7. Kommunikationsdienste

Von den Optionen werden nur einige vorgestellt:

-j	gibt die Auftragskennung aus
-m	Sendet an der Aufrufer einen mail-Mitteilung über den Erfolg der Kopieraktion
-n	Empfänger-Loginname Der Empfänger wird per mail über den Kopiervorgang informiert.

uux [-jmu] Kommandostring

Knotenname[~Loginname]Kommando

Mit "uux Konotenname!login" kann man sich auf dem fremden Rechner anmelden, als ob man an einem seiner Terminals wäre. Dazu wird oft aber auch das folgende Kommando angeboten:

cu [Optionen] Knotenname

Die uu-Kommandogruppe kennt noch eine Reihe weiterer Kommandos für den Verkehr zwischen UNIX-Rechnern - siehe weiterführende Literatur. uucp-Verbindungen sind jedoch in jedem Fall für Mail, Netnews und gelegentliche Dateitransfers ausreichend. Sehr viel komfortabler wird es jedoch, wenn über Netzwerkkabel, Standleitung, Modemverbindung oder sogar Satellitenfunk die einzelnen Systeme direkt vernetzt sind.

7.2.2 Die Internet-Protokollfamilie

Dieses Kapitel geht davon aus, dass Sie Ihren Linux-Rechner an ein schon bestehendes lokales Netzwerk anschließen möchten. Für die Verbindung zum Internet von zuhause aus empfehle ich generell die Anschaffung eines passenden Routers (ISDN, DSL etc.). Derartige Geräte sind inzwischen so preiswert geworden, dass die Kosten den Gewinn an Bequemlichkeit und vor allem Sicherheit bei weitem aufwiegen. Der Router wird gemäß der Hersteller- und Provideramgaben konfiguriert und ermöglicht dann jedem Rechner im Netz den Internetzugang. Gleichzeitig schützt er das Netz durch seine Firewall-Funktionen.

Die Installation und Initialisierung von TCP/IP komplett zu beschreiben, würde die Grenzen dieses Skripts sicherlich sprengen. Eine solche Beschreibung ist auch ziemlich überflüssig, da nahezu jeder Hersteller eigene Installationsroutinen zur Verfügung stellt. Leider sind diese unter Unix nicht einheitlich, jedoch läuft die Einrichtung von TCP/IP zumeist schon während der Installation des Betriebssystems ab. Aus diesem Grund beschränke ich mich hier auf eine kurze Zusammenfassung der wichtigsten Punkte und auf die allgemein wichtigen Kommandos und Konfigurationsdateien.

Für weitergehende Information zur Netzwerktechnik sei auf das Skript Praktische Einführung in Computernetze verwiesen. Mehr über das Internet finden Sie im Skript Internet-Einführung.

Was braucht man eigentlich alles, um einen Linux-Rechner ans Netz zu bringen? Eine Netzwerkkarte - klar! Diese wird in der Regel schon bei der Installation erkannt und das passende Kernel-Modul eingebunden. Feststellen lässt sich das mit dem Kommando dmesg | more. Dann brauchen Sie noch eine IP-Adresse, die Netzmaske, die Netzwerkadresse sowie Broadcast- und Gateway-Adresse.

Beim derzeit aktuellen IP-Protokoll V4 ist jede Netzwerk-Adresse eine 32-stellige Binärzahl. Weil aber nun 32 Nullen und Einsen etwas unübersichtlich sind, hat man daraus einfach vier Gruppen zu je acht Stellen gemacht und schreibt diese vier Gruppen als Dezimalzahlen auf. Nachdem bei jeder Zahl Werte zwischen 0 und 255 auftreten können, schrebt man noch einen Punkt zwischen die Zahlen. Heraus kommt dabei z. B. 105.22.234.1 (was besser lesbar ist als binär 01101001000101101110101000000001).

