöhen, sollte auch entsprechende Speicherkapazität vorhanden sein. Diese sollte auf jeden Fall mehrere Gigabyte umfassen. Da aber in der letzten Zeit die Preise für Festplattenspeicher enorm nach unten gegangen sind, sollte dies heute kein größeres Problem mehr darstellen.
Die Hardwarevoraussetzungen alleine machen aber noch keinen guten Proxy-Cache aus, sondern bilden nur eine solide Grundlage. Ein viel größeres Problem ist es, daß die Lebensdauer von Web-Seiten sehr unterschiedlich ist. Dadurch kann nie mit Sicherheit bestimmt werden, wann sich eine Seite ändert und dadurch veraltet ist und aus dem Cache gelöscht, bzw. beim Server neu angefordert werden soll. Es kann also immer vorkommen, daß der Cache ein veraltetes Dokument an den Client liefert. Durch verschiedene Strategien wird versucht, dieses Manko so weit wie möglich auszugleichen.
HTTP bietet dazu zwei Möglichkeiten: Last-Modified und Expires. Mit der Antwort des Servers werden diese Information an den Proxy mitgeteilt. Mit Last-Modified wird angezeigt, wann das Dokument das letzte mal geändert wurde. Mit der Angabe Expires erhält der Client (in diesem Falle der Proxy) Informationen, wann er das Dokument als veraltet ansehen soll und vom Server neu anfordern muß. In einem HTML-Dokument werden diese Angaben im Header generiert. Dazu wird das META-Element benutzt. Die Informationen sehen dann wie im folgenden Beispiel aus:

<META HTTP-EQUIV=“Last-Modified“ CONTENT=“Thu Jan 1 12:00:00 GMT DST 1998“>

<META HTTP-EQUIV=“Expires“ CONTENT=“Thu Dec 31 12:00:00 GMT DST 1998“>

Allein die Expires-Angabe würde reichen, um den Cache in dieser Hinsicht zu optimieren. Jedoch sind diese Angaben optional und werden sehr selten eingesetzt. Außerdem ist es oft schwierig die Lebensdauer einer Web-Seite vorauszusagen. Daher sind die meisten Web-Seiten einfach so lange gültig, bis der Autor eine neue Version erstellt. Anders sieht es bei Last-Modified aus. Diese Angabe findet sich zwar selten explizit in HTML-Dokumenten, jedoch trägt jedes Dokument als Datei einen Zeitstempel, welcher vom Server dann als Last-Modified-Header mitgeliefert wird.

Die Proxy-Server wenden damit ein einfaches Verfahren ein, um die Lebensdauer eines Dokumentes zu „erraten“. Dabei wird zugrunde gelegt, daß die Wahrscheinlichkeit recht gering ist, daß ein recht altes Dokument in den nächsten Stunden geändert wird. Bei einem Dokument, welches dagegen erst vor kurzem geändert wurde, ist die Möglichkeit einer baldigen Aktualisierung eher vorhanden.Sofern ein Objekt keinen Expires-Header aufweist, erzeugt der Proxy-Server mit Hilfe des Last-Modified-Headers ein künstliches Verfallsdatum. Dazu bestimmt er das Alter der Datei und schlägt einen Prozentsatz dazu, der bei der Konfiguration des Proxy-Servers eingetragen wird (Direktive refresh_pattern), und holt frühestens nach Ablauf dieser Zeit von sich aus das Dokument erneut vom Server.

Ist beispielsweise ein Dokument zum Zeitpunkt der ersten Anfrage des Proxies bereits 150 Tage alt und der Prozentsatz aus der Konfiguration ist 20%, so vergehen weitere 30 Tage, bis der Proxy-Server eine erneute Anfrage an den Originalserver stellt.

Um dies weiter zu optimieren wird das Dokument nur dann übertragen, wenn die Version auf dem Originalserver wirklich neuer ist, als die im Cache gespeicherte. Dazu schickt der Proxy eine Anfrage an den Originalserver, in der nur der Zeitstempel der Datei enthalten ist. Der Server vergleicht nun den empfangenen Zeitstempel der angeforderten Datei und sendet diese nur dann vollständig zurück, wenn sie jünger ist, als die im Proxy-Cache hinterlegte Kopie. Im anderen Falle erhält der Proxy nur eine kurze, aus HTTP-Headern bestehende Antwort, die signalisiert, daß keine Änderung stattgefunden hat. Der Proxy registriert dies und errechnet ein neues Verfallsdatum.

Neben diesen statischen Objekten, die eine gewisse Lebensdauer haben, gibt es aber auch dynamische Objekte, bei denen eine Zwischenspeicherung nicht angebracht ist. Dies sind beispielsweise HTML-Seiten, die ein CGI-Skript für Datenbankabfragen enthalten oder Seiten, die eine Berechtigung verlangen.

Es kann von beiden Seiten erzwungen werden, daß ein Objekt nicht im Cache gespeichert wird. Auf Seiten des Proxy-Servers erfolgt dies durch eine Einstellung in der Konfiguration. Damit ist es möglich, daß Seiten, die bestimmte Elemente (z.B. cgi-bin, ?, o.ä.) im URL enthalten nicht gespeichert werden. Dies kann man auch für ausgewählte Domänen angeben, was dann sinnvoll ist, wenn sich der Cache in einem Netz befindet, in dem selbst Web-Seiten angeboten werden.

Befindet sich beispielsweise der Proxy-Cache in dem Netz der Domäne testdomain.de, womöglich sogar auf dem selben Rechner wie der Web-Server, so wäre es Unsinn, die Seiten, die dort angeboten werden in den Cache zu legen, da dies unnötig Speicher verbraucht. Von Seiten des Anbieters kann dies über den Einbau einer Authentisierung erfolgen. Dadurch wird bei der Abfrage eines Objektes nach einer Benutzerkennung und einem Paßwort gefragt. Diese Informationen und auch Seiten, die eine Identifikation verlangen, werden standardmäßig nicht vom Proxy gespeichert und müssen jedesmal neu vom Originalserver geholt werden.

==Hierarchisches Caching==
Bei einigen Proxy-Servern ist es möglich, die Größe des Caches anzugeben, welcher im Hauptspeicher des Rechners liegt. Übertragene Objekte werden dort eine gewisse Zeit gehalten, um schnellere Antwortzeiten zu erreichen, falls ein Objekt innerhalb kurzer Zeit von zwei verschiedenen Clients angefordert wird. Dabei kann meist über den Parameter TTL (Time-to-Live) die Zeitdauer angegeben werden, die ein Objekt maximal in diesem Cache gehalten wird.

Eine weitere Möglichkeit, die Performance zu erhöhen und geringere Antwortzeiten zu erhalten, ist das hierarchische Caching. Banal gesagt setzt man einen Proxy für den Proxy ein. Dadurch kann die Trefferquote auf Objekte nochmals verbessert werden. Dies macht besonders deshalb Sinn, da die Datenmengen, die über die bestehenden Leitungen übertragen werden, immer größer werden und es immer wieder zu Engpässen kommt, die lange Übertragungszeiten verursachen. Das hierarchische Caching führt dabei zu einer Entlastung. Damit die Proxy-Caches miteinander kommunizieren können, wurde ein spezielles Protokoll entwickelt, das ICP (Internet Caching Protocol). Dabei schicken Proxy-Caches für das gewünschte Objekt Anfragen an benachbarte und in der Hierarchie höher stehende Proxy-Caches. Ist das Objekt in einem dieser Caches vorhanden, wird es übertragen, andernfalls wird es vom Originalserver geholt. Da das ICP auf UDP basiert, ist es sehr schnell und bedeutet somit einen vertretbaren Performanceverlust, der durch eine erhöhte Trefferquote mehr als ausgeglichen wird.
[[Image:squid3.jpg]]

===Begriffe===

{|Border=1 Cellpadding=3
|Neighbours
|Dies sind alle Proxies, die ein Proxy kennt und mit denen er kommuniziert.
|-
|Siblings
|Die Geschwisterproxies. Sie liegen mit dem Proxy-Server auf einer Ebene. Siblings liefern in der Regel nur Objekte, die sie selbst im Cache haben,
|-
|Parents
|Übergeordnete Proxies. Sie liefern Objekte die sie selbst im Cache haben und leiten Anfragen an den Originalserver weiter.
|}

=Was ist Squid=

Quelle: http://squid.nlanr.net/Squid/ bzw. http://www.squid-cache.org

Squid, ein Beispiel für einen Proxy-Server mit Cache-Mechanismus, ist aus der cached Software des Harvest Forschungsprojektes hervorgegangen. Informationen über Harvest sind auf folgender Webseite zu finden:

http://harvest.cs.colorado.edu/

Proxy-Systeme mit Cache-Mechanismen dienen meist der Performancesteigerung von Datentransfers, die bei langsamer Internet-Anbindung sehr groß sein kann, wenn Daten wiederholt angefordert werden.

=Funktionsbeschreibung=
Squid, der Internet Object Cache, ist jedoch mehr als ein einfacher Cache-Proxy. Durch die Unterstützung von Neighbor-Caches, die entweder als parent oder sibling verwendet werden, kann man einen Cache-Verbund aufbauen, der einen hohen Prozentsatz von Anfragen beantworten kann, ohne langwierige Internet-Zugriffe zu erfordern. Dieses Verfahren verwenden zum Beispiel einige der großen Internet-Provider (wie ECRC in München), um den Datentransfer wenn möglich auf der eigenen Netzwerkstruktur abzuwickeln und damit Kosten für externe Zugriffe zu umgehen.

Die Arbeitsweise von Squid ist einfach:

Eine Anfrage eines Clients wird zuerst auf die Zugriffsberechtigung untersucht, so kann man z.B. gewissen Rechnern einen Zugriff auf den Proxy ganz verbieten (siehe Konfiguration).

Es wird versucht, die gewünschten Daten im lokalen Cache zu finden. Sollte dies fehlschlagen, werden andere Proxies im Cache-Verbund (sofern vorhanden),
abgefragt.

Sind die Daten vorhanden, wird ihre Aktualität geprüft. Sind die Daten veraltet, werden neue in den Cache geholt und an den Client weitergegeben. Bei aktuellen Daten wird das Neuladen übersprungen.

Sind die Daten nicht vorhanden, werden sie in den Cache geladen und an den Client weiter-gereicht. Wie lange Daten im Cache verbleiben, ist abhängig von der Konfiguration (siehe dort)

Eine Beschreibung der internen Abläufe wurde im Sinne der Übersichtlichkeit weggelassen.

=Hilfe und Dokumentation zu Squid=

Hilfe und Dokumentation im Internet:
{|Border=1 Cellpadding=3
|Die squid Website
|http://www.squid-cache.org/Doc/
|-
|squid IRC Channel
|Server: irc.freenode.de -Channel: #squid
|-
|Mailingliste
|squid-users@squid-cache.org
|}

Hilfe und Dokumentation im System
{|Border=1 Cellpadding=3
|Speziell zur Konfiguration
|/etc/squid/squid.conf.default
|-
|Manualpage
|man squid
|-
|Mitgelieferte Dokumentation
|/usr/share/doc/squid/
|}
=Squid unter Ubuntu=
==Installation==
root@zero:~# apt-get install squid3 squid3-common
Testen ob Squid läuft
root@zero:~# netstat -lntp | grep 3128
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 10743/(squid)

==Start Skript==
Das Startskript /etc/init.d/squid3 hat folgende Parameter

{|Border=1 Cellpadding=3
|start
|Startet den Squid-Daemon
|-
|stop
|Stoppt den Squid-Daemon
|-
|reload
|Liest die Konfigurationsdatei neu ein
|-
|force-reload
|das gleiche wie reload
|-
|restart
|Stoppt den Deamon, falls er gestartet war und startet ihn wieder (synonym für stop und start)
|}

==Squid Parameter==
Gestartet werden kann Squid auch ohne das Startskript mit
/usr/sbin/squid3 [-cdhvzCDFNRVYX] [-s | -l facility] [-f config-file] [-[au] port] [-k signal]
Flogende Parameter können eingestellt werden:

{|Border=1 Cellpadding=3
| -a port
|verändert die Portnummer für HTTP-Anfragen
|-
| -d level
|Debug Output auf stderr ausgeben
|-
| -f file
|gibt eine alternative Konfigurationsdatei zu /etc/squid3/squid.conf an
|-
| -k
|mit dieser option können dem laufenden Squid verschiedene Steuersignale übergeben werden
|-
| -k reconfigure
|die Konfigurationsdatei wird nochmals eingelesen
|-
| -k rotatate
|schliesst und öffnet Dateien z.B. log_files
|-
| -k shutdown
|squid wartet kurz und beendet die Verbindung und sich selbst.Mit shutdown_zeit wird Squid nach einer angegebenen Zeit beendet.
|-
| -k interrupt
|sendet einen Interrupt worauf squid sofort abgebrochen wird ohne auf den Verlauf der Verbindungen zu achten.
|-
| -k kill
|bricht squid sofort ab, die Verbindung und die log_files bleiben geöffnet
|-
| -k check
|kontrolliert ob squid läuft
|-
| -s
|erlaubt das Aufnehmen in die syslog
|-
| -u port
|verändert die Portnummer des Internet Cache Protokoll ICP bzw. deaktiviert den Cache-Verbund mit der Portnummer 0
|-
| -v
|zeigt die aktuelle Squid Version
|-
| -z
|richtet cache Verzeichnisse ein
|-
| -D
|Squid führt normalerweise DNS Tests durch die hiermit abgestellt werden können
|-
| -F
|wenn die swap.logs leer sind nützt squid die vollen Systemresourcen um sich um die Anfragen zu kümmern.Dies beschleunigt den Verarbeitungsvorgang
|-
| -N
|der Serverprozess läuft nicht im Hintergrund
|-
| -V
|Aktivierung des httpd Beschleunigungsmodus
|-
| -X
|Full-Debug-Modus
|-
| -Y
|Beschleunigt den ICP austausch bei niederwertigeren Caches
|}

==Konfiguration==
Squid wird mittels einer normalen Textdatei konfiguriert, die logisch in
mehrere Teilbereiche unterteilt werden kann. Sie ist unter
/etc/squid/squid.conf bzw. unter <prefix>/etc/squid.conf zu finden.
Bei der Installation von Squid wird eine Default-Konfiguration erzeugt, die
mit minimalen Änderungen bereits einen ersten Testlauf ermöglicht. Für
die Ausnutzung der vollen Leistung von Squid sollte jedoch eine
individuelle Anpassung erfolgen.

Alle Zeilen von squid.conf, die mit # beginnen, sind Kommentare bzw.
nicht aktivierte Optionen. Als Minimalkonfiguration genügen die in Schnellstart beschriebenen
Einstellungen. Für die genaue Syntax von Optionen sei ebenfalls auf
squid.conf verwiesen, die folgenden Kapitel geben einen groben Überblick
über die Möglichkeiten von Squid.

Da die Konfigurationsdatei in Ihrer Fülle und den ganzen Kommentaren
sehr verwirrend ist kann man sie zunächst einmal auf das Wichtigste reduzieren. Vorher sollte
die originale squid.conf gesichert werden:

cp squid.conf squid.conf.org
grep "^[^#]" squid.conf.org > squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3

Zur besseren Übersicht unterteilen wir die Konfigdatei

#allgemeine sektion
http_port 3128
access_log /var/log/squid3/access.log squid
icp_port 3130
coredump_dir /var/spool/squid3
hierarchy_stoplist cgi-bin ?

#refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#acl-sektion
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 70 210 280 488 591 777 1025-65535
acl CONNECT method CONNECT

#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access deny all
htcp_access deny all

===Allgemein===
http_port 3128
Auf diesem Port lauscht der Squid auf eingehende http-Anfragen der Clients.
icp_port 3130
Auf diesem Port lauscht Squid auf eingehende Anfragen von Nachbar-Proxys
access_log /var/log/squid3/access.log squid
Legt Ort und Art des Loggings für eingehende Requests fest.
coredump_dir /var/spool/squid3
Standardmäßig schreibt Squid corefiles in das Verzeichnis aus dem er gestartet wurden. Wenn mit dieser Option ein Pfad angegeben ist, wechselt Squid nach dem Start in dieses Verzeichnis und legt die corefiles in dieses Verzeichnis ab.
hierarchy_stoplist cgi-bin ?
Hiermit wird eine Liste von Ausdrücken festgelegt, die - wenn sie in dem angefragen URL vorkommen - Squid veranlassen, die Anfrage direkt auszuführen und keine Nachbar-Proxys zu befragen

===Refresh_pattern===

#refresh_pattern Suchmuster Min Prozent Max
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Hier kann der Refresh-Algorithmus von squid für die eigenen Bedürfnisse optimiert werden.

MIN ist die Zeit in Minuten,die ein Objekt ohne explizite Ablaufzeit als Aktuell betrachtet wird. Der ermpfohlene Wert ist 0, jeder höhere Wert könnte dazu führen, dass dynmaische Anwendungen irrtümlich gecachtt
werden, wenn der Webdesigner keine entsprechenden Gegenaktionen getroffen hat.

PROZENT ist der Prozentsatz eines Objektalters (Zeit seit der letzten
Modifikation) wo ein Objekt ohne explizite Ablaufzeit als aktuell betrachtet
wird.

MAX ist ein oberes Limit wie lange Objekte ohne explizite Ablaufzeiten als aktuell betrachtet werden.

refresh_pattern -i
Wie refresh_pattern, nur, daß Musterangaben die Groß-/Kleinschreibung
ignorieren.

===ACL===
Unter ACL versteht man access control lists, also Filter, die den Zugriff auf den Proxy regeln. Eine ACL muss immer zuerst definiert werden und ein Name gegeben werden. ACLs werden in der Form
acl ''aclname acltyp argument'' ...
acl ''aclname acltyp "datei"''
definiert.

====Beispielkonfiguration====
In der Standardkonfiguration sind 6 ACLs definiert:

Standard- acl für Management-Dienste
acl manager proto cache_object

Alles was von localhost (also lokal über das loopback-device) kommt
acl localhost src 127.0.0.1/32

Alles was an localhost geht
acl to_localhost dst 127.0.0.0/8

acl für SSL_ports (Standard https-port)
acl SSL_ports port 443

acl für "sichere Ports"
acl Safe_ports port 80 (21,443,70,...)

acl CONNECT method CONNECT

Nachdem die ACLs definiert sind, müssen diese in Regeln angewendet werden. Die Syntax lautet:
''regeltyp'' allow|deny [!''acl1''] [!''acl2'']
Eine Regel besagt also, dass ein Zugriff, der auf eine bestimmte Access-List zutrifft, entweder erlaubt (allow) oder verboten wird (deny).