Rechner in lokalen Netzen sind für das Internet im Regelfall unsichtbar. Das bedeutet aber nicht, dass die Rechner keine Internetfunktionen nutzen können. Aber diese Rechner sind vor unkontrollierten Zugriffen aus dem Internet geschützt. Rechner, die weltweit kommunizieren sollen, bekommen vom jeweiligen Internet Service Provider eine IP-Adresse zugeteilt. Im LAN ohne direkte Internet-Verbindung braucht man aber nur IP-Adressen, die im jeweiligen Netz eindeutig sein müssen, nicht aber weltweit. Es wurden daher im IP-Zahlenraum drei Bereiche für lokale Netzwerke reserviert, die man jederzeit verwenden darf:

10.0.0.0 - 10.255.255.255 (A-Netz)
172.16.0.0 - 172.31.255.255 (B-Netze)
192.168.0.0 - 192.168.255.255 (C-Netze)

Der erste Bereich ermöglicht theoretisch ein Netz mit 16 Millionen Rechnern - das reicht auch für sehr große Firmen. Beim zweiten Bereich handelt es sich um 16 Teilnetze mit je ca. 65 000 Adressen (z. B. 172.23.0.0 bis 172.23.255.255). Der dritte Bereich besteht aus 256 kleinen Teilnetzen mit jeweils 254 Adressen. Ganz egal, in welchem Teilnetz Sie Ihr lokales Netz bilden - es ist sichergestellt, dass es zu keinen Adresskonflikten mit richtigen IP-Internetadressen kommt.

Meist wollen Sie freilich auch innerhalb des lokalen Netzes Internetfunktionen nutzen (beispielsweise im Web surfen). Um dies zu ermöglichen, muss innerhalb des lokalen Netzwerks ein Rechner bzw. der oben erwähnte Router als sogenanntes Gateway zum Internet konfiguriert werden. Dieser Rechner/Router stellt die Verbindung zum Internet her (über DSL, ISDN, Modem etc.) und leitet alle Internetanforderungen des lokalen Netzes weiter. Das Gateway hat außerdem die Aufgabe, die lokalen IP-Adressen durch eine weltweit gültige IP-Adresse zu ersetzen. Sie suchen sich also ein (Teil-)Netz aus dem oben angegebenen Nummernkreis und vergeben daraus die Rechner-IP-Adressen.

Nun kommen Netzmaske, Netzwerk- und Broadcast-Adresse ins Spiel. Die Ausdehnung eines lokalen Netzes wird durch die Netzmaske eingeschränkt. Dabei handelt es sich abermals um vierteilige Zifferngruppen, die intern als Bitmuster für IP-Adressen verwendet werden. Die Netzmaske legt fest, welcher Teil der IP-Adresse die Netzwerkadresse ist und welcher die Rechneradresse innerhalb des Netzes (das sorgt nicht nur dafür, dass mehrere lokale IP-Netze dasselbe Kabel verwenden können, ohne sich gegenseitig zu stören, sondern es macht auch den Routern das Leben leichter. Die Netzmaske hat bei allen Stellen, welche die Netzwerkadresse repräsentieren, eine 1 stehen und dahinter lauter Nullen (z. B.: 11111111111111110000000000000000 entspricht 255.255.0.0). Die Netzwerkadresse hat an den Stellen, welche den Rechner (Host) repräsentieren, Nullen stehen. Die Broadcast-Adresse (Broadcast = Rundruf, an alle) hat beim Rechneranteil lauter Einsen. Dazu ein Beispiel:

Wenn das lokale Netz alle Nummern 192.168.12.x umfasst, lautet die dazugehörige Netzmaske 255.255.255.0, die Netzwerkadresse 192.168.12.0 und die Broadcast-Adresse 192.168.12.255. (Bei manchen Konfigurationsprogrammen brauchen Sie keine Netzwerkadresse anzugeben, da sich diese aus den beiden anderen Adressen ergibt.) Das resultierende Netzwerk wird jetzt mit 192.168.12.0/255.255.255.0 oder kurz mit 192.168.12.0/24 bezeichnet. (Die Kurzschreibweise gibt die Anzahl der binären Einser der Netzmaske an.) Zwei Rechner mit den IP-Adressen 192.168.12.71 und 192.168.12.72 können sich in diesem Netzwerk also direkt miteinander verständigen (weil die IP-Adressen im Bereich der Netzmaske übereinstimmen). Die maximale Anzahl von Rechnern, die gleichzeitig in diesem Netz kommunizieren können, beträgt 254 (.1 bis .254) - die Nummern .0 und .255 sind ja reserviert.