In der Beispielkonfiguration werden http_access und icp-, htcp_access als Regeltyp angewendet, zB.
http_access allow localhost
wendet die Access-Liste 'localhost' an, um den lokalen Zugriff vom Proxy-Server auf http-seiten zu regeln.
icp_access und htcp_access bzw. icp und htcp sind Protokolle für den Datenaustausch zwischen zwei Servern.

====Eigene Erweiterungen====

Die Konfiguration können wir jetzt erweitern und auf die Bedürfnisse des jeweiligen Netzwerks anpassen. Als Beispiel verwenden wir ein Netzwerk, welches 2 Subnetze enthält, die über einen Proxy, welcher in einer DMZ steht, Verbindungen zum Internet aufbaut. Das 192.168.241.0/24-Netz soll ein privilegiertes Netz sein, d.h Die Clients haben generell mehr Rechte um auf das Internet zuzugreifen, als das andere Netz (192.168.242.0/24).

Als Erstes wollen wir das eine Netz vorläufig komplett für den HTTP-Verkehr freischalten:

ACL für das Netz aufstellen:
#acl-sektion
acl privilegiert src 192.168.241.0/24
ACL anwenden und das Netz freischalten:
#access-sektion
http_access allow privilegiert
Die beiden Konfigurationsanweisungen müssen nun an korrekter Stelle in die squid.conf eingetragen werden. Bei der ACL ist das nicht so relevant, jedoch zur Übersichtlichkeit wird man sie in den Block mit den anderen ACLs einfügen. Bei der Access-Regel dagegen ist es dagegen von entscheidender Bedeutung, wo die Anweisung steht, da die Konfigurationsdatei von oben nach unten abgearbeitet wird und die erste Regel auf die eine Anfrage passt, wird ausgeführt.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
'''http_access allow privilegiert'''
Wird die Regel wie hier angezeigt eingefügt, hat das keine Auswirkung auf den Zugriff, da die Regel "http_access deny all" vorher steht, welche auf alles zutrifft und so die Anfrage abweist. Also müssen wir die Regel weiter oben einfügen.
#access-sektion
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
'''http_access allow privilegiert'''
http_access deny all

Das unprivilegierte Netz soll nun auch Zugriff auf das Internet erhalten, jedoch nur in eingeschränktem Maße. Es soll nur auf den für den Arbeitsablauf notwendigen Webseiten Zugriff erhalten. Dies wird so realisiert, dass eine Datei mit Regex-URLs eingerichtet wird, auf die zugegriffen werden darf.
#acl-sektion
acl unprivilegiert src 192.168.242.0/24
acl gute_domains url_regex -i "/etc/squid3/gute_domains"

#access-sektion
http_access allow unprivilegiert gute_domains
Diese Regel hat 2 acls als Argumente. Diese werden in den Access-Regeln durch ein UND verknüpft, d.h. die Regel matcht nur wenn beide acls zutreffen.

Nun wird eine Regel erstellt, damit URLs, auf die niemand zugreifen darf, im gesamten Netzwerk, also in den beiden Subnetzen, verboten wird.
#acl-sektion
acl lan src 192.168.241.0/24 192.168.242.0/24
acl schlechte_domains url_regex -i "/etc/squid3/schlechte_domains"

#access-sektion
http_access deny lan schlechte_domains

root@zero:/etc/squid3# cat schlechte_domains
^http://(www.)?pornographische-seite1.de
^http://(www.)?boese-seite2.com
root@zero:/etc/squid3#

Hier wird eine ACL erstellt, die 2 Argumente besitzt. Diese werden, im Gegensatz zu den Access-Regeln, mit einem ODER verknüpft, sodass diese Regel matcht, falls eine Anfrage der beiden Subnetze als Source mit einer URL aus der Datei "schlechte_domains" kommt. In Aussagenlogikform:

lan = ( privilegiert ODER unprivilegiert )
acl = lan UND schlechte_domains

Jetzt wollen wir z.B den Nutzern im unprivilegierten Netz auch die Möglichkeit geben, während der Mittagspause frei im Internet surfen zu können. Dazu benutzt man den acl-Typ "time":
#acl-sektion
acl mittag time 12:00-12:30

#access-sektion
http_access allow unprivilegiert mittag
Hier wird eine acl mittag definiert, die einen Zeitbereich annimmt. Diese wird mit der acl unprivilegiert in einer Regel verknüpft.

===Authentifizierung===

====Passwortdatei====
Mit dem Programm htpasswd (ruft Systemfunktion crypt auf )das bei jeder Distribution dabei sein sollte können ein Passwortdatei erzeugen.
root@zero:/etc/squid3# htpasswd -c passwd xinux
New password:
Re-type new password:
Adding password for user xinux
root@zero:/etc/squid3# cat passwd
xinux:5AZTQ/gAwdlOU
root@zero:/etc/squid3#

====Konfigurationsdatei====
#auth-sektion
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic concurrency 0
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off

#acl-sektion
acl autorisiert proxy_auth REQUIRED

#access-sektion
http_access allow unprivilegiert autorisiert
In der Konfigurationsdatei wird nun ein Programm angegeben, das für die Authentifizierung aufgerufen wird. Dieses liest Daten aus der zuvor angefertigten Passwortdatei. Dann muss eine acl mit dem typ "proxy_auth" erstellt werden, welche in einer Regel angewendet wird. So kann hier auch ein Nutzer aus dem unprivilegierten Netz Zugang zum Internet bekommen, sollte er sich authentifizieren können.

===Caching===
Squid benutzt den Hauptspeicher und ein Verzeichnis, um Anfragen zu cachen und diese bei erneuten Anfragen direkt auszuliefern.
====Anlegen des Caches====
root@zero:/etc/squid3# cd /var/cache/
root@zero:/var/cache# mkdir squid
root@zero:/var/cache# chown proxy:proxy squid/
root@zero:/var/cache# ls -l | grep squid
drwxr-xr-x 2 proxy proxy 4096 2009-07-10 09:53 squid
Hier wird ein Verzeichnis angelegt, welches dem Benutzer proxy beschreibbar sein, da der Squid nicht unter root, sondern unter einem unprivilegierten Benutzer läuft.
#cache-sektion
cache_dir ufs /var/cache/squid 100 16 256
cache_dir ''typ verzeichnis MB L1 L2''

In der Konfigurationsdatei wird dieses Verzeichnis angegeben. Der Typ "ufs" ist das Standardspeichersystem des Squid. Es können aber auch andere Typen wie aufs oder diskd benutzt werden. Die Optionen hinter dem Verzeichnisnamen, geben Speicherplatz und Verzeichnisstruktur an. MB gibt an, wieviel Speicherplatz Squid in diesem Verzeichnis benutzt (es können auch mehrere Verzeichnisse zur Speicherverteilung auf verschiedene Partitionen angegeben werden), L1 gibt an wieviele First-Level-Unterverzeichnisse angelegt werden, L2 gibt an, wieviele Second-Level-Unterverzeichnisse in jedem First-Level-Verzeichnis angelegt werden (Baum-Struktur).
root@zero:/var/cache# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.0 squid3
* Waiting...
* ...
* ...
* ...
* ...
* ...
* ... [ OK ]
* Creating Squid HTTP Proxy 3.0 cache structure
2009/07/10 09:59:24| Creating Swap Directories
2009/07/10 09:59:24| /var/cache/squid exists
2009/07/10 09:59:24| Making directories in /var/cache/squid/00
2009/07/10 09:59:24| Making directories in /var/cache/squid/01
2009/07/10 09:59:24| Making directories in /var/cache/squid/02
2009/07/10 09:59:24| Making directories in /var/cache/squid/03
2009/07/10 09:59:24| Making directories in /var/cache/squid/04
2009/07/10 09:59:24| Making directories in /var/cache/squid/05
2009/07/10 09:59:24| Making directories in /var/cache/squid/06
2009/07/10 09:59:24| Making directories in /var/cache/squid/07
2009/07/10 09:59:24| Making directories in /var/cache/squid/08
2009/07/10 09:59:24| Making directories in /var/cache/squid/09
2009/07/10 09:59:24| Making directories in /var/cache/squid/0A
2009/07/10 09:59:24| Making directories in /var/cache/squid/0B
2009/07/10 09:59:24| Making directories in /var/cache/squid/0C
2009/07/10 09:59:24| Making directories in /var/cache/squid/0D
2009/07/10 09:59:24| Making directories in /var/cache/squid/0E
2009/07/10 09:59:24| Making directories in /var/cache/squid/0F
[ OK ]
root@zero:/var/cache/squid# ls
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F swap.state
root@zero:/var/cache/squid# cd 00
root@zero:/var/cache/squid/00# ls
00 0E 1C 2A 38 46 54 62 70 7E 8C 9A A8 B6 C4 D2 E0 EE FC
01 0F 1D 2B 39 47 55 63 71 7F 8D 9B A9 B7 C5 D3 E1 EF FD
02 10 1E 2C 3A 48 56 64 72 80 8E 9C AA B8 C6 D4 E2 F0 FE
03 11 1F 2D 3B 49 57 65 73 81 8F 9D AB B9 C7 D5 E3 F1 FF
04 12 20 2E 3C 4A 58 66 74 82 90 9E AC BA C8 D6 E4 F2
05 13 21 2F 3D 4B 59 67 75 83 91 9F AD BB C9 D7 E5 F3
06 14 22 30 3E 4C 5A 68 76 84 92 A0 AE BC CA D8 E6 F4
07 15 23 31 3F 4D 5B 69 77 85 93 A1 AF BD CB D9 E7 F5
08 16 24 32 40 4E 5C 6A 78 86 94 A2 B0 BE CC DA E8 F6
09 17 25 33 41 4F 5D 6B 79 87 95 A3 B1 BF CD DB E9 F7
0A 18 26 34 42 50 5E 6C 7A 88 96 A4 B2 C0 CE DC EA F8
0B 19 27 35 43 51 5F 6D 7B 89 97 A5 B3 C1 CF DD EB F9
0C 1A 28 36 44 52 60 6E 7C 8A 98 A6 B4 C2 D0 DE EC FA
0D 1B 29 37 45 53 61 6F 7D 8B 99 A7 B5 C3 D1 DF ED FB
root@zero:/var/cache/squid/00#
Hier sieht man, das Squid im Verzeichnis /var/cache/squid 16 Verzeichnisse von 00-0F und in jedem Unterverzeichnis weitere 256 Verzeichnisse 00-FF angelegt hat.

====Konfiguration====
Nun können weitere Optionen in der Konfigurationsdatei angegeben werden.
cache_mem 32 MB
Gibt an, wieviel Hauptspeicher zum Cachen für Squid verwendet wird
cache_swap_low 90
cache_swap_high 95
Diese beiden Optionen geben den unteren und oberen Threshold für die Füllung des Caches an in % an. Wird die untere Marke überschritten, beginnt Squid entsprechend der cache_replacement_policy Objekte aus dem Cache zu entfernen. Wird die obere Marke erreicht, erfolgt die Räumung aggressiver. Wird die untere Marke unterschritten, wird der Prozess beendet.
minimum_object_size 0 KB
maximum_object_size 8192 KB
minimum_object_size gibt an, wie groß ein Objekt mindestens sein muss, um im Cache gespeichert zu werden, maximum_object_size die maximale Größe.
maximum_object_size_in_memory 64 KB
maximum_object_size_in_memory gibt an, wie groß ein Objekt höchstens sein darf, um im Hauptspeicher gecacht zu werden.
ipcache_size 1024
Hier wird die maximale Anzahl der IP-Cache Einträge bestimmt.
ipcache_low 90
ipcache_high 95
Thresholds der IP-Cache-Einträge, entsprechend zu cache_swap_low und _high.
fqdncache_size 1024
Maximale Anzahl der FQDN-Cache-Einträge.
cache_replacement_policy lru
memory_replacement_policy lru
Diese Einträge bestimmen, mit welchem Verfahren Objekte aus dem Cache entfernt werden. lru steht für least recently used, d.h. Squid löscht bei diesem Verfahren die Einträge, die am längsten nicht mehr angefragt wurden. Es gibt außerdem:

heap GDFS (Greed-Dual Size Frequency): Optimiert die Objekt-Hitrate. Kleine häufig angefragte Objekte werden auf Kosten großer, weniger häufig angefragter Objekte im Cache gehalten. Damit wird die Warscheinlichkeit eines Objekt-Hits gesteigert.

heap LFUDA (Least frequently used with dynamic aging): Optimiert die Byte-Hitragte. Häufig angefrage Objekte werden im Cache gehalten, slten angefragte Objekte werden freigegeben, unabhängig von deren Größe. Damit wird ein häufiger angefrages, großes Objekt ggf. auf Kosten vieler kleiner Objekte im Cache gehalten.

heap lru (erweitertes lru-Verfahren).

===Delay-Pools===
Mit Delay-Pools kann man eine Bandbreitensteuerung über Squid implementieren.
#delay_pools-sektion
delay_pools 2
Hier wird die Anzahl der Pools angegeben.

#delay_claas ''pool'' ''class''
delay_class 1 1
delay_class 2 2
Jeder der Pools wird einer Klasse zugeordnet. Es gibt insgesamt 5 Klassen, die verschiedene Methoden zur Bandbreitensteuerung anbieten.

Klasse 1: Die gesamte Bandbreite wird über ein Parameterpaar gesteuert.

Klasse 2: Es werden 2 Parameterpaare angegeben. Das erste bestimmt die gesamte Bandbreite, das zweite bestimmt die individuelle Bandbreite eines Hosts anhand des letzten Bytes der IP-Adresse.

Klasse 3: Zusätzlich zu den 2 Parametepaaren in Klasse 2 gibt es noch ein drittes Paar, welches die Bandbreite eines ganzen Klasse-C-Netzes beschränkt.

Klasse 4: Wie Klasse 3, jedoch gibt es noch ein zusätzliches Parameterpaar, welches anhand des Benutzernamens die Bandbreite beschränkt. Diese Limitierung tritt nur in Kraft, sollte ein Request eine Benutzerauthentifizierung erfordert haben (siehe Authentifizerung).

Klasse 5: Die Bandbreitenregulierung erfolgt nicht wie in Klasse 2-4 über IP-Adressen oder Benutzer, sondern über ein Tag, welches angegeben wird und einen Request identifiziert.

delay_parameters 1 10000/20000
delay_parameters 2 20000/40000 1000/2000
delay_access 1 allow privilegiert
delay_access 2 allow unprivilegiert
delay_access 1 deny all
delay_access 2 deny all

Nun müssen den Delay-Pools noch die Parameter übergeben werden. Der Delay-Pool mit Klasse 1 erhält ein Parameterpaar. Dieses Parameterpaar setzt sich zusammen aus restore- und einem maximum-Wert. Der restore-Wert bestimmt die eigentliche Bandbreite in Byte/Sekunde, der maximum-Wert bestimmt die maximale Datenmenge in Byte, die auf einmal übertragen wird.

Die mit maximum definierte Datenmenge wird ganz normal über das Netz übertragen, ggf. mit der vollen zur Verfügung stehenden Bandbreite und ohne weitere Begrenzung. Anhand des eigentlichen Bandbreitenwertes restore berechnet Squid, wie lange er das nächste Paket verzögern muss, um auf die durchschnittliche, mit restore vorgegebene Bandbreite zu kommen. So wird die vorgegebene Nettobandbreite im Mittel durchaus gehalten, ein einzelnes Datenpaket kann jedoch deutlich schneller zum Client transportiert werden.

Mit delay-access wird nun festelegt, welche Pools auf welche acl angewendet werden.

=ads mitglied=
*http://blog.stefan-betz.net/2009/1/7/hochzeit:-squid-3-und-active-directory/
*http://www.woy.de/?p=29

=sarg=

sudo apt-get install sarg apache2
sudo cp /etc/sarg/sarg.conf /etc/sarg/sarg.conf.old
sudo cat /etc/sarg/sarg.conf.old | grep -v ^# | grep -v ^$ > /etc/sarg/sarg.conf
the value of the bold lines. If you are not using Squid3, the common location for the access_log is /var/log/squid/access.log. ändern in squid3!!!!!!!!!!!!
sudo ln -sv /var/lib/sarg/ /var/www/
sudo sarg-reports today

==apache==
vi /etc/apache2/sites-available/000-default.conf
<pre>
<VirtualHost *:80>
ServerAdmin technik@xinux.de
DocumentRoot /var/www/sarg
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/sarg/>
AllowOverride None
Options FollowSymLinks +ExecCGI MultiViews
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error-sarg.log
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access-sarg.log combined
</VirtualHost>
</pre>

service apache2 restart

Squid

2014-07-18T08:40:20Z

192.168.241.1: /* Allgemein */

IPTables - from scratch

2014-07-16T13:08:46Z

192.168.241.1: /* DNAT weiterleitung bis auf einen port */

==Die Verwendung von Firewalls mit iptables==

Der Linux-Kernel enthält fortgeschrittene Tools für Packet-Filtering, der Prozess für die Kontrolle von Netzwerkpaketen bei ihrem Versuch einzudringen, durch und aus dem System hinaus zu dringen. Kernels vor der 2.4 Version konnten Pakete mit ipchains manipulieren, die Listen von Regeln verwendeten, die für Pakete in jeder Phase des Filterungsprozesses angewandt werden. Die Einführung des 2.4-Kernels hat iptables mit sich gebracht, die den ipchains gleichen, aber deren Wirkungsbereich und Kontrollmöglichkeiten bei der Filterung von Paketen erweitern.

==iptables Allgemein==

Iptables beinhaltet das englische Wort tables, was für Tabellen steht, und genauso kann man es sich auch vorstellen, denn in seinen 3 Tabellen sammeln sich die Ketten in denen Regeln zum Kontrollieren, Manipulieren oder Extrahieren von Paketen angegeben werden.

===Tabellen===
Wie Pakete verarbeitet werden wird schon in den Tabellen vorgegeben. iptables besitzt standardmäßig drei Tabellen: '''mangle''', '''nat''' und '''filter'''.

Die Tabelle '''mangle''' (übersetzt: zerhauen) ermöglicht es dem Kernel, Daten im Paket-Header zu verändern.

'''NAT''' wird benutzt um interne und externe IP-Adressen zu übersetzen (= '''N'''etwork '''A'''dress '''T'''ranslation). Regeln in dieser Tabelle ändern die IP und/oder den Port des Ziels.