Ein Gateway ist ein Router oder Rechner, der an der Schnittstelle zwischen zwei Netzen steht (oft zwischen dem lokalen Netz und dem Internet). Damit Ihr Unix/Linux-Rechner in einem lokalen Netz auf das Internet zugreifen kann, muss bei der Konfiguration die Gateway-Adresse angegeben werden. Die Gateway-Adresse bezeichnet also einen Rechner, der ebenfalls im lokalen Netz steht - z. B. mit der IP-Adresse 192.168.12.254. Dieser Rechner hat insofern eine Sonderstellung, als er mit dem Internet in Verbindung steht. Dort hat er eine (vom Provider zugeteilte) gültige IP-Adresse. Der Internetverkehr des gesamten lokalen Netzwerks erfolgt über den Gateway-Rechner, der jeweils die interne IP-Adresse eines jeden Datenpakets in die "offizielle" umsetzt und beim Antwortpaket umgekehrt verfährt (NAT, Network Address Translation).

Ein Nameserver ist ein Programm, das Rechnernamen bzw. Internetadressen (z. B. www.netzmafia.de) in IP-Adressen übersetzt. Bei kleinen Netzen erfolgt die Zuordnung zwischen Namen und Nummern oft über eine Tabelle (Datei /etc/hosts). Im Internet übernehmen Rechner mit entsprechenden Datenbanken diese Aufgabe. Statt des Begriffs Nameserver ist auch die Abkürzung DNS für Domain Name Server oder Domain Name Services üblich. Wenn Sie in einem Webbrowser die Site www.netzmafia.de ansehen möchten, wird daher als Erstes der Nameserver des Providers kontaktiert, um die IP-Adresse des Netzmafia-Webservers herauszufinden. Erst nachdem das gelungen ist, wird eine Verbindung mit dieser IP-Adresse hergestellt.

Die Abkürzung DHCP steht für Dynamic Host Configuration Protocol. DHCP wird oft in lokalen Netzwerken verwendet, um die Administration des Netzwerks zu zentralisieren. Anstatt bei jedem Rechner getrennt die IP-Adresse, das Gateway, den Nameserver etc. einzustellen, wird der Router oder ein Rechner als DHCP-Server konfiguriert. Alle anderen Rechner im lokalen Netzwerk nehmen beim Systemstart Kontakt mit dem DHCP-Server auf und fragen diesen, welche Adressen und Einstellungen sie verwenden sollen. Damit reduziert sich die Client-Konfiguration auf ein Minimum.

Eine besondere Rolle spielt noch das Loopback-Interface: Diese Schnittstelle ermöglicht die Verwendung des Netzwerkprotokolls für lokale Dienste, also zur Kommunikation innerhalb des Rechners. Das klingt vielleicht widersinnig, ist aber für viele elementare Linux-Kommandos erforderlich. Der Grund: Manche Kommandos bauen ihre Kommunikation auf dem Netzwerkprotokoll auf, ganz egal, ob die Daten lokal auf dem Rechner bleiben oder über ein Netz auf einem fremden Rechner weiterverarbeitet werden. Ein Beispiel dafür ist der Druckerdämon lpd, der das Spooling für den Drucker übernimmt und sowohl lokal als auch von fremden Rechnern genutzt werden kann. Auch das X-Protokoll für die grafische Bedineroberfläche arbeitet netzwerkbasiert.

Als IP-Adresse für das Loopback-Interface ist immer 127.0.0.1 vorgesehen. Alle Distributionen kümmern sich automatisch um die Konfiguration des Loopback-Interface, auch wenn ansonsten keine Netzwerkkonfiguration durchgeführt wird. Dieser Adresse ist in der Regel auch der Name localhost zugeordnet.

Für die Konfiguration des Netzwerks eines Unix/Linux-Rechers gibt es mehrere Möglichkeiten:

• Ihr Rechner ist nicht Teil eines lokalen Netzes: Abgesehen von 127.0.0.1 für das Loopback-Interface benötigen Sie gar keine IP-Adresse. Ihre einzige Konfigurationsaufgabe besteht darin, Domain- und Hostnamen anzugeben.
• Ihr Rechner ist Teil eines bestehenden lokalen Netzes: Die IP-Adresse muss sich innerhalb der gültigen Adressen für dieses Netzwerk befinden (z. B. 192.168.67.*) und sie muss darin eindeutig sein. Falls es im Netz einen DHCP-Server gibt, brauchen Sie keine IP-Adresse anzugeben, müssen aber festlegen, dass der Rechner als DHCP-Client arbeiten soll.
• Ihr Rechner soll ein lokales Netz gründen: Entscheiden Sie sich für einen privaten IP-Adressraum (z.B.10.10.10.*) und weisen Sie dem Rechner eine IP-Adresse daraus zu.
  • Sie müssen auf jeden Fall Rechnernamen und Nameserver angeben. Optional kann der Hostname auch via DHCP eingestellt werden. Hier erfolgt auch die Nameserver-Konfiguration. Falls es einen DHCP-Server gibt, stellt dieser die IP-Adressen von mindestens einem Nameserver zur Verfügung. Nur wenn das nicht der Fall ist, müssen Sie die Adressen selbst eingeben.
  • Im Routing-Dialog müssen Sie normalerweise nur die IP-Adresse des Internet-Gateways Ihres Netzwerks eingeben. Falls es einen DHCP-Server gibt, überträgt er diese Information und das Eingabefeld "Standard-Gateway" darf leer bleiben.

7.3 Netzwerk-Konfiguration

• das Loopback-Interface,
• Broadcast-Interfaces und
• Point-to-Point-Interfaces.

Auf den (Hardware-)Treiber des Netzwerk-Interface wird aus diesem Grund nicht weiter eingegangen, es soll bei den folgenden Anmerkungen bleiben. Um festzustellen, ob überhaupt ein Treiber geladen wurde, genügt das Kommando

dmesg | more

...

8139cp 10/100 PCI Ethernet driver v0.0.6 (Nov 19, 2001)
8139cp: pci dev 00:0f.0 (id 10ec:8139 rev 10) is not an 8139C+ compatible chip
8139cp: Try the "8139too" driver instead.
8139too Fast Ethernet driver 0.9.24
PCI: Found IRQ 9 for device 00:0f.0
eth0: RealTek RTL8139 Fast Ethernet at 0xe081af00, 00:00:e8:76:2f:ea, IRQ 9
eth0:  Identified 8139 chip type 'RTL-8139A'

...

Um die Parameter eines Netzwerk-Interfaces anzusehen oder um eine optimale Performance zu erzielen, braucht man ein Programm, das die Konfiguration des Interfaces gestattet. Unter Linux gibt es dafür "ethtool". Leider arbeiten nicht alle Treiber mit dem Programm zusammen.

In der Regel funktioniert eine Verbindung im Ethernet auch ohne weitere Konfiguration. Um die verfügbare Bandbreite optimal auszunutzen, gilt es einige Grundregeln: Die Duplexeinstellung muss bei beiden Linkpartnern gleich sein. Also entweder beide Seiten eines Link auf Autonegotiation oder beide Seiten fest auf die selben Parameter einstellen. Viele preiswerte Switches bieten keine Einstellmöglichkeiten und arbeiten immer mit Autonegotiation. Die Netzwerkkarten der angeschlossenen Clients müssen also auch auf "Auto" stehen.

Zur Anzeige der aktuellen Parameter wird "ethtool" mit dem entsprechenden Interface als Parameter aufgerufen. Hier die Ausgabe für das Interface eth0:

netzmafia:~# ethtool eth0
Settings for eth0:

        Supported ports: [ TP MII ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
        Supports auto-negotiation: Yes
        Speed: 10Mb/s
        Duplex: Half
        Port: MII
        PHYAD: 0
        Transceiver: internal
        Auto-negotiation: off
        Supports Wake-on: d
        Wake-on: d

Mit ethtool ist es auch möglich, Einstellungen der Netzwerkkarte zu verändern. Das folgende Kommando stellt das Interface eth0 auf 100 MBit/s und Halbduplex ein.

ethtool -s eth0 speed 100 duplex half

ethtool -s eth0 autoneg on

ethtool -s eth0 wol <argument>

        p  Wake on phy activity
        u  Wake on unicast messages
        m  Wake on multicast messages
        b  Wake on broadcast messages
        a  Wake on ARP
        g  Wake on MagicPacket(tm)
        s  Enable SecureOn(tm) password for MagicPacket(tm)
        d  Disable (wake on nothing).  