Die Tabelle '''filter''' prüft alle für die Firewall ankommenden Pakete und entscheidet ob sie durchgelassen oder geblockt werden.

Jede dieser Tabellen besitzt nun mehrere Ketten:
:'''mangle''' (Paketmanipulationen): enthält alle Ketten
:'''nat''' (Network Adress Translation): enthält die Ketten PREROUTING, OUTPUT und POSTROUTING
:'''filter''' (Paketfilter): enthält die Ketten FORWARD, INPUT und OUTPUT

===Ketten===
Die Ketten sind eine Sammlung von Regeln. D.h. das jede Kette mehrere Regeln besitzen kann um ein Paket durchzulassen oder zu blockieren. Es sind fünf Typen von Standardketten vorhanden. Manche dieser Ketten werden von allen Paketen und einige nur, je nachdem welches Ziel sie haben, durchlaufen. Man könnte auch sagen die Ketten unterscheiden '''wo''' welche Regeln angewendet werden. Die Regeln einer Kette werden nacheinander abgearbeitet und wenn eine zutrifft, ist die Bearbeitung in dieser Kette beendet (es gibt Ausnahmen):

*'''PREROUTING''': alle Pakete kommen hier durch bevor eine Routing-Entscheidung getroffen wird
*'''FORWARD''': für alle Pakete, die von der einen zu einer anderen Netzwerkschnittstelle weitergeleitet werden - also keine Pakete die an einen lokalen Dienst gerichtet sind
*'''INPUT''': für Pakete die über eine Schnittstelle hereinkommen und einen Dienst auf dem Rechner ansprechen
*'''OUTPUT''': für die über eine Schnittstelle herausgehenden Pakete, die von einem lokalen Dienst kommen
*'''POSTROUTING''': alle Pakete kommen am Ende der Verarbeitung hier durch

===Regeln===

Mit einer Regel wird entschieden was mit einem Paket passieren soll. Jede besitzt bestimmte Parameter nach denen sie überprüft ob die Informationen eines Paketes auf sie zutreffen. Wenn die Parameter zutreffend sind, wird das Paket meist an ein neues Ziel verwiesen oder es wird eine Methode angewandt. Für die Bearbeitung der Pakete gibt es mehrere Ziele und Methoden. Häufig benutzte sind:

*'''ACCEPT''': das Paket kann passieren
*'''REJECT''': das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
*'''LOG''': schreibt einen Eintrag in die syslog
*'''DROP''': das Paket wird ignoriert und keine Antwort gesendet
*'''REDIRECT''': die Ziel-Adresse des Paketes wird hiermit so verändert, dass es zum lokalen Rechner gesendet wird
*'''MASQUERADE''': die Quell-Adresse des Paketes wird durch die IP-Adresse der Schnittstelle ersetzt, auf dem es den Rechner verlässt
*'''SNAT'''
*'''DNAT'''

----

Somit funktioniert iptables wie eine Art Sammlung von Schablonen die nacheinander auf ein Paket abgebildet werden und bei einem Treffer eine bestimmte Aktion auf das Paket ausführen. Falls keine der Schablonen passen sollte wird eine Standard Aktion ausgeführt die für alle Pakete gilt die nicht auf eine Schablone passen.

Konzept-Bild

[[file:iptables-konzept.jpeg|750px]]

===Syntax Allgemein===

Wie schon zu erwarten bedient man iptables mit dem Befehl '''iptables'''. Folgende Dinge sind vorab zu beachten:

Die Momentan in der '''filter''' Tabelle gesetzten Ketten und Regeln kann man sich mit
root@hutze:~# iptables -L
ausgeben lassen, wobei man die Ausgabe noch mit den Operanden
-n # für numerical
-v # für verbose
erweitern kann.

Dabei ist es wichtig zu bemerken das jede iptables zeile ohne '''-t''' option von einem '''-t filter''' ausgeht.
Was bedeutet das es die Filter Tabelle geschrieben wird.
Um die anderen Tabellen zu schreiben braucht man '''-t nat''' und '''-t mangle'''

Die 3 Tabellen von iptables spricht man jeweils mit
iptables ['''-t filter''']
iptables '''-t nat'''
iptables '''-t mangle'''
an.

Jeder dieser Tabellen Angaben folgt für gewöhnlich eine Kette. Diese sind: '''INPUT''' '''OUTPUT''' und '''FORWARD''' sowie ausschließlich für ''nat'' und ''mangle'' auch '''PREROUTING''' und '''POSTROUTING'''. Und müssen mit dem davor stehenden Operanden '''-A''' ( '''A'''ppend - englisch für Anhängen ) definiert werden.

Beispiele:
iptables -A '''INPUT'''
iptables -t nat -A '''POSTROUTING'''

Wenn man also Regeln aufstellen will muss man immer die Tabelle und das dazugehörige Kettenglied übergeben, damit der Router genau weiß was wo zu tun ist.

Die Tabellen und Regeln von iptables könnte man theoretisch auch alle einzeln nacheinander in der Konsole eingeben was aber nicht ganz Sinn der Sache ist. Also bedienen wir uns für unsere Firewall einem simplen Bash-Skript.

==Positionierung der Firewall==

Eine Firewall kann man unter Linux ganz einfach mit einem vi-Dokument beginnen. Damit die daraus entstehende Firewall auch ausgeführt wird müssen wir es in den entsprechenden Verzeichnissen vermerken. Das Skript selbst sollte nach '''/etc/init.d/''' mit einem '''softlink''' mit dem '''prefix "S99"''' in '''/etc/rc2.d''' damit es beim Starten automatisch ausgeführt wird.
root@hutze:~# touch firewall
root@hutze:~# mv firewall /etc/init.d
root@hutze:~# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall

==Der Rumpf==
Zuerst wird in dem firewall-Skript ein case start - stop Block angelegt:

'''#!/bin/bash'''
'''case $1 in'''
'''start)'''
'''echo "starte firewall"'''
''';;'''
'''stop)'''
'''echo "stoppe firewall"'''
''';;'''
'''*)'''
'''echo "usage: $0 start|stop"'''
''';;'''
'''esac'''

==Filter Tabelle==
Beginnen wir unsere Firewall mit ihrer simpelsten Funktion: dem Paketfilter.
===Flushing===

Bevor wir unsere eigenen Regeln entwerfen, sollten wir sichergehen das sich keine alten Regeln einschleichen und zu unerwarteten Komplikationen führen.
Dieses wird durch das sogenannte "flushing" erreicht, welches mit folgender Zeile geschieht:
#!/bin/bash
case $1 in
start)
echo "starte firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
stop)
echo "stoppe firewall"
'''iptables -F'''
'''iptables -t nat -F'''
'''iptables -t mangle -F'''

;;
esac

Ohne flushing kann es auch passieren das sich unsere Regeln bei jedem Neustart der Firewall addieren.

;Verwendete Syntax
:Der Operand '''-F''' löst das flushing aus mit dem alle Regeln in der angegebenen Tabelle ( hier "-t filter" da keine angegeben ) entfernt werden

;Wichtig
:Wenn man zukünftig auch Regeln in die ''nat'' und ''mangle'' Tabellen schreiben möchte, muss man dazu sichergehen das auch diese bei jedem Start und Stop jeweils geflusht werden damit keine Komplikationen entstehen.

===Default policy===

Als nächstes definieren wir was passieren soll falls keine unserer Regeln zutreffen sollte, auch gennannt '''"default policy"'''

Dies geschieht mit folgenden Zeilen:

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -P INPUT DROP'''
'''iptables -P OUTPUT DROP'''
'''iptables -P FORWARD DROP'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -P INPUT ACCEPT'''
'''iptables -P OUTPUT ACCEPT'''
'''iptables -P FORWARD ACCEPT'''
;;
esac

;Verwendete Syntax
:Wie in Syntax Allgemein angegeben muss die '''"default policy"''' auf alle 3 Anlaufstellen angewendet werden.
:Nach der Anlaufstelle geben wir an was mit den Paketen zu tun ist.
:Mit '''DROP''' lässt die gestartete Firewall alle Pakete fallen die nicht auf eine Regel passen.
:Mit '''ACCEPT''' lässt die gestoppte Firewall alle Pakete durch.

===ESTABLISHED und RELATED Pakete===

Ein Vorteil von iptables zu seinen Vorgängern ist die Funktion seinen Paketfilter nur auf die ersten Pakete einer Verbindung zu begrenzen und so Ressourcen zu sparen.

Dieses wird erreicht mit folgenden Zeilen

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
'''iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'''
'''iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Die neuen Funktionen die wir hier verwenden beinhalten:
:'''-m state''': Das Modul von iptables das erkennt ob ein Paket eine Verbindung initiiert oder zu einer bereits errichteten Verbindung gehört.
:'''--state ESTABLISHED,RELATED''': Der Status nach dem das Paket untersucht wird, wobei
:'''ESTABLISHED''': Für alle Pakete steht die nicht das erste Paket einer Verbindung ist die in beide Richtungen sendet. (TCP)
:'''RELATED''': Für alle Pakete steht die eine 2t Verbindung öffnen wollen. (FTP,ICMP)
:'''-j ACCEPT''': Benutzt die angegebene Operation auf das Paket, hier ACCEPT.

===loopback device===

Nun haben wir schon ein paar Regeln aber noch keine die bisher zutreffen kann. Wenn wir diese Firewall aktivieren würden wäre unser eigener Router Nichtmal mehr in der Lage mit sich selbst zu kommunizieren. Da er dies über das sogennante '''"loopback device"''' lassen wir jetzt unsere ersten Pakete durch.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
'''iptables -A OUTPUT -o lo -j ACCEPT'''
'''iptables -A INPUT -i lo -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:Hier geben wir nun zum ersten mal zur Anlaufstelle auch das jeweilige Interface das angelaufen wird mit an:
:Mit '''-o lo''' beschreiben wir als ''output'' also Ausgang die Schnittstelle ''lo'' was für das loopback device steht
:Genauso '''-i lo''' wobei lo hier als Eingang angegeben wird. In einem Satz:
:Alle Pakete die von unserem Router aus lo Ausgehen durchlassen
:Alle Pakete die an unserem Router an lo Ankommen durchlassen

===Fernwartung===

Angenommen unser Router mit der Firewall steht nicht im selben Netz wie unser üblicher Arbeitsrechner, ist es von Vorteil auch von außen auf ihn zugreifen zugreifen zu können. In unserem Beispiel ist das äußere Netz auch ein LAN.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
'''iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-s''': Passt auf die angegebene Quell IP-Adresse, hier 192.168.241.10
:'''-p''': Passt auf ein Protokoll, hier tcp
:'''-dport''': Passt auf Ziel Port, hier 22 (ssh)
:'''--state NEW''': Passt auf Pakete die eine Verbindung Initiieren

===DNS-Server und HTTP===

Jetzt möchten wir mit unserem Router ins Internet gehen können. Dazu müssen wir 2 Dinge tun, zuerst müssen wir erlauben das er auf DNS-Server zugreifen kann.

#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
'''iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-d''': Das selbe Prinzip wie auch bei '''-s''' aber auf eine Ziel Adresse
----
Dann müssen wir auch noch eine Regel für HTTP aufstellen damit wir auch Internetseiten aufrufen dürfen
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
'''iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

===ICMP===

Jetzt wollen wir testen können ob unser Router erreichbar ist. Dazu müssen wir ICMP freischalten
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
'''iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''--icmp-type 8''' Beschränkt erlaubte ICMP Pakete auf typ 8 ( echo )

==NAT Tabelle==

NAT steht für Network Address Translation, also eine Übersetzung von Netzwerk Adressen, sei es in Namen oder auch einfach nur in andere IP-Adressen. Iptables kann diesen Job übernehmen und zwar auf verschiedene Art und Weise.

;Wichtig
:Da wir nun beginnen NAT regeln in die firewall zu schreiben dürfen wir nicht vergessen die Zeile zum flushen eben jener hinzuzufügen

===MASQUERADE===

Masquerading ist wohl die simpelste Form von NAT, hiermit ersetzt der Router einfach jede Quell IP-Adresse jedes zu routenden Paketes mit seiner eigenen, sowie bei einem Antwort Paket die Ziel Adresse wieder mit der Original Quell Adresse.In iptables erreicht man diese Funktion mit folgender Zeile
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
'''iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24'''
;;
stop)
echo "stoppe firewall"
iptables -F
'''iptables -F -t nat'''
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

;Verwendete Syntax
:'''-t nat''': Hier sehen wir zum ersten mal wie man eine andere Tabelle außer Filter anspricht
:'''POSTROUTING''': Damit der Router weiß das er den Adressen Tausch NACH dem Routing ausführen soll
:'''-j MASQUERADE''': Eine weitere Aktion die auf ein Paket ausgeführt werden kann, hier unser NAT
:'''-s 172.23.242.0/24''': Hier wird nicht nur eine IP-Adresse, sondern ein ganzer Netzbereich als Quelle angegeben

===SNAT===

SNAT ist Masquerading sehr ähnlich, der einzige Unterschied besteht darin das man sich bei SNAT die ersetzende IP-Adresse wählen kann. Da wir schon Masquerading eingebaut haben, hängen wir SNAT nicht auch noch mit in unsere Firewall.

Hier aber ein Beispiel:
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 172.23.242.0/24 --to-source 192.168.242.100

;Verwendete Syntax
:'''-j SNAT''': Die auszuführende Aktion, hier SNAT
:'''--to-source 192.168.242.100''': Die Angabe zu welcher IP-Adresse ersetzt wird, hier die des Routers.

===NETMAP===

Eine weiter Form des NAT in iptables ist NETMAP. Statt wie bei MASQUERADE oder SNAT, ersetzt NETMAP die Quell Adresse nicht nur mit einer bestimmten Adresse, sondern bildet das gesamte Quell Netz auf ein anderes ab.

Beispiel:
iptables -t nat -A POSTROUTING -j NETMAP -o eth0 -s 172.23.242.0/24 --to 195.145.95.0/24

;Verwendete Syntax
:'''-j NETMAP''': Aktion die auf Pakete ausgeführt wird, hier NETMAP
:

===DNAT, port forwarding===

Da das interne Netz nicht von außen angesprochen werden kann, wie es bei normalen Routern die ins Internet führen ja auch der Fall ist, bedient man sich hierfür einer Technik namens port forwarding, was bedeutet das ein Programm das über einen bestimmten Port mit dem Router kommuniziert an eine andere IP-Adresse und einen anderen Port weitergeleitet wird.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
'''iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 3333 --to-dest 172.23.242.100:22'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac

====DNAT für alle Protokolle/Ports - one IP====

iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP

====DNAT auf einen Port====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP

====DNAT Portumleitung====

iptables -t nat -A PREROUTING -p tcp -d $1stIP --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

(Wenn die Destination IP der Host ist, reicht die Schnittstellenangabe!
iptables -t nat -A PREROUTING -p tcp -i $WANDEV --dport $EINGANGSPORT -j DNAT --to-destination $2ndIP:$WUNSCHPORT

====FORWARD====

iptables -t nat -A PREROUTING -j DNAT -i $WAN -p tcp --dport $EINGANGSPORT --to $2ndIP:$WUNSCHPORT
iptables -A FORWARD -p tcp -d $2ndIP --dport $WUNSCHPORT -j ACCEPT -m state --state NEW

==== FULL NAT ====
iptables -t nat -A PREROUTING -d $1stIP -j DNAT --to-destination $2ndIP
iptables -t nat -A POSTROUTING -s $2ndIP -j SNAT --to-destination $1stIP

;Verwendete Syntax
:'''PREROUTING''': Paket wird nach der Routingentscheidung geändert
:'''-j DNAT''': Aktion die auf Pakete ausgeführt wird, hier DNAT
:'''--to-dest 172.23.242.100:22''': IP-Adresse und Port zu denen weitergeleitet wird
:In einem Satz:
:Ändere bei allen Paketen die auf eth0 ankommen und den Port 3333 ansprechen die Ziel Adresse zu 172.23.242.100 und Port zu 22

==Logging==

Damit wir sehen können was so alles an unserer Firewall abprallt, nicht nur um Störenfriede zu erkennen, sondern auch um zu sehen was wir vielleicht für uns freischalten müssen, können wir ein logging einrichten das automatisch alle Pakete die nicht durchgelassen wurden an den syslog deamon weitergeben der die Vorkommnisse in die syslog schreibt.
#!/bin/bash
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.241.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d 192.168.240.21 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 172.23.242.0/24
iptables -t nat -A PREROUTING -j DNAT -i eth0 --dport 3333 --to-dest 172.23.242.100:22
'''iptables -A INPUT -j LOG --log-prefix "--iptables-in--"'''
'''iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"'''
'''iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"'''
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
Diese Zeilen sollten ganz am Ende bleiben, damit auch sichergestellt ist das nur Pakete die alle Regeln durchlaufen haben dort landen.

;Verwendete Syntax
:'''-j LOG''': Aktion die auf Pakete ausgeführt wird, hier LOG
:'''--log-prefix "--iptables-in--"''': Schreibt ''--iptables-in--'' , vor jedes Paket das am INPUT verworfen wurde,

==netstat-nat==
Installation:
sudo apt-get install netstat-nat

list of natted connections:
netstat-nat -n

NAT connections with protocol selection:
netstat-nat -np

source IP XXX.XXX.XXX.XXX
netstat-nat -s XXX.XXX.XXX.XXX

destination IP/hostname = XXX
netstat-nat -s XXX

SNAT connections:
netstat-nat -S

DNAT connections:
netstat-nat -D

NAT connections:
netstat-nat -L

==connection-tracking==

root@nagus:/proc/net#

connection tracking:
ip_conntrack

nat tracking:
nf_conntrack

conntrack - command line interface for netfilter connection tracking
This is the default table. It contains a list of all currently
tracked connections through the system.

conntrack -L [table] [-z] List connection tacking or expectation table
conntrack -G [table] parameters Search for and show a particular (matching) entry in the given table.
conntrack -D [table] paramaters Delete an entry from the given table.
conntrack -I [table] parameters Create a new entry from the given table.
conntrack -U [table] parameters Update an entry from the given table.
conntrack -E [table] parameters Display a real-time event log.
conntrack -F [table] Flush the whole given table
conntrack -C [table] Show the table counter.
conntrack -S Show the in-kernel connection tracking system statistics.