ethtool -s eth0 sopass xx:yy:zz:aa:bb:cc

Neuere Netzwerkkarten haben mitunter die Möglichkeit, eine LED manuell blinken zu lassen. Das ist zum Identifizieren einer Karte in komplexen Umgebungen sehr hilfreich. Dazu dient der Parameter "-p":

ethtool -p eth1

7.3.1 Hostname und DNS

Setzen des Hostnamens

hostname name

/etc/hosts

Um sicherzustellen, daß alle Programme ausschließlich /etc/hosts verwenden, um die Adresse eines Systems zu suchen, müssen Sie ggf. die Datei /etc/nsswitch.conf editieren. Interessant ist die Zeile, die mit "hosts:" beginnt. Dort sollte "files dns" stehen, was bedeutet, daß erst in der lokalen Datei /etc/hosts nachgesehen und dann erst ein Nameserver kontaktiert wird. Typischerweise sieht die Datei im Ausschnitt so aus:

# /etc/nsswitch.conf
#
...
hosts:          files dns
networks:       files
...

Die Datei hosts enthält einen Eintrag pro Zeile, bestehend aus der IP-Adresse, dem Hostnamen und einer optionalen Liste von Aliasen für den Hostnamen. Die Felder sind durch Leerzeichen oder Tabulatoren voneinander getrennt, und das Adreßfeld muß in Spalte eins beginnen. Ein Doppelkreuz (#) leitet immer einen Kommentar ein.

Namen können entweder mit voller Domainangabe (Full Qualified Domain Name, FQDN) oder relativ zur lokalen Domain sein. So ist das System sowohl unter seinem offiziellen als auch unter dem kürzeren lokalen Namen bekannt. Man kann in der Datei auch die Namen und IP-Adressen beliebiger anderer Rechner eintragen. Immer notwendig ist der Eintrag für den Rechner selbst, "127.0.0.1 localhost", denn sonst funktionieren gewisse Dienste (z.B. lpd) nicht.

Für alle folgenden Beispiele werden für die Rechnernamen Schneewittchen und die sieben Zwerge (in der englischen Fassung von Walt Disney) verwendet. Damit keine Kollision mit real existierenden Internet-Domains auftreten, kann man als Domainnamen beispielsweise "zwerge.local" nehmen. Als Netz verwenden wir das private B-Netz 172.20.y.x - und davon sogar nur ein C-Subnetz, 172.20.20.x.

Das folgende Beispiel zeigt, wie die Datei /etc/hosts im Zwergenwald aussehen könnte.

#
# Hostdatei fuer Snowwhite and Friends
#
# IP            FQDN                        Aliase
127.0.0.1       localhost

# die Zwerge
10.27.210.17    snowwhite.zwerge.local    snowwhite
10.27.210.18    doc.zwerge.local          doc
10.27.210.19    happy.zwerge.local        happy
10.27.210.20    bashful.zwerge.local      bashful
10.27.210.21    sneezy.zwerge.local       sneezy
10.27.210.22    sleepy.zwerge.local       sleepy
10.27.210.23    grumpy.zwerge.local       grumpy
10.27.210.24    dopey.zwerge.local        dopey
...

Jetzt wissen Sie auch, daß der Eintrag "127.0.0.1 www.microsoft.com" in der /etc/hosts beispielsweise zu komischen Effekten führen würde (welchen?).

/etc/networks

# /etc/networks
zwergenwald      172.20.20.0

/etc/nsswitch.conf

In der Datei /etc/nsswitch.conf kann der Systemadministrator eine Vielzahl verschiedener Datenbanken konfigurieren. Wir besprechen hier nur diejenigen Optionen, die sich auf die Auflösung von Host- und Netzwerk-IP-Adressen beziehen. Optionen in /etc/nsswitch.conf müssen in getrennten Zeilen erscheinen, wobei die Argumente durch Leerzeichen oder Tabulatorzeichen voneinander getrennt sein müssen. Ein Doppelkreuz (#) leitet einen Kommentar ein, der sich bis zum Zeilenende erstreckt. Jede Zeile beschreibt einen bestimmten Dienst, z.B. die Auflösung von Hostnamen. Das erste Feld jeder Zeile gibt den Namen der Datenbank an und endet mit einem Doppelpunkt. Der Rest jeder Zeile enthält Optionen, die die Art des Zugriffs auf die betreffende Datenbank regeln. Die folgenden Optionen sind verfügbar:

dns	Verwendet das Domain Name System (DNS) zur Auflösung der Adresse. Das macht allerdings nur Sinn bei der Auflösung von Hostadressen, nicht von Netzadressen. Der Mechanismus benutzt die Datei /etc/resolv.conf.
files	Durchsucht eine lokale Datei nach den Host- oder Netznamen und ihren zugehörigen IP-Adressen. Diese Option verwendet die traditionellen Dateien /etc/hosts und /etc/networks.
nis oder nisplus	Verwendet das Network Information System (NIS) zur Auflösung einer Host- oder Netzadresse.

In der Reihenfolge, in der die Dienste angegeben sind, werden sie auch abgefragt, wenn ein Name aufgelöst werden soll. Anspruch genommen, in der sie aufgelistet sind. Diese Liste befindet sich in der Datei /etc/nsswitch.conf in dem Abschnitt, in dem die Beschreibung der Dienste erfolgt. Die Dienste werden von links nach rechts abgefragt, und die Suche wird standardmäßig beendet, wenn ein Wert (oder Name) erfolgreich aufgelöst wurde. Zum Beispiel:

# /etc/nsswitch.conf
#
hosts:          dns files
networks:       files

Sie können das Suchverhalten noch genauer kontrollieren, indem Sie zusätzlich Aktionen (action items) angeben, die festlegen, welche Aktion nach dem jeweils letzten Namensauflösungsversuch durchgeführt werden soll. Auf diese Erweiterungen wird an dieser Stelle nicht weiter eingegangen.

/etc/resolv.conf

Die wichtigste Option in /etc/resolv.conf ist daher nameserver, welche die Adresse eines Name-Servers angibt. Wenn Sie die Option mehrmals angeben, werden die Server in der angegebenen Reihenfolge verwendet. Deshalb sollten Sie unbedingt den zuverlässigsten Server an erster Stelle eintragen. Wenn Sie keinen Name-Server eintragen, nimmt der Resolver an, daß einer auf der lokalen Maschine läuft. Gegenwärtig werden bis zu drei nameserver-Einträge in /etc/resolv.conf unterstützt.

Zwei weitere Befehle, domain und search, geben Domainnamen an, die der Resolver an einen Namen anhängt, wenn die zugehörige Adresse beim ersten Versuch nicht gefunden wird. Mit domain können Sie eine Default-Domain angeben, die immer dann angehängt werden soll, wenn ein Name nicht aufgelöst werden konnte. Wird dem Resolver z.B. der Name "sleepy" übergeben, findet dieser den Namen "sleepy." nicht im DNS, da es eine solche Top-Level-Domain nicht gibt. Wird "zwerge.local" als Standarddomäne angegeben, wiederholt der Resolver seine Anfrage und hängt diese Standarddomäne an den Hostnamen an. Die Abfrage nach "sleepy.zwerge.local" ist nun erfolgreich (natürlich nur, wenn es einen Nameserver gibt).

Mit der Option search kann eine Suchliste angegeben werden, gewissermaßen eine Verallgemeinerung der domain-Anweisung. Während bei domain nur eine einzelne Domain angeben werden darf, akzeptiert search eine ganze Liste davon, deren Einträge alle der Reihe nach durchprobiert werden, bis ein gültiger DNS-Eintrag gefunden wird. Die einzelnen Namen der Liste müssen durch Leerzeichen oder Tabulatoren voneinander getrennt werden.

Die Befehle search und domain schließen einander aus und dürfen höchstens einmal auftauchen. Wenn keiner der beiden Befehle angegeben ist, versucht der Resolver, die Default-Domain mit Hilfe der Systemfunktion getdomainname(2) aus dem lokalen Hostnamen zu raten. Hat der Hostname keinen Domain-Teil, wird als Default-Domain die Root-Domain (.) angenommen.

Werfen Sie einen Blick auf die Datei resolv.conf des Zwergenwaldes:

# /etc/resolv.conf
# Unsere Domain
domain         zwerge.local
#
# Wir benutzen "doc" als zentralen Name-Server:
nameserver     172.20.20.1

Zur Konfiguration der Ethernet-Schnittstellen und Initialisierung der Routing-Tabelle sind zwei Befehle von besonderer Bedeutung, nämlich ifconfig (Interface-Konfiguration) und route und deren aktueller Nachfolger ip.