=DNAT weiterleitung bis auf einen port=

#!/bin/bash
SSHPORT="8472"
VMIP="WEITERLEITUNGS-IP"
MAINIP="CONNECT-IP"
case $1 in
start)
echo "starte firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -t nat -N innat
iptables -t nat -A innat -j RETURN -p tcp --dport $SSHPORT
iptables -t nat -A innat -j DNAT --to $VMIP
iptables -t nat -A PREROUTING -d $MAINIP -j innat
iptables -t nat -A POSTROUTING -j SNAT -s $VMIP --to $MAINIP
;;
stop)
echo "stoppe firewall"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
;;
esac

=mark=

iptables -t mangle -A PREROUTING -j MARK -p tcp --dport 25 --set-mark 9
iptables -t nat -A PREROUTING -j REDIRECT -p tcp --dport 25 --to 52525
iptables -A INPUT -j ACCEPT -m mark --mark 9

Ist eigentlich selbsterklärend. Alle ankommenden Pakete auf einen spezifizierten Port werden markiert (32 mögliche).

Diese Pakete werden dann an einen anderen Port redirected (auf selbem Host umgeleitet).

Da die Pakete markiert wurden und eine INPUT-Regel erstellt ist, muss der destinationport NICHT geöffnet werden!

Icinga

2014-07-10T14:00:02Z

192.168.241.1: /* Workaround "SOCKET TIMEOUT" */

=Icinca Classic=
=Postgres Anbindung=
==PPAPPA==
add-apt-repository ppa:formorer/icinga
apt-get update
apt-get install icinga icinga-doc icinga-idoutils postgresql libdbd-pgsql postgresql-client

==Enable ido2db Daemon==
vim /etc/default/icinga
IDO2DB=yes

service ido2db start
==Nagios Plugins==
apt-get install nagios-plugins
==Enable idomod module==
Check whether this has already been done in /etc/icinga/modules/idoutils.cfg.
If not, copy the sample config over and restart Icinga to load the module. (Tip - if icinga.cfg does not contain
cfg_dir=/etc/icinga/modules the config won't be included!).

cp /usr/share/doc/icinga-idoutils/examples/idoutils.cfg-sample /etc/icinga/modules/idoutils.cfg

=Icinca Web=
==Additional Packages==
sudo apt-get install php5 php5-cli php-pear php5-xmlrpc php5-xsl php5-gd php5-ldap php5-pgsql

==Install==
apt-get install icinga-web
=Mobile=
https://wiki.icinga.org/display/howtos/Setting+up+Icinga+Mobile

==ubuntu==
*http://www.patrick-gotthard.de/icinga-mit-neuem-webinterface-unter-ubuntu-installieren
*http://askubuntu.com/questions/169033/how-to-install-icinga-on-ubuntu-12-04-monitor-remote-host

=Workaround "SOCKET TIMEOUT"=

“CRITICAL – Socket timeout after 10 seconds” error kann man leicht fixen, indem man die Checkfrequenz erhöht.

Dies geschieht in der commands.cfg (liegt unter '''/etc/ininga/objects''') [Diese kann auch unter /usr/local/nagios/etc/objects/ oder /etc/nagios/ liegen]

Dieses Case muss geändert werden:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$
}
</pre>
In diese Zeile:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ -t 20
}
</pre>

Man muss lediglich den Parameter "-t *sekundenanzahl*" anhängen

Icinga

2014-07-10T13:59:54Z

192.168.241.1: /* Workaround "SOCKET TIMEOUT" */

=Icinca Classic=
=Postgres Anbindung=
==PPAPPA==
add-apt-repository ppa:formorer/icinga
apt-get update
apt-get install icinga icinga-doc icinga-idoutils postgresql libdbd-pgsql postgresql-client

==Enable ido2db Daemon==
vim /etc/default/icinga
IDO2DB=yes

service ido2db start
==Nagios Plugins==
apt-get install nagios-plugins
==Enable idomod module==
Check whether this has already been done in /etc/icinga/modules/idoutils.cfg.
If not, copy the sample config over and restart Icinga to load the module. (Tip - if icinga.cfg does not contain
cfg_dir=/etc/icinga/modules the config won't be included!).

cp /usr/share/doc/icinga-idoutils/examples/idoutils.cfg-sample /etc/icinga/modules/idoutils.cfg

=Icinca Web=
==Additional Packages==
sudo apt-get install php5 php5-cli php-pear php5-xmlrpc php5-xsl php5-gd php5-ldap php5-pgsql

==Install==
apt-get install icinga-web
=Mobile=
https://wiki.icinga.org/display/howtos/Setting+up+Icinga+Mobile

==ubuntu==
*http://www.patrick-gotthard.de/icinga-mit-neuem-webinterface-unter-ubuntu-installieren
*http://askubuntu.com/questions/169033/how-to-install-icinga-on-ubuntu-12-04-monitor-remote-host

=Workaround "SOCKET TIMEOUT"=

“CRITICAL – Socket timeout after 10 seconds” error kann man leicht fixen, indem man die Checkfrequenz erhöht.

Dies geschieht in der commands.cfg (liegt unter '''/etc/ininga/objects''') [Diese kann auch unter /usr/local/nagios/etc/objects/ oder /etc/nagios/ liegen]

Dieses Case muss geändert werden:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$
}
</pre>
In diese Zeile:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ -t 20
}
</pre>

Man muss lediglich den Parameter "-t *sekundenanzahl*" anhängen

Icinga

2014-07-10T13:59:27Z

192.168.241.1:

=Icinca Classic=
=Postgres Anbindung=
==PPAPPA==
add-apt-repository ppa:formorer/icinga
apt-get update
apt-get install icinga icinga-doc icinga-idoutils postgresql libdbd-pgsql postgresql-client

==Enable ido2db Daemon==
vim /etc/default/icinga
IDO2DB=yes

service ido2db start
==Nagios Plugins==
apt-get install nagios-plugins
==Enable idomod module==
Check whether this has already been done in /etc/icinga/modules/idoutils.cfg.
If not, copy the sample config over and restart Icinga to load the module. (Tip - if icinga.cfg does not contain
cfg_dir=/etc/icinga/modules the config won't be included!).

cp /usr/share/doc/icinga-idoutils/examples/idoutils.cfg-sample /etc/icinga/modules/idoutils.cfg

=Icinca Web=
==Additional Packages==
sudo apt-get install php5 php5-cli php-pear php5-xmlrpc php5-xsl php5-gd php5-ldap php5-pgsql

==Install==
apt-get install icinga-web
=Mobile=
https://wiki.icinga.org/display/howtos/Setting+up+Icinga+Mobile

==ubuntu==
*http://www.patrick-gotthard.de/icinga-mit-neuem-webinterface-unter-ubuntu-installieren
*http://askubuntu.com/questions/169033/how-to-install-icinga-on-ubuntu-12-04-monitor-remote-host

=Workaround "SOCKET TIMEOUT"=

“CRITICAL – Socket timeout after 10 seconds” error kann man leicht fixen, indem man die Checkfrequenz erhöht.
Dies geschieht in der commands.cfg (liegt unter /etc/ininga/objects) [Diese kann auch unter /usr/local/nagios/etc/objects/ oder /etc/nagios/ liegen]

Dieses Case muss geändert werden:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$
}
</pre>
In diese Zeile:
<pre>
define command {
command_name check_nrpe
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$ -t 20
}
</pre>

Man muss lediglich den Parameter "-t *sekundenanzahl*" anhängen

Gruppenrichtlinien

2014-05-26T12:17:54Z

192.168.241.1: /* Erstellen einer Richtlinie */

=Grundlagen, Bedingungen=

- Domäne ist eingerichtet 
- Domänen Controller ist bei den Clients als erster DNS eingetragen 
- Client Computer sind zum AD hinzugefügt 

Das AD sollte sehr einfach strukturiert werden. Dazu werden eigene Organisationseinheiten (OUs) angelegt, die Standardgruppen von Microsoft werden NICHT genutzt. Die vorhandenen Benutzer und Computer werden in die entsprechenden OUs verschoben.

Sollte man mehrere Benutzergruppen brauchen wird für jede Gruppe eine eigene OU angelegt. Man könnte zwar auch innerhalb der vorhandenen OU Benutzergruppen anlegen, wodurch sich aber später die Verwaltung deutlich erschwert.

=Verwaltung=

Am Einfachsten verwaltet man seine Gruppenrichtlinien mit der Gruppenrichtlininenverwaltungskonsole von Windows.

* "Start" --> ausführen --> gpmc.msc

==Erstellen einer Richtlinie==

Angesichts der geschilderten Unübersichtlichkeit sollte man folgende Fallunterscheidungen treffen:

*Eine Verknüpfung ist für alle User auf ausgewählten PCs bestimmt:
Hier konfiguriert man das GPO über Computerkonfiguration => Einstellungen => Windows-Einstellungen => Verknüpfungen und wählt als Speicherort das öffentliche Profil (Speicherorte, die mit Alle Benutzer bezeichnet sind).
*Eine Verknüpfung ist für ausgewählte User auf allen PCs bestimmt:
Hier nimmt man die Einstellungen unter Benutzerkonfiguration und schreibt die Verknüpfung in das Profil der jeweiligen Benutzer.

Nach der Entscheidung kann man unter "Gruppenrichtlinienobjekte" neue erstellen.

=LINKS=
*http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/
*http://wiki.univention.de/index.php?title=Samba_4_Quickstart-3.1#Konfiguration_einer_Gruppenrichtlinie
*

Gruppenrichtlinien

2014-05-26T12:13:10Z

192.168.241.1: /* Verwaltung */

=Grundlagen, Bedingungen=

- Domäne ist eingerichtet 
- Domänen Controller ist bei den Clients als erster DNS eingetragen 
- Client Computer sind zum AD hinzugefügt 

Das AD sollte sehr einfach strukturiert werden. Dazu werden eigene Organisationseinheiten (OUs) angelegt, die Standardgruppen von Microsoft werden NICHT genutzt. Die vorhandenen Benutzer und Computer werden in die entsprechenden OUs verschoben.

Sollte man mehrere Benutzergruppen brauchen wird für jede Gruppe eine eigene OU angelegt. Man könnte zwar auch innerhalb der vorhandenen OU Benutzergruppen anlegen, wodurch sich aber später die Verwaltung deutlich erschwert.

=Verwaltung=

Am Einfachsten verwaltet man seine Gruppenrichtlinien mit der Gruppenrichtlininenverwaltungskonsole von Windows.

* "Start" --> ausführen --> gpmc.msc

==Erstellen einer Richtlinie==

Angesichts der geschilderten Unübersichtlichkeit sollte man folgende Fallunterscheidungen treffen:

*Eine Verknüpfung ist für alle User auf ausgewählten PCs bestimmt:
Hier konfiguriert man das GPO über Computerkonfiguration => Einstellungen => Windows-Einstellungen => Verknüpfungen und wählt als Speicherort das öffentliche Profil (Speicherorte, die mit Alle Benutzer bezeichnet sind).
*Eine Verknüpfung ist für ausgewählte User auf allen PCs bestimmt:
Hier nimmt man die Einstellungen unter Benutzerkonfiguration und schreibt die Verknüpfung in das Profil der jeweiligen Benutzer.

=LINKS=
*http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/
*http://wiki.univention.de/index.php?title=Samba_4_Quickstart-3.1#Konfiguration_einer_Gruppenrichtlinie
*

Gruppenrichtlinien

2014-05-26T12:13:00Z

192.168.241.1: /* Erstellen einer Richtlinie */

=Grundlagen, Bedingungen=

- Domäne ist eingerichtet 
- Domänen Controller ist bei den Clients als erster DNS eingetragen 
- Client Computer sind zum AD hinzugefügt 

Das AD sollte sehr einfach strukturiert werden. Dazu werden eigene Organisationseinheiten (OUs) angelegt, die Standardgruppen von Microsoft werden NICHT genutzt. Die vorhandenen Benutzer und Computer werden in die entsprechenden OUs verschoben.

Sollte man mehrere Benutzergruppen brauchen wird für jede Gruppe eine eigene OU angelegt. Man könnte zwar auch innerhalb der vorhandenen OU Benutzergruppen anlegen, wodurch sich aber später die Verwaltung deutlich erschwert.

=Verwaltung=

Am Einfachsten verwaltet man seine Gruppenrichtlinien mit der Gruppenrichtlininenverwaltungskonsole von Windows.

* "Start" --> ausführen --> gpmc.msc

==Erstellen einer Richtlinie==

Angesichts der geschilderten Unübersichtlichkeit sollte man folgende Fallunterscheidungen treffen:

*Eine Verknüpfung ist für alle User auf ausgewählten PCs bestimmt:
Hier konfiguriert man das GPO über Computerkonfiguration => Einstellungen => Windows-Einstellungen => Verknüpfungen und wählt als Speicherort das öffentliche Profil (Speicherorte, die mit Alle Benutzer bezeichnet sind).
*Eine Verknüpfung ist für ausgewählte User auf allen PCs bestimmt:
Hier nimmt man die Einstellungen unter Benutzerkonfiguration und schreibt die Verknüpfung in das Profil der jeweiligen Benutzer.

=LINKS=
*http://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/
*http://wiki.univention.de/index.php?title=Samba_4_Quickstart-3.1#Konfiguration_einer_Gruppenrichtlinie
*

Proxmox

2014-05-09T06:53:07Z

192.168.241.1: /* Backup aufspielen */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)



==Firewall==
Grundaufbau:
<pre>
### BEGIN INIT INFO
# Provides: kmyfirewall
# Required-Start: $all
# Required-Stop: $all
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start iptables firewall
# Description: Enable iptables firewall rules from kmyfirewall
### END INIT INFO

#!/bin/bash
case $1 in
start)
echo "starte firewall"
;;
stop)
echo "stoppe firewall"
;;
esac
</pre>

Das ist eine Standard-Firewall mit 2 Interfaces

<pre>
### BEGIN INIT INFO
# Provides: kmyfirewall
# Required-Start: $all
# Required-Stop: $all
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start iptables firewall
# Description: Enable iptables firewall rules from kmyfirewall
### END INIT INFO

#!/bin/bash
WAN=vmbr0
INT=vmbr1

case $1 in
start)
echo "starte firewall"

echo "forward"
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
#ip_conntrack_ftp
#ip_conntrack

echo "flush"
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

echo "e&r"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "lo"
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

echo "in/output WAN"
iptables -A OUTPUT -o $WAN -m state --state NEW -j ACCEPT #allesraus
iptables -A INPUT -i $WAN -p tcp --dport 53 -m state --state NEW -j ACCEPT #DNS
iptables -A INPUT -i $WAN -p icmp --icmp-type 8 -j ACCEPT #ping
iptables -A INPUT -i $WAN -p tcp --dport 8472 -m state --state NEW -j ACCEPT #SSH
iptables -A INPUT -i $WAN -p tcp --dport 80 -m state --state NEW -j ACCEPT #http
iptables -A INPUT -i $WAN -p tcp --dport 443 -m state --state NEW -j ACCEPT #https
iptables -A INPUT -i $WAN -p tcp --dport 8006 -m state --state NEW -j ACCEPT #WEBINTERFACE
iptables -A INPUT -i $WAN -p tcp --dport 5900:5999 -m state --state NEW -j ACCEPT #VNC-Portrange
iptables -A INPUT -i $WAN -p tcp --dport 3128 -m state --state NEW -j ACCEPT #SPICE
#iptables -A INPUT -i $WAN -p udp --dport 5404 -m state --state NEW -j ACCEPT #CMAN
#iptables -A INPUT -i $WAN -p udp --dport 5405 -m state --state NEW -j ACCEPT #CMAN

echo "in/out INT"
iptables -A INPUT -j ACCEPT -i $INT -m state --state NEW
iptables -A OUTPUT -j ACCEPT -o $INT -m state --state NEW

echo "forward"
iptables -A FORWARD -j ACCEPT -i $WAN -o $WAN -m state --state NEW
iptables -A FORWARD -j ACCEPT -i $WAN -o $INT -m state --state NEW
iptables -A FORWARD -j ACCEPT -o $WAN -i $INT -m state --state NEW
iptables -A FORWARD -j ACCEPT -i $INT -o $INT -m state --state NEW

echo "log"
iptables -A INPUT -j LOG --log-prefix "--iptables-in--"
iptables -A OUTPUT -j LOG --log-prefix "--iptables-out--"
iptables -A FORWARD -j LOG --log-prefix "--iptables-for--"

;;
stop)
echo "stoppe firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
esac
</pre>

=Troubleshoot=
==bridge==
vi /etc/network/interfaces

Beispiel.conf:
<pre>
auto vmbr0
iface vmbr0 inet static
address 192.168.240.187
netmask 255.255.248.0
gateway 192.168.240.100
bridge_ports eth0
bridge_stp off
bridge_fd 0
</pre>

==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso

=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==VM lock==

qm lock $VMID
qm unlock $VMID

==festplatte durchreichen==
*http://www.andysblog.de/proxmox-ve-festplatte-an-vm-durchreichen

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Hauptseite

2014-04-14T10:15:52Z

192.168.241.1: /* How To's */

=== Dokumentation ===

* [[Aufgaben]]
* [[Lösungen]]
=== Grundlagen und Administration ===

* [[Linux Grundlagen]]
* [[Bootprozess]]

* [[Administration]]
* [[Kernelmodule]]
* [[Bash]]
* [[VI Crash]]
* [[Netzwerkkonfiguration unter Ubuntu]]
* [[Paketmanagement]]
* [[RPM]]
* [[Yum howto]]
* [[Nützliche Tools]]
* [[LVM]]
* [[RAID|RAID einrichten]]
* [[sudo]]
* [[syslog-ng]]
* [[cron]]
* [[incron]]
* [[Screen]]
* [[PPA]]
* [[systemd]]
* [[Exploit]]
* [[WLAN]]
* [[Netstat unter Windows]]
* [[ACL - Kurzreferenz]]
* [[Fedora]]
* [[grub2]]