7.3.2 Schnittstellenkonfiguration mit ifconfig und route

• das Loopback-Interface,
• Broadcast-Interfaces und
• Point-to-Point-Interfaces.

ifconfig dient dazu, eine Schnittstelle für die Netzwerkschicht des Kernels sichtbar zu machen. Das beinhaltet die Zuweisung einer IP-Adresse und verschiedener anderer Parameter sowie die Aktivierung des Interface, damit der Kernel die IP-Pakete über diese Schnittstelle senden und empfangen kann. Die einfachste Art, es aufzurufen, ist:

ifconfig <interface> <ip-addresse> netmask <maske>

Initialisiert wird das Loopback-Interface durch das Kommando:

ifconfig lo 127.0.0.1

ifconfig eth0 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255

Neben den Broadcast-Schnittstellen gibt es noch die sogenannten Point-to-Point-Schnittstellen. Sie sind dadurch gekennzeichnet, daß man nur über sie ein anderes System erreichen kann. Beispiele sind SLIP (Serial Line IP) und das Point-to-Point-Protokoll PPP, die Verbindungen über die serielle Schnittstelle oder per Modem/ISDN-Adapter WAN-Verbindungen zulassen. Die Initialisierung einer Point-to-Point-Schnittstelle hat z.B. die folgende Form:

ifconfig ppp0 192.168.1.1 192.168.1.2 netmask 255.255.255.240

So eine PPP-Verbindung bildet ein eigenständiges Netzwerk. Sollen mehrere Verbindungen kombiniert werden, so muß eine Unterteilung in Subnetze erfolgen. Das heißt, daß eine entsprechende Netzmaske gewählt werden muß.

ifconfig kennt eine ganze Reihe von Optionen. Der allgemeine Programmaufruf lautet:

ifconfig interface [address [parameters]]

Ein Aufruf nur mit dem Interface-Namen gibt die Konfiguration des Interface aus. Wird es ganz ohne Parameter aufgerufen, zeigt es alle bisher konfigurierten Schnittstellen an; die Option -a erzwingt zusätzlich die Anzeige der inaktiven. Beispiel:

# ifconfig eth0
eth0      Link encap 10Mbps Ethernet  HWaddr 00:00:C0:90:B3:42
          inet addr 172.20.20.2 Bcast 172.20.20.255 Mask 255.255.255.0
          UP BROADCAST RUNNING  MTU 1500  Metric 0
          RX packets 3136 errors 217 dropped 7 overrun 26
          TX packets 1752 errors 25 dropped 0 overrun 0

Die folgende Liste zeigt die Parameter, die ifconfig versteht; die Namen der zugehörigen Flags stehen in Klammern. Optionen, die eine bestimmte Eigenschaft des Interface aktivieren, können mit vorangestelltem Minuszeichen (-) auch benutzt werden, um ihn wieder auszuschalten.