=== Netzwerken ===
* [[http://www.xinux.de//docs/internetadmin.pdf interadmin]]
* [[Ubuntu Serverdienste]]
* [[Network Tools]]
* [[SSH]]
* [[Ssh-tunnel]]
* [[Mailserver]]
* [[NTP]]
* [[Rsync]]
* [[IP Befehle]]
* [[Tcpdump]]
* [[Cloud]]
* [[NET]]
* [[Udpcast]]
* [[Dynamic Host Configuration Protocol]]
* [[Ramdisk entpacken]]
* [[PXELinux]]
* [[Bing]]
* [[Nemesis]]
* [[Heartbeat]]
* [[DRBD]]
* [[RedHat Cluster Suite]]
* [[PACEMAKER]]
* [[OCFS2]]
* [[CRM/CIB]]
* [[WLAN AccessPoint]]
* [[IPTables - from scratch]]
* [[Bintec]]
* [[Netzwerktechnik]]
* [[tcp/ip]]
* [[Nagios]]
* [[Betavine Connection Manager]]
* [[VLAN]]
* [[pix howto]]
* [[cisco howto]]
* [[Firewall Allgemein]]
* [[Subnetz mit Ubuntu Router]]
* [[Multicast Routing]]
* [[VPN]]
* [[VPN Allgemein|VPN Allgemein]]
* [[IPSEC]]
* [[nTop]]
* [[Fritz unter Ubuntu 10.04]]
* [[DNS mit bind9]]
* [[L2TP over IPSEC]]
* [[Traffic measure]]

=== Systeme ===
* [[FreeNas]]
* [[FreeBsd]]
* [[RaspberryPi]]

=== Dienste ===
* [[Untersuchung eines Linuxserver]]
* [[apache2]]
* [[apache2-neue Version]]
* [[Apache SSL]]
* [[PostgreSQL]]
* [[Tomcat 5.5]]
* [[Squid]]
* [[VLC]]
* [[VMware installation auf Ubuntu]]
* [[vpnc]]
* [[Wireless Tools]]
* [[Perl]]
* [[Joomla]]
* [[MySQL]]
* [[Typo3]]
* [[Samba]]

=== Hardware ===
* [[Computer]]
* [[RAM]]

=== Virtualisierung ===
* [[KVM]]
* [[Virtualbox]]
* [[Proxmox]]

=== Operating Systeme ===
* [[Android]]
* [[OSX]]

=== Misc ===
* [[Pflichtenheft]]
* [[Projektdoku]]
* [[Ubuntu]]
* [[o2 Mobile]]
* [[ESXI|Vmware|]]
* [[iscsi]]
* [[firefox]]

=== Mitarbeiter ===
* [[Systemaufbau]]
=== Grafisches ===
* [[Netzwerk]]
* [[Paketmanager]]
* [[CD Brennen]]
* [[EMail einrichten]]
* [[Drucker]]
* [[TS schneiden und brennen]]
* [[Video Konvert Misc]]
* [[VNC Server]]
* [[Unity]]
* [[Avidemux]]

===== [[LibreOffice]] =====
* [[Erste Schritte in LibreOffice|Erste Schritte]]
* [[Dokumente mit LibreOffice|Writer]]
* [[Tabellenkalkulation mit LibreOffice|Calc]]
* [[Presentationen mit LibreOffice|Impress]]
* [[Vektorgrafiken mit LibreOffice|Draw]]
* [[Der LibreOffice Formeleditor|Math]]

===Sprachen===
*[[Perl]]
*[[Php]]

=== How To's ===

* [[Installation von Mediawiki unter Ubuntu]]
* [[Openssl]]
* [[Ungeschütztes Linux Hacken|Linux Grub Passwort Reset]]
* [[Root RAID|Root RAID einrichten]]
* [[Runit|Runit einrichten]]
* [[Wiederherstellung vom Master Boot Record - Windows 7]]
* [[glusterfs]]
* [[Geräte mit Android via MTP in Ubuntu Linux einbinden]]
* [[Autostart von script mit udev]]
* [[USB-Installation von Linux]]
* [[KVM Images mounten]]
* [[pppoe einrichten]]
* [[qcow2 backup]]
* [[VM's von VMwares Server2 zu ESXi migrieren]]
* [[Netzwerkkarten bündeln]]
* [[ESXI]]
* [[S.M.A.R.T. - smartmontools]]
* [[lsb-release IO Error mit Teamviewer8 - FIX]]
* [[asterisk]]
* [[rkhunter]]
* [[uefi und gpt]]
* [[locale]]
* [[icinga]]
* [[dummy, pseudo Interface]]
* [[xtrend]]
* [[windows complete backup rebuild]]
* [[stunnel]]
* [[ubuntu auflösung ändern]]
* [[capi]]
* [[unetbootin bugversion]]
* [[hacking]]
* [[Hot add a new disk device to Ubuntu server]]
* [[Tmux]]
* [[golang]]
* [[Plugin Netzwerküberwachung Smartphone]]

=== New ===
* [[Debian]]
* [[CentOS]]
* [[Clouds]]
* [[LDAP]]
* [[Datarecovery]]
* [[Linux Mint]]
* [[Ubuntu Tips]]
* [[Raidcontroller Monitortools]]
* [[Telekom]]

=== Videos===
* [[http://www.youtube.com/watch?v=FaQm9gtUzSs Astaro HA Cluster]]

Proxmox

2014-03-26T10:16:57Z

192.168.241.1: /* Snapshot live */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)



=Troubleshoot=
==bridge==
vi /etc/network/interfaces

Beispiel.conf:
<pre>
auto vmbr0
iface vmbr0 inet static
address 192.168.240.187
netmask 255.255.248.0
gateway 192.168.240.100
bridge_ports eth0
bridge_stp off
bridge_fd 0
</pre>

==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso

=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==VM lock==

qm lock $VMID
qm unlock $VMID

==festplatte durchreichen==
*http://www.andysblog.de/proxmox-ve-festplatte-an-vm-durchreichen

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Proxmox

2014-03-13T11:30:23Z

192.168.241.1: /* festplatte durchreichen */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

=Troubleshoot=
==bridge==
vi /etc/network/interfaces

Beispiel.conf:
<pre>
auto vmbr0
iface vmbr0 inet static
address 192.168.240.187
netmask 255.255.248.0
gateway 192.168.240.100
bridge_ports eth0
bridge_stp off
bridge_fd 0
</pre>

==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso

=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==VM lock==

qm lock $VMID
qm unlock $VMID

==festplatte durchreichen==
*http://www.andysblog.de/proxmox-ve-festplatte-an-vm-durchreichen

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Samba4

2014-02-26T14:36:20Z

192.168.241.1: /* samba upstart script */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Share hinzufügen==

mkdir -m 770 /share
chmod g+s /share
chown root:users /share

vi /usr/local/samba/etc/smb.conf
füg das ein:

[share]
directory_mode: parameter = 0700
read only = no
path = /share
csc policy = documents

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

===Adminpasswort läuft nicht ab===
/usr/local/samba/bin/samba-tool user setexpiry administrator --noexpiry

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

.

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:32:38Z

192.168.241.1: /* howto */

Samba4

2014-02-26T14:32:16Z

192.168.241.1: /* Share hinzufügen */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Share hinzufügen==

mkdir -m 770 /share
chmod g+s /share
chown root:users /share

vi /usr/local/samba/etc/smb.conf
füg das ein:

[share]
directory_mode: parameter = 0700
read only = no
path = /share
csc policy = documents

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

===Adminpasswort läuft nicht ab===
/usr/local/samba/bin/samba-tool user setexpiry administrator --noexpiry

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:31:01Z

192.168.241.1: /* Adminpasswort läuft nicht ab */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Share hinzufügen==

Code:
mkdir -m 770 /Users
chmod g+s /Users
chown root:users /Users
then edit /usr/local/samba/etc/smb.conf

and add the following lines:

Code:
[Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents

finally set no expiration flag fro your active directory administrator password (or you'll have problems after 42 days)

Code:

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

===Adminpasswort läuft nicht ab===
/usr/local/samba/bin/samba-tool user setexpiry administrator --noexpiry

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:30:51Z

192.168.241.1: /* Share hinzufügen */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Share hinzufügen==

Code:
mkdir -m 770 /Users
chmod g+s /Users
chown root:users /Users
then edit /usr/local/samba/etc/smb.conf

and add the following lines:

Code:
[Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents

finally set no expiration flag fro your active directory administrator password (or you'll have problems after 42 days)

Code:

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

===Adminpasswort läuft nicht ab===
/usr/local/samba/bin/samba-tool user setexpiry administrator --noexpiry

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:30:31Z

192.168.241.1: /* Misc */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Share hinzufügen==

Code:
mkdir -m 770 /Users
chmod g+s /Users
chown root:users /Users
then edit /usr/local/samba/etc/smb.conf

and add the following lines:

Code:
[Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents

finally set no expiration flag fro your active directory administrator password (or you'll have problems after 42 days)

Code:

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:30:24Z

192.168.241.1: /* Misc */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

===Adminpasswort läuft nicht ab===
/usr/local/samba/bin/samba-tool user setexpiry administrator --noexpiry

==Share hinzufügen==

Code:
mkdir -m 770 /Users
chmod g+s /Users
chown root:users /Users
then edit /usr/local/samba/etc/smb.conf

and add the following lines:

Code:
[Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents

finally set no expiration flag fro your active directory administrator password (or you'll have problems after 42 days)

Code:

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:30:01Z

192.168.241.1: /* Misc */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

==Share hinzufügen==

Code:
mkdir -m 770 /Users
chmod g+s /Users
chown root:users /Users
then edit /usr/local/samba/etc/smb.conf

and add the following lines:

Code:
[Users]
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents

finally set no expiration flag fro your active directory administrator password (or you'll have problems after 42 days)

Code:

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:29:06Z

192.168.241.1: /* Kerberos */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
ändere '''$(REALM)''' zu '''MYDOMAIN.LAN'''
vi /usr/local/samba/share/setup/krb5.conf

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

==Misc==

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:26:37Z

192.168.241.1: /* DNS setzen */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
===Forwarder eintragen===
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

===Check===
<pre>
host -t SRV _ldap._tcp.mydomain.lan
_ldap._tcp.mydomain.lan has SRV record 0 100 389 DC01.mydomain.lan.

host -t SRV _kerberos._udp.mydomain.lan
_kerberos._udp.mydomain.lan has SRV record 0 100 88 DC01.mydomain.lan

host -t A DC01.mydomain.lan
DC01.mydomain.lan has address 192.168.0.100.
</pre>

Wenn '''"host mydomain.lan not found 3(NXDOMAIN)"''' ausgegeben wird, ist Samba nicht richtig gestartet!

==Kerberos==
vi /usr/local/samba/share/setup/krb5.conf
ändere $(REALM) by MYDOMAIN.LAN

==Misc==
===ntp===
vi /etc/ntp.conf

füge einen von hier hinzu:
http://www.pool.ntp.org/zone/de

service ntp restart
ntpdate 0.de.pool.ntp.org
ntpq -p

==Misc==

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:20:32Z

192.168.241.1: /* DNS setzen */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
echo domain MYDOMAIN.LAN >> /etc/resolv.conf
sudo vi /usr/local/samba/etc/smb.conf

füge hinzu: (Man kann natürlich auch seinen eigenen DNS angeben)
dns forwarder = 8.8.8.8 (I use google DNS here again)

==Misc==

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:19:24Z

192.168.241.1: /* Domain anlegen */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==
vorher das löschen:
rm /usr/local/samba/etc/smb.conf

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
echo domain MYDOMAIN.LAN >> /etc/resolv.conf

==Misc==

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:19:07Z

192.168.241.1: /* Start von samba */

=Installation=
==Interface anpassen==
vi /etc/network/interfaces
<pre>
address 192.168.0.100
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.100 8.8.8.8 (we use our server as DNS + google DNS as secondary DNS)
dns-search mydomain.lan
### IPs NOCH ANPASSEN! ###
</pre>

==hosts anpassen==
vi /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.0.100 DC01.mydomain.lan DC01

sudo echo DC01.mydomain.lan > /etc/hostname
/etc/init.d/networking restart

==Pakete und libs installieren==

sudo apt-get update && apt-get upgrade -y
sudo apt-get install git build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev libpam0g-dev ntp -y

You'll be asked for kerberos informations.
When asked for the default realm etc, enter mydomain.lan and DC01 as the host.

==samba4 downloaden und installieren==

git clone -b v4-0-stable git://git.samba.org/samba.git samba4

cd samba4

./configure --enable-debug --enable-selftest

make

make install

==Links setzen==

ln -s /usr/local/samba/sbin/* /usr/local/sbin
ln -s /usr/local/samba/bin/* /usr/local/bin

==Domain anlegen==

''' realm, domain und adminpass''' sollten/können angepasst werden!
/usr/local/samba/bin/samba-tool domain provision --realm=mydomain.lan --domain=mydomain --adminpass="your_password" --server-role=dc --dns-backend=SAMBA_INTERNAL

==Start von samba==
/usr/local/samba/sbin/samba

==smbversion, share und auth check==

===smbversion===
Diese sollten übereinstimmen:
/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient -V

===shares anzeigen:===
/usr/local/samba/bin/smbclient -L localhost -U%

Sollte so aussehen:
<pre>
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)
</pre>

===Authentication check:===
Passwort in dem Command ändern!
/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'
<pre>
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Fri May 17 21:40:08 2013
.. D 0 Fri May 17 21:42:36 2013
</pre>

==DNS setzen==
echo domain MYDOMAIN.LAN >> /etc/resolv.conf

==Misc==

-

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T14:14:42Z

192.168.241.1: /* samba4 downloaden und installieren */

Samba4

2014-02-26T14:14:16Z

192.168.241.1: /* Links setzen */

Samba4

2014-02-26T14:14:04Z

192.168.241.1: /* samba4 downloaden und installieren */

Samba4

2014-02-26T14:11:32Z

192.168.241.1: /* Misc */

Samba4

2014-02-26T14:11:21Z

192.168.241.1: /* Domain anlegen */

Samba4

2014-02-26T14:03:03Z

192.168.241.1: /* Installation */

Samba4

2014-02-26T13:32:52Z

192.168.241.1: /* samba upstart script */

=Installation=
==Misc==

===samba upstart script===

vi /etc/init.d/samba

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Samba4

2014-02-26T13:32:25Z

192.168.241.1:

=Installation=
==Misc==

=samba upstart script=

description "SMB/CIFS File and Active Directory Server"
author "Jelmer Vernooij <jelmer@ubuntu.com>"

start on (local-filesystems and net-device-up)
stop on runlevel [!2345]

expect fork
normal exit 0

pre-start script
[ -r /etc/default/samba4 ] && . /etc/default/samba4
install -o root -g root -m 755 -d /var/run/samba
install -o root -g root -m 755 -d /var/log/samba
end script

exec samba -D

=howto=
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO

=installation=
*http://ubuntuforums.org/showthread.php?t=2146198

=dns=
*zone anlegen
samba-tool dns add localhost simplex.local otto A 192.168.246.23
=pam ldap=
*http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
=ldapbackend=
*http://www.foteviken.de/?p=1925
=samba-and-active-directory=
*http://www.held-im-ruhestand.de/software/samba-and-active-directory
=domain member=
*https://wiki.samba.org/index.php/Samba4/Domain_Member
=group policiy=
*http://www.alexwyn.com/computer-tips/folder-redirection-samba4-active-directory-domain-controller
=movies=
*http://www.samba.org/tridge/Samba4Demo/

=Kennwortrichtlinie deaktivieren=
Du gehst in die Gruppenrichtlinienverwaltung.
Dann gehst du in das Verzecihnis deiner gewünschten Domäne.
Jetzt solltest du einen eintrag sehen, der sich "Default Domain Controllers Policy" nennt.
Mit rechter Maustaste draufklicken und bearbeiten. Dann öffnet sich der Gruppenrichtlinienverwaltungs-Editor
(Achtung! Auf den ersten Blick sehr leicht mit der Gruppenrichtlinienverwaltung zu verwechseln).
Jetzt schaust du unter "Computerconfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinien.

Dort darf man dann endlich die Kennwortrichtlinie deaktivieren.

=debian=
*http://chris-blog.net/2014/01/freigaben-auf-einem-samba-4-server-einrichten/
=ubuntu=
http://xiep.de/allgemein/ubuntu-server-12-04-mit-samba-4-und-active-directory-pdc/
=dns=
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_Domain_Controller
=kennwortrichtlinien=
http://chris-blog.net/2014/01/kennwortrichtlinie-in-samba-4-domain-deaktivieren/

Proxmox

2014-02-17T10:45:49Z

192.168.241.1: /* bridgeutils */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

=Troubleshoot=
==bridge==
vi /etc/network/interfaces

Beispiel.conf:
<pre>
auto vmbr0
iface vmbr0 inet static
address 192.168.240.187
netmask 255.255.248.0
gateway 192.168.240.100
bridge_ports eth0
bridge_stp off
bridge_fd 0
</pre>

==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso

=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Proxmox

2014-02-17T10:45:29Z

192.168.241.1: /* bridgeutils */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

=Troubleshoot=
==bridgeutils==
apt-get install bridgeultils

vi /etc/network/interfaces

Beispiel.conf:
<pre>
auto vmbr0
iface vmbr0 inet static
address 192.168.240.187
netmask 255.255.248.0
gateway 192.168.240.100
bridge_ports eth0
bridge_stp off
bridge_fd 0
</pre>

==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso

=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Proxmox

2014-02-17T10:44:54Z

192.168.241.1: /* Troubleshoot */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

=Troubleshoot=
==bridgeutils==
apt-get install bridgeultils

vi /etc/network/interfaces

Beispiel.conf:
<pre>
auto vmbr0
iface vmbr0 inet static
address 192.168.240.187
netmask 255.255.248.0
gateway 192.168.240.100
bridge_ports eth0
bridge_stp off
bridge_fd 0

==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso

=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Proxmox

2014-02-17T10:21:50Z

192.168.241.1: /* Validation entfernen */

=Infos - Hostsystem=

[[Datei:proxmox.jpg|1050px]]

* über die URL: https://HOST-IP:8006/ kann man auf das Webinterface zugreifen.

* Die klassische Ansicht zeigt links die Server/VM-Liste und in der Mitte die verschiedenen Monitore/Parameter sowie Einstellungsmöglichkeiten.

* unten befindet sich der Serverlog, welcher die aktuellen Prozesse/Aufgaben anzeigt.

==Neue VM anlegen/löschen==

: '''1.''' Man klickt den Knotenpunkt an
: '''2.''' Auf den "Erstelle VM"-Button oben rechts klicken
: '''3.''' Die jeweiligen Spezifikationen eintragen

[[Datei:proxmox2.jpg]]

: '''4.''' VM wird normalerweise automatisch danach gestartet, wenn nicht -> starten!
: '''5.''' Die VM in der Hostliste links auswählen und danach auf "Konsole" oben rechts klicken. (dafür muss Java installiert sein, siehe Troubleshoot)
: '''6.''' Nun seht ihr ein neues Browserfenster, mit der grafischen Ausgabe der VM.

[[Datei:proxmox3.jpg|700px]]

: '''7.''' Fertig installieren.
: '''8.''' VM herunterfahren
: '''9.''' Vm anklicken, Optionen auswählen, Bootreihenfolge per Doppelklick anpassen!

[[Datei:proxmox5.jpg|700px]]

: '''10.''' anwählen der VM, und einen Klick auf "Entfernen" oben rechts, führt zum löschen der VM

==Storage über webinterface==

: '''1.''' "Rechenzentrum" anwählen
: '''2.''' zum Reiter "Storage" wechseln
: '''3.''' "Hinzufügen/entfernen/Bearbeiten" nach belieben drücken

'''Beispiel hier: NFS'''
[[Datei:proxmox6.jpg]]

: '''4.''' Wählt euer Storagetyp (NFS/iSCSI/Directory/etc...)
: '''5.''' Wählt bei Inhalt '''alles''' aus und setzt "Max Backups" nach oben. (Dieser Parameter gibt die maximale Anzahl an mlgichen Backups auf dem Speicher an.)

[[Datei:proxmox7.jpg]]

: YT-Video: http://www.youtube.com/watch?v=kHyf_l1Q1ow

===Storage über Konsole mounten===
====template/isos====
cd /var/lib/vz
rm -r iso/ && ln -s /mnt/MOUNTPUNKFÜRDEINEISOS/ iso
====bestehende VMs====
cd /var/lib/vz
rm -r images/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMS/ images

Danach müssen noch die confs kopiert werden.

/etc/pve/qemu-server/ vom originalsystem kopieren oder auch mounten
cd /etc/pve/
rm -r qemu-server/ && ln -s /mnt/MOUNTPUNKFÜRDEINEVMCONFS/ qemu-server

'''ACHTUNG: wenn die confs kopiert werden, müssen die Pfadangaben überarbeitet werden!'''

==Migration==

Rechtsklick auf die VM und "Migration" auswählen, dazu muss ein weiterer Knoten bekannt sein. (Knoten = ProxmoxVE-Host)
: YT-Video: http://www.youtube.com/watch?v=AkimEEHArqg

===Image einfügen===

1. auf dem Host System das gewünscht Image (raw/.img) hinterlegen

2. eine neue VM anlegen und den gewünschten Typ anlegen! (qcow2/raw/vmdk)

3. Bei Bedarf das Image konvertieren:
qemu-img -f raw -O qcow2 input.img output.qcow2

4. Das Image mit dem erstellen Datenspeicher ersetzen:
cp input.img ../"VM-ID"/vm-"VM-ID"-disk-1.qcow2
Beispiel: cp input.img ../101/vm-101-disk-1.qcow2

5. vm starten

: Link: http://agix.com.au/blog/?p=2696

=== Storage einfügen ===

==Backup==

Grundsätzlich gibt es 3 Arten, eine VM zu backupen.

: '''1.''' stop-mode (Da wird die VM komplett heruntergefahren. lange downtime)
: '''2.''' suspend-mode (VM wird in den Ruhemodus versetzt. kurze Downtime)
: '''3.''' snapshot-mode (VM bleibt aktiv beim Backup)
===webinterface===
====Backup erstellen====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Backup" wechseln
: '''3.''' "Backup starten" auswählen
: '''4.''' Kompression, Storage und mode angeben

[[Datei:proxmox8.jpg]]

: '''5.''' Wenn das Backup fertig ist, seht ihr nun einen Eintrag in der "Backup-Liste" '''(Beispiel hier: VM: -101 seven-)'''
: '''(eventuell noch den Storage oben rechts anpassen...
'''
[[Datei:proxmox9.jpg]]

====Backup aufspielen====

: '''oben rechts euer Backup-Storage auswählen!'''

: '''1.''' In der Hostleiste links, muss das Backupverzeichnis geöffnet werden
: '''2.''' Danach auf den Reiter "Inhalt" wechseln
: '''3.''' Hier ist eine Liste mit Images/Backups/Snapshots/etc. zu sehen

[[Datei:proxmox10.jpg]]

: '''4.''' Backup anwählen, und zurückspieln

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

===console===
====Backup erstellen====

: '''1.''' als root einloggen
: '''2.''' VM-ID der zu backupenden VM auswählen
: '''3.''' Kompression, Storage und mode angeben
: '''4.''' Backup erstellen:

vzdump $VMID --remove 0 --mode $MODE --compress $COMP --storage $STOR --node $HOSTSYSTEM
mode-usage: snapshot | stop | suspend
compress-usage: 0 | 1 | gzip | lzo (lzo is default)
storage: im webinterface kann man die gemounteten Storages einsehen

Beispiel:
vzdump 102 --remove 0 --mode stop --compress lzo --storage bucket-one --node moxxie

====Backup aufspielen====

: '''Das Backup auf dem Storage suchen. Bei mir wurde das Verzeichnis "dump" erstellt. (bucket-one ist hier der gemountete Speicher)'''

: '''1.''' lzop -d -c /mnt/pve/bucket-one/dump/vzdump-qemu-102-2013_11_07-13_40_03.vma.lzo|vma extract -v -r /var/tmp/vzdumptmp161098.fifo - /var/tmp/vzdumptmp161098
: '''2.''' "zurückspielen"
: '''3.''' VM-ID und Storage auswählen
: '''4.''' (Das ist btw auch ein Weg die VM zu kopieren)

====Snapshot live====

=====erstellen=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' "Snapshot erstellen" auswählen
: '''4.''' Beschreibung und Name eingeben.

=====rollback=====

: '''1.''' VM anwählen
: '''2.''' zum Reiter "Snapshots" wechseln
: '''3.''' gewünschtes Snapshot auswählen
: '''4.''' "Rollback" drücken

=Troubleshoot=
==VNC Ports umlegen==
===Für Proxmox /3.X2.X===
vi /usr/share/perl5/PVE/Tools.pm

Ändern von diesen Zeilen, (ca. Zeile 724)
<pre>
sub next_vnc_port {
return next_unused_port(5900, 6000);
}
</pre>

in diese Zeilen: (gewünschte Ports eintragen[Bsp.: 6900-7000])
<pre>
sub next_vnc_port {
return next_unused_port(6900, 7000);
}
</pre>

Das Proxmox-System muss neugestartet werden!

===Für Proxmox 1.X===
vi /usr/share/perl5/PVE/ConfigServer.pm

Ändern von dieser Zeile,
for (my $p = 5900; $p < 6000; $p++) {

in diese Zeile: (gewünschte Ports eintragen[Bsp.: 6900-7000])
for (my $p = 6900; $p < 7000; $p++) {

Das Proxmox-System muss neugestartet werden!

==USB pass through==

mit das device ermitteln
lsusb

Beispiel:
<pre>
root@moxxie:/var/log/vzdump# lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 002: ID 046d:c315 Logitech, Inc. Classic New Touch Keyboard
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.
root@moxxie:/var/log/vzdump#
</pre>

Wir suchen dieses Gerät und wollen es durchtunneln:
Bus 008 Device 003: ID 04d8:fa0d Microchip Technology, Inc.

danach das USBGerät durchtunneln
qm set $VMID -usb0 host=$VENDOR:$PRODID

Beispiel:
qm set 110 -usb0 host=04d8:fa0d

==Port list==

Web interface: 8006
VNC Web console: 5900-5999
SPICE console: 3128
SSH access (only optional): 22
CMAN multicast (if you run a cluster): 5404, 5405 UDP

==VM-Killen==

Mit SSH auf den Knoten/server connecten.

Danach mit '''"ps -elf | grep kvm"''' die VM suchen und mit "kill" töten...

==Validation entfernen==
backup the file:
cp /usr/share/pve-manager/ext4/pvemanagerlib.js /usr/share/pve-manager/ext4/pvemanagerlib.js_BKP

open the file
vi /usr/share/pve-manager/ext4/pvemanagerlib.js +454

change the line
if (data.status !== 'Active') {

to below:
if (false) {

==Manual: qm==
*http://pve.proxmox.com/wiki/Manual:_qm

==Java Konsole==

Laut Proxmox einfach updaten!
Stable version: '''7 Patch45 32bit @Windows7'''

*http://pve.proxmox.com/wiki/Java_Console_%28Ubuntu%29

==Install Proxmox VE on Debian Squeeze==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Squeeze
==Install Proxmox VE on Debian Wheezy==
: http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

==Hetzner Proxmox installieren==
: http://wiki.hetzner.de/index.php/Proxmox_VE#Netzwerkkonfiguration_KVM.2FBridged

==Konfigfiles==
/etc/pve/qemu-server/
==Isos==
/var/lib/vz/template/iso
=QM=
== listen der virtuellen maschinen ==
root@betor:~# qm list
VMID NAME STATUS MEM(MB) BOOTDISK(GB) PID
100 jello running 4096 32.00 6942
101 seven stopped 4096 32.00 0
102 icinga stopped 1024 10.00 0
103 VM 103 stopped 0 0.00 0
104 symantec stopped 2048 250.00 0
108 icinga stopped 1024 10.00 0
== starten der virtuellen maschinen ==
root@betor:~# qm start 101
== stoppen der virtuellen maschinen ==
root@betor:~# qm stop 101
== config der virtuellen maschinen auslesen ==
root@betor:~# qm config 101
boot: dcn
bootdisk: ide0
cores: 2
ide0: local:101/vm-101-disk-1.qcow2,format=qcow2,size=32G
ide2: none,media=cdrom
memory: 4096
name: seven
net0: e1000=2A:06:D1:86:82:37,bridge=vmbr0
ostype: win7
sockets: 2
== shutdown einer virtuellen maschine ==
root@betor:~# qm shutdown 101
== status einer virtuellen maschine anzeigen ==
root@betor:~# qm status 101
status: running
== virtuelle maschine erstellen ==
qm create 115 --cdrom local:iso/ubuntu-6.06.1-desktop-i386.iso --name ubuntu6 --net0 virtio=62:57:BC:A2:0E:18 \
--ide0 local:115/vm-115-disk-1.qcow2,format=qcow2,size=20G --ostype l26 --memory 512 --onboot no --sockets 2

== virtuelle maschine inklusive Volumes löschen==
qm destroy 115

==Links==
: Link für die cmd-Liste: http://pve.proxmox.com/wiki/Command_line_tools
: Link für QM-manual: http://pve.proxmox.com/wiki/Qm_manual

Grub2

2014-02-14T08:57:48Z

192.168.241.1: /* Troubleshoot */

=Systemstart=

Systemstartablauf:

Das BIOS sucht je nach Einstellung
*im MBR auf dem ersten Datenträger nach einem Bootmanager bzw. Bootloader.
*auf der EFI-Partition nach der Startdatei '''grubx64.efi'''
Der Bootloader GRUB 2 lädt sich nach und nach die Dateien bzw. Images
*'''boot.img'''
*'''core.img'''
*'''/boot/grub/grub.cfg'''
*erforderliche '''mod-Dateien (Treiber)''' für jeweils spezielle Aufgaben.

=EFI=

wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl
wobblwobbl

=Installation=

Grub wird in den MBR der angeben Festplatte geschrieben: (BSP)
grub-install /dev/sda [Achtung, Bootreihenfolge im BIOS/UEFI beachten!]

oder auf einer Partition: (BSP)
grub-install --force /dev/sda3

=Konfigurationsdateien=
==/boot/grub/grub.cfg==

Diese Datei ist die generelle Konfigurationsdate von grub. Diese wird nach einem '''"update-grub"''' immer neuerstellt!
vi /boot/grub/grub.cfg

Um die Reihenfolge zu ändern, müssen dor tide "Menuentry's" geändert werden:
Grub wird es von oben nach unten anzeigen.
Beispiel: Im Moment ist der Booteintrag mit der "Wiederherstellungskonsole" an zweiter Stelle. Deshalb wird dieser Eintrag ausgeschnitten und über den ersten eingefügt.

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

nun ändern in:

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

Nach dieser Änderung ist kein update-grub erforderlich!

==/etc/default/grub==

Diese Datei ist von einem '''"update-grub"''' nicht betroffen. Diese bleibt bestehen...
vi /etc/default/grub

Hier eine Beispielkonfigurationsdatei, Die Kommentare über den Parametern beschreiben die Bedeutung.

<pre>
# Welcher Menüeintrag in /boot/grub/grub.cfg soll standardmäßig gebootet werden? [0 bedeutet erster Eintrag]
GRUB_DEFAULT=0

# Ein Zahlenwert > 0 gibt die Zeit in Sekunden an, bis der Bootvorgang ohne Anzeige des Auswahlmenü ausgeführt wird. Mit der Umschalt-Taste kann das Auswahlmenü innerhalb der eingestellten Zeitspanne sichtbar gemacht werden.
#GRUB_HIDDEN_TIMEOUT=0

# Wenn dieser Wert auf ´false´ gesetzt, so wird nur der unter GRUB_HIDDEN_TIMEOUT eingestellte Wert auf dem Monitor als Countdown angezeigt. Mit der ⇧ -Taste kann das Auswahlmenü innerhalb der Zeitspanne sichtbar gemacht werden.
GRUB_HIDDEN_TIMEOUT_QUIET=true

# Ein Zahlenwert gibt die Zeit in Sekunden an, wie lange das Auswahlmenü angezeigt wird, bevor der Standard-Eintrag geladen wird.
GRUB_TIMEOUT=2

# Generiert Hinweise zur aktuellen Distribution. Bei einer Installationen im BIOS-Modus sollte man hier keine Korrekturen vornehmen.
# Bei einer Installationen im EFI-Modus wird hier die aktuelle Distribution ausgelesen. Man kann hier einen selektiven Eintrag für das EFI-Menü erstellen.
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`

#Die Variablen sind für die Übergabe von Kernel-Bootoptionen reserviert und werden bei den Images aus dem Verzeichnis /boot angewendet:
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""

# Durch Unkommentieren wird der grafische Modus komplett abgeschaltet
#GRUB_TERMINAL=console

# Standardauflösung des Grub-Menüs
#GRUB_GFXMODE=640x480

# Normalerweise übergibt GRUB 2 die Root-Partition mittels UUID an den zu startenden Linux-Kernel. Durch Unkommentieren kann man GRUB 2 dazu veranlassen, dies per Device-Nummerierung (/dev/sdXX) zu machen.
#GRUB_DISABLE_LINUX_UUID=true

# Nach Unkommentieren und setzen auf true werden alle Recovery-Kernel-Einträge im Auswahlmenü deaktiviert.
#GRUB_DISABLE_RECOVERY="true"

# Unkommentieren für einen Signalton beim Starten
#GRUB_INIT_TUNE="480 440 1"
</pre>

: Hier zum nachlesen: http://wiki.ubuntuusers.de/GRUB_2/Konfiguration

==/etc/grub.d/==

=Reparatur=
==GRUB 2 erneut in den MBR der Festplatte installieren==
sudo grub-setup /dev/sdX

==GRUB 2 vollständig neu installieren==
sudo grub-install /dev/sdX

==GRUB 2 Pakete reinstallieren==

sudo apt-get update

'''BIOS-Installation'''
sudo apt-get --reinstall install grub-common grub-pc os-prober

'''EFI-Installation'''
sudo apt-get --reinstall install grub-common grub-efi-amd64 os-prober

==Konfigurationsdatei neu erstellen/aktualisieren==
sudo update-grub

==Eine zusätzliche Konfigurationsdatei erstellen==
Die aktuelle Konfiguration für das Auswahl-Menü ermitteln und in eine frei definierbare Datei speichern - die Datei grub.cfg bleibt dabei unverändert (mehr zu grub-mkconfig):
sudo grub-mkconfig --output=/boot/grub/meine.cfg
schreibt die aktuelle Konfiguration in die Datei meine.cfg im Verzeichnis /boot/grub, die Datei kann dabei an die eigenen Bedürfnisse angepasst werden.

=Shellbefehle=

grub-install

Erstellt die Datei grub.cfg und damit die Konfiguration für das GRUB-2-Auswahlmenü
update-grub

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü einmalig für das nächste Starten des Rechners.
grub-reboot

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü.
grub-set-default

Arbeitet wie update-grub, gibt die Konfiguration aber ohne Verwendung von Optionen nur zur Kontrolle im Terminal aus, erlaubt aber auch, die Konfiguration in eine andere Datei als die grub.cfg zu schreiben.
grub-mkconfig
-o, --output=<Datei> Wird diese Option angegeben, so wird die Konfiguration in die unter <Datei> angegebene Datei geschrieben.

Erstellt einen Schlüssel zum Sperren der Bearbeitung des Grub-Menüs insgesamt sowie der Auswahl einzelner Menüpunkte zur Laufzeit.
grub-mkpasswd-pbkdf2
-c Zahl Wird diese Option angegeben, so wird damit die maximale Anzahl von Fehlversuchen gesetzt.
-l Zahl Die Standardlänge des Schlüssels ist ohne Option 64-Byte - mit Option kann man diesen auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)
-s Zahl Die Standardlänge der Zufallsbasis (salted hash) ist ohne Option 64-Byte - hiermit kann man diese auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)

=How to's=
==Password-Hack==
Während der Rechner hochfährt auf folgende Ausgabe achten:

[[Image:grub.jpg]]

und wie angegeben ESC drücken.

Im Grub Menü angekommen nun mit den Pfeiltasten das Betriebssystem auswählen in das man sich hacken möchte:

[[Image:grub2.jpg]]

und wie unten mit "e" auf der Tastatur in das Editionsuntermenü wechseln.

[[Image:grub3.jpg]]

Hier wechselt man nun auf den Kernel und betätigt ein weiteres mal "e".

Nun sieht man ein Eingabefeld das so aussieht:

[[Image:grub4.jpg]]

'''Achtung Englische Tastatur Einstellung'''

In diesem Feld müssen sie jetz
"quiet splash"
mit
"init=/bin/bash"
ersetzen:

[[Image:grub5.jpg]]

und mit Enter bestätigen, dann kommen sie wieder auf das vorherige Editionsmenü.

In diesem jetz einfach nurnoch "b" drücken um zu booten.

=Nach dem Booten=

Das booten sollte eine relativ kurze Zeit dauern und danach müssten sie ein Eingabefeld haben das so aussieht

[[Image:boot1.jpg]]

Jetzt mountet man das root Dateisystem lese und schreibbar

[[Image:boot2.jpg]]

eventuell muss mann noch weiter Dateisysteme mounten

root@(none):/# mount -a

und danach den Befehl

[[Image:boot3.jpg]]

um das rootpasswort zu ändern.

Danach nurnoch:

[[Image:boot4.jpg]]

Und '''Geschafft'''

Beim nächsten Start des Rechners kann man sich mit seinem neu gesetzten Passwort als root anmelden
==chroot==
Die chroot-Methode verwendet man immer dann, wenn man nur oder auch die grub.cfg neu erstellen lassen will. Außerdem sollte sie immer bei komplizierteren Systemkonstellationen wie LUKS- oder LV-Partitionen sowie Raid-Verbunden und beim Wiederherstellen des Bootloaders eines Dualboot-Systems angewendet werden.

===Kein RAID/normale Partitionen===

1. Root-Partition mounten
sudo mount /dev/sdXY /mnt

2. (OPTIONAL)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

3. Vorbereitung und Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

4. grub installieren:
grub-install /dev/sdX
(evtl.: grub-install --recheck /dev/sdX)
update-grub

5. chroot-Umgebung verlassen und neustarten

===RAID===

1.Desktop-CD booten und mdadm-Tools installieren:
sudo apt-get install mdadm
sudo mdadm --assemble --scan

2.Einhängen der Systempartition:
sudo mount /dev/mdX /mnt
sudo mdadm --examine --scan

3.(Optional)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls eingehängt werden:
sudo mount /dev/mdX /mnt/boot

4.Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

5.grub installieren
grub-install /dev/sdX
Installation auf allen teilnehmenden Platten (/dev/sda, /dev/sdb ...) empfohlen!
update-grub

6. chroot-Umgebung verlassen und neustarten

==Root-Directory==
Die Root-Directory-Methode kann man immer dann wählen, wenn man sicher ist, dass die Datei grub.cfg richtig ist und GRUB 2 nur deswegen nicht richtig startet, weil er nicht oder nicht mehr bzw. nicht mehr richtig im Bootsektor oder dem MBR der betreffenden Festplatte installiert ist. Diese Situation hat man z.B. stets, '''nachdem Windows nach Ubuntu auf dem System installiert wurde'''. Diese Methode erfordert zwar weniger Einzelschritte, ist dabei aber auch weniger flexibel und erlaubt nicht so viele Reparaturoptionen wie die chroot-Methode.

Bei dieser Variante wird GRUB 2 einfach in einem Terminal[2] von der Desktop-CD mittels des GRUB-2-Skripts grub-install erneut auf der Festplatte installiert:

1. Desktop-Image laden
2. Root-Partition mounten
sudo mount /dev/sdXY /mnt
3. Optional
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

4. Devices von USB/CD einbinden Live-System
sudo mount --bind /dev/ /mnt/dev
5. grub installieren
GRUB 1.98 und vorher (bis Maverick Meerkat):
sudo grub-install --root-directory=/mnt /dev/sdX
GRUB 1.99 und später:
sudo grub-install --boot-directory=/mnt/boot /dev/sdX
sudo update-grub

=Troubleshoot=
==grub1 manualboot==

Grub2

2014-02-14T08:47:22Z

192.168.241.1:

Grub2

2014-02-14T08:43:11Z

192.168.241.1: /* Systemstart */

=Systemstart=

Systemstartablauf:

Das BIOS sucht je nach Einstellung
*im MBR auf dem ersten Datenträger nach einem Bootmanager bzw. Bootloader.
*auf der EFI-Partition nach der Startdatei '''grubx64.efi'''
Der Bootloader GRUB 2 lädt sich nach und nach die Dateien bzw. Images
*'''boot.img'''
*'''core.img'''
*'''/boot/grub/grub.cfg'''
*erforderliche '''mod-Dateien (Treiber)''' für jeweils spezielle Aufgaben.

=Installation=

Grub wird in den MBR der angeben Festplatte geschrieben: (BSP)
grub-install /dev/sda [Achtung, Bootreihenfolge im BIOS/UEFI beachten!]

oder auf einer Partition: (BSP)
grub-install --force /dev/sda3

=Konfigurationsdateien=
==/boot/grub/grub.cfg==

Diese Datei ist die generelle Konfigurationsdate von grub. Diese wird nach einem '''"update-grub"''' immer neuerstellt!
vi /boot/grub/grub.cfg

Um die Reihenfolge zu ändern, müssen dor tide "Menuentry's" geändert werden:
Grub wird es von oben nach unten anzeigen.
Beispiel: Im Moment ist der Booteintrag mit der "Wiederherstellungskonsole" an zweiter Stelle. Deshalb wird dieser Eintrag ausgeschnitten und über den ersten eingefügt.

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

nun ändern in:

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

Nach dieser Änderung ist kein update-grub erforderlich!

==/etc/default/grub==

Diese Datei ist von einem '''"update-grub"''' nicht betroffen. Diese bleibt bestehen...
vi /etc/default/grub

Hier eine Beispielkonfigurationsdatei, Die Kommentare über den Parametern beschreiben die Bedeutung.

<pre>
# Welcher Menüeintrag in /boot/grub/grub.cfg soll standardmäßig gebootet werden? [0 bedeutet erster Eintrag]
GRUB_DEFAULT=0

# Ein Zahlenwert > 0 gibt die Zeit in Sekunden an, bis der Bootvorgang ohne Anzeige des Auswahlmenü ausgeführt wird. Mit der Umschalt-Taste kann das Auswahlmenü innerhalb der eingestellten Zeitspanne sichtbar gemacht werden.
#GRUB_HIDDEN_TIMEOUT=0

# Wenn dieser Wert auf ´false´ gesetzt, so wird nur der unter GRUB_HIDDEN_TIMEOUT eingestellte Wert auf dem Monitor als Countdown angezeigt. Mit der ⇧ -Taste kann das Auswahlmenü innerhalb der Zeitspanne sichtbar gemacht werden.
GRUB_HIDDEN_TIMEOUT_QUIET=true

# Ein Zahlenwert gibt die Zeit in Sekunden an, wie lange das Auswahlmenü angezeigt wird, bevor der Standard-Eintrag geladen wird.
GRUB_TIMEOUT=2

# Generiert Hinweise zur aktuellen Distribution. Bei einer Installationen im BIOS-Modus sollte man hier keine Korrekturen vornehmen.
# Bei einer Installationen im EFI-Modus wird hier die aktuelle Distribution ausgelesen. Man kann hier einen selektiven Eintrag für das EFI-Menü erstellen.
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`

#Die Variablen sind für die Übergabe von Kernel-Bootoptionen reserviert und werden bei den Images aus dem Verzeichnis /boot angewendet:
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""

# Durch Unkommentieren wird der grafische Modus komplett abgeschaltet
#GRUB_TERMINAL=console

# Standardauflösung des Grub-Menüs
#GRUB_GFXMODE=640x480

# Normalerweise übergibt GRUB 2 die Root-Partition mittels UUID an den zu startenden Linux-Kernel. Durch Unkommentieren kann man GRUB 2 dazu veranlassen, dies per Device-Nummerierung (/dev/sdXX) zu machen.
#GRUB_DISABLE_LINUX_UUID=true

# Nach Unkommentieren und setzen auf true werden alle Recovery-Kernel-Einträge im Auswahlmenü deaktiviert.
#GRUB_DISABLE_RECOVERY="true"

# Unkommentieren für einen Signalton beim Starten
#GRUB_INIT_TUNE="480 440 1"
</pre>

: Hier zum nachlesen: http://wiki.ubuntuusers.de/GRUB_2/Konfiguration

==/etc/grub.d/==

=Reparatur=
==GRUB 2 erneut in den MBR der Festplatte installieren==
sudo grub-setup /dev/sdX

==GRUB 2 vollständig neu installieren==
sudo grub-install /dev/sdX

==GRUB 2 Pakete reinstallieren==

sudo apt-get update

'''BIOS-Installation'''
sudo apt-get --reinstall install grub-common grub-pc os-prober

'''EFI-Installation'''
sudo apt-get --reinstall install grub-common grub-efi-amd64 os-prober

==Konfigurationsdatei neu erstellen/aktualisieren==
sudo update-grub

==Eine zusätzliche Konfigurationsdatei erstellen==
Die aktuelle Konfiguration für das Auswahl-Menü ermitteln und in eine frei definierbare Datei speichern - die Datei grub.cfg bleibt dabei unverändert (mehr zu grub-mkconfig):
sudo grub-mkconfig --output=/boot/grub/meine.cfg
schreibt die aktuelle Konfiguration in die Datei meine.cfg im Verzeichnis /boot/grub, die Datei kann dabei an die eigenen Bedürfnisse angepasst werden.

=Shellbefehle=

grub-install

Erstellt die Datei grub.cfg und damit die Konfiguration für das GRUB-2-Auswahlmenü
update-grub

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü einmalig für das nächste Starten des Rechners.
grub-reboot

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü.
grub-set-default

Arbeitet wie update-grub, gibt die Konfiguration aber ohne Verwendung von Optionen nur zur Kontrolle im Terminal aus, erlaubt aber auch, die Konfiguration in eine andere Datei als die grub.cfg zu schreiben.
grub-mkconfig
-o, --output=<Datei> Wird diese Option angegeben, so wird die Konfiguration in die unter <Datei> angegebene Datei geschrieben.

Erstellt einen Schlüssel zum Sperren der Bearbeitung des Grub-Menüs insgesamt sowie der Auswahl einzelner Menüpunkte zur Laufzeit.
grub-mkpasswd-pbkdf2
-c Zahl Wird diese Option angegeben, so wird damit die maximale Anzahl von Fehlversuchen gesetzt.
-l Zahl Die Standardlänge des Schlüssels ist ohne Option 64-Byte - mit Option kann man diesen auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)
-s Zahl Die Standardlänge der Zufallsbasis (salted hash) ist ohne Option 64-Byte - hiermit kann man diese auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)

=How to's=
==Password-Hack==
Während der Rechner hochfährt auf folgende Ausgabe achten:

[[Image:grub.jpg]]

und wie angegeben ESC drücken.

Im Grub Menü angekommen nun mit den Pfeiltasten das Betriebssystem auswählen in das man sich hacken möchte:

[[Image:grub2.jpg]]

und wie unten mit "e" auf der Tastatur in das Editionsuntermenü wechseln.

[[Image:grub3.jpg]]

Hier wechselt man nun auf den Kernel und betätigt ein weiteres mal "e".

Nun sieht man ein Eingabefeld das so aussieht:

[[Image:grub4.jpg]]

'''Achtung Englische Tastatur Einstellung'''

In diesem Feld müssen sie jetz
"quiet splash"
mit
"init=/bin/bash"
ersetzen:

[[Image:grub5.jpg]]

und mit Enter bestätigen, dann kommen sie wieder auf das vorherige Editionsmenü.

In diesem jetz einfach nurnoch "b" drücken um zu booten.

=Nach dem Booten=

Das booten sollte eine relativ kurze Zeit dauern und danach müssten sie ein Eingabefeld haben das so aussieht

[[Image:boot1.jpg]]

Jetzt mountet man das root Dateisystem lese und schreibbar

[[Image:boot2.jpg]]

eventuell muss mann noch weiter Dateisysteme mounten

root@(none):/# mount -a

und danach den Befehl

[[Image:boot3.jpg]]

um das rootpasswort zu ändern.

Danach nurnoch:

[[Image:boot4.jpg]]

Und '''Geschafft'''

Beim nächsten Start des Rechners kann man sich mit seinem neu gesetzten Passwort als root anmelden
==chroot==
Die chroot-Methode verwendet man immer dann, wenn man nur oder auch die grub.cfg neu erstellen lassen will. Außerdem sollte sie immer bei komplizierteren Systemkonstellationen wie LUKS- oder LV-Partitionen sowie Raid-Verbunden und beim Wiederherstellen des Bootloaders eines Dualboot-Systems angewendet werden.

===Kein RAID/normale Partitionen===

1. Root-Partition mounten
sudo mount /dev/sdXY /mnt

2. (OPTIONAL)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

3. Vorbereitung und Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

4. grub installieren:
grub-install /dev/sdX
(evtl.: grub-install --recheck /dev/sdX)
update-grub

5. chroot-Umgebung verlassen und neustarten

===RAID===

1.Desktop-CD booten und mdadm-Tools installieren:
sudo apt-get install mdadm
sudo mdadm --assemble --scan

2.Einhängen der Systempartition:
sudo mount /dev/mdX /mnt
sudo mdadm --examine --scan

3.(Optional)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls eingehängt werden:
sudo mount /dev/mdX /mnt/boot

4.Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

5.grub installieren
grub-install /dev/sdX
Installation auf allen teilnehmenden Platten (/dev/sda, /dev/sdb ...) empfohlen!
update-grub

6. chroot-Umgebung verlassen und neustarten

==Root-Directory==
Die Root-Directory-Methode kann man immer dann wählen, wenn man sicher ist, dass die Datei grub.cfg richtig ist und GRUB 2 nur deswegen nicht richtig startet, weil er nicht oder nicht mehr bzw. nicht mehr richtig im Bootsektor oder dem MBR der betreffenden Festplatte installiert ist. Diese Situation hat man z.B. stets, '''nachdem Windows nach Ubuntu auf dem System installiert wurde'''. Diese Methode erfordert zwar weniger Einzelschritte, ist dabei aber auch weniger flexibel und erlaubt nicht so viele Reparaturoptionen wie die chroot-Methode.

Bei dieser Variante wird GRUB 2 einfach in einem Terminal[2] von der Desktop-CD mittels des GRUB-2-Skripts grub-install erneut auf der Festplatte installiert:

1. Desktop-Image laden
2. Root-Partition mounten
sudo mount /dev/sdXY /mnt
3. Optional
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

4. Devices von USB/CD einbinden Live-System
sudo mount --bind /dev/ /mnt/dev
5. grub installieren
GRUB 1.98 und vorher (bis Maverick Meerkat):
sudo grub-install --root-directory=/mnt /dev/sdX
GRUB 1.99 und später:
sudo grub-install --boot-directory=/mnt/boot /dev/sdX
sudo update-grub

=Troubleshoot=

Grub2

2014-02-14T08:42:19Z

192.168.241.1: /* Installation */

=Systemstart=

Folgende Schritte werden beim Starten eines Rechners durchlaufen:

Das BIOS sucht je nach Einstellung
*im MBR auf dem ersten Datenträger nach einem Bootmanager bzw. Bootloader.
*auf der EFI-Partition nach der Startdatei grubx64.efi
Der Bootloader GRUB 2 lädt sich nach und nach die Dateien bzw. Images
*boot.img
*core.img
*/boot/grub/grub.cfg
*erforderliche mod-Dateien (Treiber) für jeweils spezielle Aufgaben.

=Installation=

Grub wird in den MBR der angeben Festplatte geschrieben: (BSP)
grub-install /dev/sda [Achtung, Bootreihenfolge im BIOS/UEFI beachten!]

oder auf einer Partition: (BSP)
grub-install --force /dev/sda3

=Konfigurationsdateien=
==/boot/grub/grub.cfg==

Diese Datei ist die generelle Konfigurationsdate von grub. Diese wird nach einem '''"update-grub"''' immer neuerstellt!
vi /boot/grub/grub.cfg

Um die Reihenfolge zu ändern, müssen dor tide "Menuentry's" geändert werden:
Grub wird es von oben nach unten anzeigen.
Beispiel: Im Moment ist der Booteintrag mit der "Wiederherstellungskonsole" an zweiter Stelle. Deshalb wird dieser Eintrag ausgeschnitten und über den ersten eingefügt.

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

nun ändern in:

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

Nach dieser Änderung ist kein update-grub erforderlich!

==/etc/default/grub==

Diese Datei ist von einem '''"update-grub"''' nicht betroffen. Diese bleibt bestehen...
vi /etc/default/grub

Hier eine Beispielkonfigurationsdatei, Die Kommentare über den Parametern beschreiben die Bedeutung.

<pre>
# Welcher Menüeintrag in /boot/grub/grub.cfg soll standardmäßig gebootet werden? [0 bedeutet erster Eintrag]
GRUB_DEFAULT=0

# Ein Zahlenwert > 0 gibt die Zeit in Sekunden an, bis der Bootvorgang ohne Anzeige des Auswahlmenü ausgeführt wird. Mit der Umschalt-Taste kann das Auswahlmenü innerhalb der eingestellten Zeitspanne sichtbar gemacht werden.
#GRUB_HIDDEN_TIMEOUT=0

# Wenn dieser Wert auf ´false´ gesetzt, so wird nur der unter GRUB_HIDDEN_TIMEOUT eingestellte Wert auf dem Monitor als Countdown angezeigt. Mit der ⇧ -Taste kann das Auswahlmenü innerhalb der Zeitspanne sichtbar gemacht werden.
GRUB_HIDDEN_TIMEOUT_QUIET=true

# Ein Zahlenwert gibt die Zeit in Sekunden an, wie lange das Auswahlmenü angezeigt wird, bevor der Standard-Eintrag geladen wird.
GRUB_TIMEOUT=2

# Generiert Hinweise zur aktuellen Distribution. Bei einer Installationen im BIOS-Modus sollte man hier keine Korrekturen vornehmen.
# Bei einer Installationen im EFI-Modus wird hier die aktuelle Distribution ausgelesen. Man kann hier einen selektiven Eintrag für das EFI-Menü erstellen.
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`

#Die Variablen sind für die Übergabe von Kernel-Bootoptionen reserviert und werden bei den Images aus dem Verzeichnis /boot angewendet:
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""

# Durch Unkommentieren wird der grafische Modus komplett abgeschaltet
#GRUB_TERMINAL=console

# Standardauflösung des Grub-Menüs
#GRUB_GFXMODE=640x480

# Normalerweise übergibt GRUB 2 die Root-Partition mittels UUID an den zu startenden Linux-Kernel. Durch Unkommentieren kann man GRUB 2 dazu veranlassen, dies per Device-Nummerierung (/dev/sdXX) zu machen.
#GRUB_DISABLE_LINUX_UUID=true

# Nach Unkommentieren und setzen auf true werden alle Recovery-Kernel-Einträge im Auswahlmenü deaktiviert.
#GRUB_DISABLE_RECOVERY="true"

# Unkommentieren für einen Signalton beim Starten
#GRUB_INIT_TUNE="480 440 1"
</pre>

: Hier zum nachlesen: http://wiki.ubuntuusers.de/GRUB_2/Konfiguration

==/etc/grub.d/==

=Reparatur=
==GRUB 2 erneut in den MBR der Festplatte installieren==
sudo grub-setup /dev/sdX

==GRUB 2 vollständig neu installieren==
sudo grub-install /dev/sdX

==GRUB 2 Pakete reinstallieren==

sudo apt-get update

'''BIOS-Installation'''
sudo apt-get --reinstall install grub-common grub-pc os-prober

'''EFI-Installation'''
sudo apt-get --reinstall install grub-common grub-efi-amd64 os-prober

==Konfigurationsdatei neu erstellen/aktualisieren==
sudo update-grub

==Eine zusätzliche Konfigurationsdatei erstellen==
Die aktuelle Konfiguration für das Auswahl-Menü ermitteln und in eine frei definierbare Datei speichern - die Datei grub.cfg bleibt dabei unverändert (mehr zu grub-mkconfig):
sudo grub-mkconfig --output=/boot/grub/meine.cfg
schreibt die aktuelle Konfiguration in die Datei meine.cfg im Verzeichnis /boot/grub, die Datei kann dabei an die eigenen Bedürfnisse angepasst werden.

=Shellbefehle=

grub-install

Erstellt die Datei grub.cfg und damit die Konfiguration für das GRUB-2-Auswahlmenü
update-grub

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü einmalig für das nächste Starten des Rechners.
grub-reboot

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü.
grub-set-default

Arbeitet wie update-grub, gibt die Konfiguration aber ohne Verwendung von Optionen nur zur Kontrolle im Terminal aus, erlaubt aber auch, die Konfiguration in eine andere Datei als die grub.cfg zu schreiben.
grub-mkconfig
-o, --output=<Datei> Wird diese Option angegeben, so wird die Konfiguration in die unter <Datei> angegebene Datei geschrieben.

Erstellt einen Schlüssel zum Sperren der Bearbeitung des Grub-Menüs insgesamt sowie der Auswahl einzelner Menüpunkte zur Laufzeit.
grub-mkpasswd-pbkdf2
-c Zahl Wird diese Option angegeben, so wird damit die maximale Anzahl von Fehlversuchen gesetzt.
-l Zahl Die Standardlänge des Schlüssels ist ohne Option 64-Byte - mit Option kann man diesen auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)
-s Zahl Die Standardlänge der Zufallsbasis (salted hash) ist ohne Option 64-Byte - hiermit kann man diese auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)

=How to's=
==Password-Hack==
Während der Rechner hochfährt auf folgende Ausgabe achten:

[[Image:grub.jpg]]

und wie angegeben ESC drücken.

Im Grub Menü angekommen nun mit den Pfeiltasten das Betriebssystem auswählen in das man sich hacken möchte:

[[Image:grub2.jpg]]

und wie unten mit "e" auf der Tastatur in das Editionsuntermenü wechseln.

[[Image:grub3.jpg]]

Hier wechselt man nun auf den Kernel und betätigt ein weiteres mal "e".

Nun sieht man ein Eingabefeld das so aussieht:

[[Image:grub4.jpg]]

'''Achtung Englische Tastatur Einstellung'''

In diesem Feld müssen sie jetz
"quiet splash"
mit
"init=/bin/bash"
ersetzen:

[[Image:grub5.jpg]]

und mit Enter bestätigen, dann kommen sie wieder auf das vorherige Editionsmenü.

In diesem jetz einfach nurnoch "b" drücken um zu booten.

=Nach dem Booten=

Das booten sollte eine relativ kurze Zeit dauern und danach müssten sie ein Eingabefeld haben das so aussieht

[[Image:boot1.jpg]]

Jetzt mountet man das root Dateisystem lese und schreibbar

[[Image:boot2.jpg]]

eventuell muss mann noch weiter Dateisysteme mounten

root@(none):/# mount -a

und danach den Befehl

[[Image:boot3.jpg]]

um das rootpasswort zu ändern.

Danach nurnoch:

[[Image:boot4.jpg]]

Und '''Geschafft'''

Beim nächsten Start des Rechners kann man sich mit seinem neu gesetzten Passwort als root anmelden
==chroot==
Die chroot-Methode verwendet man immer dann, wenn man nur oder auch die grub.cfg neu erstellen lassen will. Außerdem sollte sie immer bei komplizierteren Systemkonstellationen wie LUKS- oder LV-Partitionen sowie Raid-Verbunden und beim Wiederherstellen des Bootloaders eines Dualboot-Systems angewendet werden.

===Kein RAID/normale Partitionen===

1. Root-Partition mounten
sudo mount /dev/sdXY /mnt

2. (OPTIONAL)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

3. Vorbereitung und Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

4. grub installieren:
grub-install /dev/sdX
(evtl.: grub-install --recheck /dev/sdX)
update-grub

5. chroot-Umgebung verlassen und neustarten

===RAID===

1.Desktop-CD booten und mdadm-Tools installieren:
sudo apt-get install mdadm
sudo mdadm --assemble --scan

2.Einhängen der Systempartition:
sudo mount /dev/mdX /mnt
sudo mdadm --examine --scan

3.(Optional)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls eingehängt werden:
sudo mount /dev/mdX /mnt/boot

4.Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

5.grub installieren
grub-install /dev/sdX
Installation auf allen teilnehmenden Platten (/dev/sda, /dev/sdb ...) empfohlen!
update-grub

6. chroot-Umgebung verlassen und neustarten

==Root-Directory==
Die Root-Directory-Methode kann man immer dann wählen, wenn man sicher ist, dass die Datei grub.cfg richtig ist und GRUB 2 nur deswegen nicht richtig startet, weil er nicht oder nicht mehr bzw. nicht mehr richtig im Bootsektor oder dem MBR der betreffenden Festplatte installiert ist. Diese Situation hat man z.B. stets, '''nachdem Windows nach Ubuntu auf dem System installiert wurde'''. Diese Methode erfordert zwar weniger Einzelschritte, ist dabei aber auch weniger flexibel und erlaubt nicht so viele Reparaturoptionen wie die chroot-Methode.

Bei dieser Variante wird GRUB 2 einfach in einem Terminal[2] von der Desktop-CD mittels des GRUB-2-Skripts grub-install erneut auf der Festplatte installiert:

1. Desktop-Image laden
2. Root-Partition mounten
sudo mount /dev/sdXY /mnt
3. Optional
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

4. Devices von USB/CD einbinden Live-System
sudo mount --bind /dev/ /mnt/dev
5. grub installieren
GRUB 1.98 und vorher (bis Maverick Meerkat):
sudo grub-install --root-directory=/mnt /dev/sdX
GRUB 1.99 und später:
sudo grub-install --boot-directory=/mnt/boot /dev/sdX
sudo update-grub

=Troubleshoot=

Grub2

2014-02-13T14:32:19Z

192.168.241.1: /* Shellbefehle */

=Installation=

Grub wird in den MBR der angeben Festplatte geschrieben: (BSP)
grub-install /dev/sda [Achtung, Bootreihenfolge im BIOS/UEFI beachten!]

oder auf einer Partition: (BSP)
grub-install --force /dev/sda3

=Konfigurationsdateien=
==/boot/grub/grub.cfg==

Diese Datei ist die generelle Konfigurationsdate von grub. Diese wird nach einem '''"update-grub"''' immer neuerstellt!
vi /boot/grub/grub.cfg

Um die Reihenfolge zu ändern, müssen dor tide "Menuentry's" geändert werden:
Grub wird es von oben nach unten anzeigen.
Beispiel: Im Moment ist der Booteintrag mit der "Wiederherstellungskonsole" an zweiter Stelle. Deshalb wird dieser Eintrag ausgeschnitten und über den ersten eingefügt.

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

nun ändern in:

<pre>
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic (Wiederherstellungsmodus)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-recovery-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro recovery nomodeset
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
menuentry 'Ubuntu, mit Linux 3.5.0-36-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-3.5.0-36-generic-advanced-3daa1a20-ab97-4eb8-84e3-137a1743bafd' {
recordfail
gfxmode $linux_gfx_mode
insmod gzio
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 3daa1a20-ab97-4eb8-84e3-137a1743bafd
else
search --no-floppy --fs-uuid --set=root 3daa1a20-ab97-4eb8-84e3-137a1743bafd
fi
echo 'Linux 3.5.0-36-generic wird geladen …'
linux /boot/vmlinuz-3.5.0-36-generic root=UUID=3daa1a20-ab97-4eb8-84e3-137a1743bafd ro
echo 'Initiale Ramdisk wird geladen …'
initrd /boot/initrd.img-3.5.0-36-generic
}
</pre>

Nach dieser Änderung ist kein update-grub erforderlich!

==/etc/default/grub==

Diese Datei ist von einem '''"update-grub"''' nicht betroffen. Diese bleibt bestehen...
vi /etc/default/grub

Hier eine Beispielkonfigurationsdatei, Die Kommentare über den Parametern beschreiben die Bedeutung.

<pre>
# Welcher Menüeintrag in /boot/grub/grub.cfg soll standardmäßig gebootet werden? [0 bedeutet erster Eintrag]
GRUB_DEFAULT=0

# Ein Zahlenwert > 0 gibt die Zeit in Sekunden an, bis der Bootvorgang ohne Anzeige des Auswahlmenü ausgeführt wird. Mit der Umschalt-Taste kann das Auswahlmenü innerhalb der eingestellten Zeitspanne sichtbar gemacht werden.
#GRUB_HIDDEN_TIMEOUT=0

# Wenn dieser Wert auf ´false´ gesetzt, so wird nur der unter GRUB_HIDDEN_TIMEOUT eingestellte Wert auf dem Monitor als Countdown angezeigt. Mit der ⇧ -Taste kann das Auswahlmenü innerhalb der Zeitspanne sichtbar gemacht werden.
GRUB_HIDDEN_TIMEOUT_QUIET=true

# Ein Zahlenwert gibt die Zeit in Sekunden an, wie lange das Auswahlmenü angezeigt wird, bevor der Standard-Eintrag geladen wird.
GRUB_TIMEOUT=2

# Generiert Hinweise zur aktuellen Distribution. Bei einer Installationen im BIOS-Modus sollte man hier keine Korrekturen vornehmen.
# Bei einer Installationen im EFI-Modus wird hier die aktuelle Distribution ausgelesen. Man kann hier einen selektiven Eintrag für das EFI-Menü erstellen.
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`

#Die Variablen sind für die Übergabe von Kernel-Bootoptionen reserviert und werden bei den Images aus dem Verzeichnis /boot angewendet:
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""

# Durch Unkommentieren wird der grafische Modus komplett abgeschaltet
#GRUB_TERMINAL=console

# Standardauflösung des Grub-Menüs
#GRUB_GFXMODE=640x480

# Normalerweise übergibt GRUB 2 die Root-Partition mittels UUID an den zu startenden Linux-Kernel. Durch Unkommentieren kann man GRUB 2 dazu veranlassen, dies per Device-Nummerierung (/dev/sdXX) zu machen.
#GRUB_DISABLE_LINUX_UUID=true

# Nach Unkommentieren und setzen auf true werden alle Recovery-Kernel-Einträge im Auswahlmenü deaktiviert.
#GRUB_DISABLE_RECOVERY="true"

# Unkommentieren für einen Signalton beim Starten
#GRUB_INIT_TUNE="480 440 1"
</pre>

: Hier zum nachlesen: http://wiki.ubuntuusers.de/GRUB_2/Konfiguration

==/etc/grub.d/==

=Reparatur=
==GRUB 2 erneut in den MBR der Festplatte installieren==
sudo grub-setup /dev/sdX

==GRUB 2 vollständig neu installieren==
sudo grub-install /dev/sdX

==GRUB 2 Pakete reinstallieren==

sudo apt-get update

'''BIOS-Installation'''
sudo apt-get --reinstall install grub-common grub-pc os-prober

'''EFI-Installation'''
sudo apt-get --reinstall install grub-common grub-efi-amd64 os-prober

==Konfigurationsdatei neu erstellen/aktualisieren==
sudo update-grub

==Eine zusätzliche Konfigurationsdatei erstellen==
Die aktuelle Konfiguration für das Auswahl-Menü ermitteln und in eine frei definierbare Datei speichern - die Datei grub.cfg bleibt dabei unverändert (mehr zu grub-mkconfig):
sudo grub-mkconfig --output=/boot/grub/meine.cfg
schreibt die aktuelle Konfiguration in die Datei meine.cfg im Verzeichnis /boot/grub, die Datei kann dabei an die eigenen Bedürfnisse angepasst werden.

=Shellbefehle=

grub-install

Erstellt die Datei grub.cfg und damit die Konfiguration für das GRUB-2-Auswahlmenü
update-grub

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü einmalig für das nächste Starten des Rechners.
grub-reboot

Setzt den Standard-Eintrag im GRUB-2-Auswahlmenü.
grub-set-default

Arbeitet wie update-grub, gibt die Konfiguration aber ohne Verwendung von Optionen nur zur Kontrolle im Terminal aus, erlaubt aber auch, die Konfiguration in eine andere Datei als die grub.cfg zu schreiben.
grub-mkconfig
-o, --output=<Datei> Wird diese Option angegeben, so wird die Konfiguration in die unter <Datei> angegebene Datei geschrieben.

Erstellt einen Schlüssel zum Sperren der Bearbeitung des Grub-Menüs insgesamt sowie der Auswahl einzelner Menüpunkte zur Laufzeit.
grub-mkpasswd-pbkdf2
-c Zahl Wird diese Option angegeben, so wird damit die maximale Anzahl von Fehlversuchen gesetzt.
-l Zahl Die Standardlänge des Schlüssels ist ohne Option 64-Byte - mit Option kann man diesen auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)
-s Zahl Die Standardlänge der Zufallsbasis (salted hash) ist ohne Option 64-Byte - hiermit kann man diese auf den angegebenen Wert begrenzen (nicht empfohlen, siehe auch Hinweis *)

=How to's=
==Password-Hack==
Während der Rechner hochfährt auf folgende Ausgabe achten:

[[Image:grub.jpg]]

und wie angegeben ESC drücken.

Im Grub Menü angekommen nun mit den Pfeiltasten das Betriebssystem auswählen in das man sich hacken möchte:

[[Image:grub2.jpg]]

und wie unten mit "e" auf der Tastatur in das Editionsuntermenü wechseln.

[[Image:grub3.jpg]]

Hier wechselt man nun auf den Kernel und betätigt ein weiteres mal "e".

Nun sieht man ein Eingabefeld das so aussieht:

[[Image:grub4.jpg]]

'''Achtung Englische Tastatur Einstellung'''

In diesem Feld müssen sie jetz
"quiet splash"
mit
"init=/bin/bash"
ersetzen:

[[Image:grub5.jpg]]

und mit Enter bestätigen, dann kommen sie wieder auf das vorherige Editionsmenü.

In diesem jetz einfach nurnoch "b" drücken um zu booten.

=Nach dem Booten=

Das booten sollte eine relativ kurze Zeit dauern und danach müssten sie ein Eingabefeld haben das so aussieht

[[Image:boot1.jpg]]

Jetzt mountet man das root Dateisystem lese und schreibbar

[[Image:boot2.jpg]]

eventuell muss mann noch weiter Dateisysteme mounten

root@(none):/# mount -a

und danach den Befehl

[[Image:boot3.jpg]]

um das rootpasswort zu ändern.

Danach nurnoch:

[[Image:boot4.jpg]]

Und '''Geschafft'''

Beim nächsten Start des Rechners kann man sich mit seinem neu gesetzten Passwort als root anmelden
==chroot==
Die chroot-Methode verwendet man immer dann, wenn man nur oder auch die grub.cfg neu erstellen lassen will. Außerdem sollte sie immer bei komplizierteren Systemkonstellationen wie LUKS- oder LV-Partitionen sowie Raid-Verbunden und beim Wiederherstellen des Bootloaders eines Dualboot-Systems angewendet werden.

===Kein RAID/normale Partitionen===

1. Root-Partition mounten
sudo mount /dev/sdXY /mnt

2. (OPTIONAL)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

3. Vorbereitung und Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

4. grub installieren:
grub-install /dev/sdX
(evtl.: grub-install --recheck /dev/sdX)
update-grub

5. chroot-Umgebung verlassen und neustarten

===RAID===

1.Desktop-CD booten und mdadm-Tools installieren:
sudo apt-get install mdadm
sudo mdadm --assemble --scan

2.Einhängen der Systempartition:
sudo mount /dev/mdX /mnt
sudo mdadm --examine --scan

3.(Optional)
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls eingehängt werden:
sudo mount /dev/mdX /mnt/boot

4.Wechsel in die chroot-Umgebung:
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -t proc /proc /mnt/proc
sudo cp /proc/mounts /mnt/etc/mtab
sudo chroot /mnt /bin/bash

5.grub installieren
grub-install /dev/sdX
Installation auf allen teilnehmenden Platten (/dev/sda, /dev/sdb ...) empfohlen!
update-grub

6. chroot-Umgebung verlassen und neustarten

==Root-Directory==
Die Root-Directory-Methode kann man immer dann wählen, wenn man sicher ist, dass die Datei grub.cfg richtig ist und GRUB 2 nur deswegen nicht richtig startet, weil er nicht oder nicht mehr bzw. nicht mehr richtig im Bootsektor oder dem MBR der betreffenden Festplatte installiert ist. Diese Situation hat man z.B. stets, '''nachdem Windows nach Ubuntu auf dem System installiert wurde'''. Diese Methode erfordert zwar weniger Einzelschritte, ist dabei aber auch weniger flexibel und erlaubt nicht so viele Reparaturoptionen wie die chroot-Methode.

Bei dieser Variante wird GRUB 2 einfach in einem Terminal[2] von der Desktop-CD mittels des GRUB-2-Skripts grub-install erneut auf der Festplatte installiert:

1. Desktop-Image laden
2. Root-Partition mounten
sudo mount /dev/sdXY /mnt
3. Optional
Nutzt man auf dem System eine separate Boot-Partition, so muss diese ebenfalls vorab eingehängt werden:
sudo mount /dev/sdXY /mnt/boot
Nutzt man auf seinem Rechner das "(U)EFI"-Bootverfahren, so muss die relevante Bootpartition vorab eingehängt werden mit:
sudo mount /dev/sdXY /mnt/boot/efi

4. Devices von USB/CD einbinden Live-System
sudo mount --bind /dev/ /mnt/dev
5. grub installieren
GRUB 1.98 und vorher (bis Maverick Meerkat):
sudo grub-install --root-directory=/mnt /dev/sdX
GRUB 1.99 und später:
sudo grub-install --boot-directory=/mnt/boot /dev/sdX
sudo update-grub

=Troubleshoot=