up	Aktiviert ein Interface für die IP-Schicht des Kernels. Sie wird impliziert, wenn auf der Kommandozeile eine Adresse angegeben ist. Sie kann auch dazu benutzt werden, ein Interface zu reaktivieren, wenn es mit der down-Option temporär deaktiviert wurde. Entspricht den Flags UP und RUNNING.
down	Markiert eine Schnittstelle als inaktiv, d.h. unzugänglich für die Netzwerkschicht. Dadurch wird jeglicher IP-Transport durch die Schnittstelle unterbunden. Beachten Sie, daß dadurch automatisch alle Routing-Einträge gelöscht werden, die diese Schnittstelle verwenden.
netmask Maske	Weist des Interface eine Subnetzmaske zu. Sie kann entweder als eine 32-Bit-Hexadezimalzahl (mit führender 0x) oder als dotted quad (Beispiel: 255.255.255.0) angegeben werden.
pointopoint Adresse	Wird für Punkt-zu-Punkt-Verbindungen benutzt, die nur zwei Hosts miteinander verbinden. Sie wird beispielsweise für die Konfiguration von SLIP- und PLIP-Schnittstellen benötigt und teilt dem Kernel die IP-Adresse des anderen Systems mit. Falls eine Punkt-zu-Punkt-Adresse gesetzt wurde, zeigt ifconfig das POINTOPOINT-Flag an ("pointopoint" wird wirklich so geschrieben).
broadcast Adresse	Die Broadcast-Adresse wird normalerweise aus der Netzwerknummer gebildet, indem alle Bits des Hostanteils auf eins gesetzt werden. Einige IP-Implementierungen verwenden dagegen eine Broadcast-Adresse, bei der die Bits des Hostteils auf null gesetzt sind. Die Option broadcast dient dazu, Ihre Konfiguration an eine derartige Umgebung anzupassen. Wenn dem Interface eine Broadcast-Adresse zugeordnet wurde, gibt ifconfig das Flag BROADCAST aus.
metric Wert	Dem Routing-Tabellen-Eintrag des Interface einen Metrikwert zuordnen. Dieser Wert wird beispielsweise vom Routing Information Protocol (RIP) berücksichtigt, wenn es Routing-Tabellen für Ihr Netz erstellt. Die Default-Metrik, die ifconfig einem Interface zuweist, ist 0. Wenn Sie das Routing in Ihrem Netz nicht mit RIP regeln, benötigen Sie diese Option nicht; aber auch sonst wird die Option selten benutzt.
mtu Bytes	Setzen der Maximum Transmission Unit (MTU), d.h. die maximale Anzahl von Bytes, die das Interface in einer Transaktion behandeln kann. Für Ethernets liegt der Defaultwert bei 1500; für SLIP beträgt er 296.
arp	Kann nur für Broadcast-fähige Netz wie Ethernet verwendet werden. Ermöglicht die Benutzung von ARP zur Zuordnung von IP-Adressen zu physikalischen Adressen. Für Broadcast-Netze wird sie per Voreinstellung eingeschaltet. Ist ARP abgeschaltet, zeigt ifconfig das NOARP-Flag an. -arp schaltet ARP explizit aus.
promisc	Versetzt die Schnittstelle in den promiscous mode. Auf Broadcast-Netzen hat das zur Folge, daß die Schnittstelle alle Pakete unabhängig davon empfängt, ob sie für einen anderen Host bestimmt sind oder nicht. Dadurch kann man den Netzwerkverkehr mit Paketfiltern wie tcpdump analysieren. -promisc schaltet den Modus ab.
allmulti	Multicast-Adressen sind wie Ethernet-Broadcast-Adressen, mit der Einschränkung, daß sie nicht automatisch jeden möglichen Adressaten berücksichtigen, sondern nur solche, die ausdrücklich zum Empfang vorgesehen (programmiert) sind. Sie eignen sich besonders für Anwendungen wie Ethernet-basierte Videokonferenzen oder Audioübertragungen übers Netz, die nur an Interessierte gerichtet sind. -allmulti schaltet Multicast-Adressen ab.

Das route-Kommmando

route [add|del] [-net|-host] <target> [dev <if>]

Den Rechner konfigurieren

ifconfig lo 127.0.0.1

Manchmal wird anstelle der IP-Adresse auch der Name localhost verwendet. Der Befehl ifconfig sucht diesen Namen in der Datei /etc/hosts, wo er als Hostname für 127.0.0.1 definiert sein muß.

Zur Anzeige der Konfiguration eines Interface rufen Sie ifconfig mit dem Namen des Interface auf. Ganz ohne Parameter wird die Konfiguration aller Interfaces gezeigt:

ifconfig lo
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:3924  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Collisions:0

Nun fehlt noch ein Eintrag in der Routing-Tabelle, der festlegt, daß dieses Interface als Route für das Zielsystem 127.0.0.1 dient. Dazu geben Sie folgendes ein:

route add 127.0.0.1

Es wäre auch möglich, das Netz von localhost einzutragen:

route add -net 127.0.0.0

ping localhost
PING localhost (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.4 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=255 time=0.4 ms
^C
--- localhost ping statistics ---

3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.4/0.4 ms

Die bisher beschriebenen Schritte reichen aus, um Netzwerk-Programme auf einem alleinstehenden Rechner zu benutzen. Die oben angegebenen Zeilen müssen in das Netzwerk-Initialisierungsskript eingetragen werden, damit sie beim Systemstart ausgeführt werden. In der Regel wird zumindest die Konfiguration von "lo" beim Installieren des Systems bereits erledigt. Zur Einstimmung war das obige aber keine schlechte Übung. Nun sollte zum Beispiel telnet localhost eine telnet-Verbindung aufbauen und Ihnen den Login-Prompt Ihres Systems geben.

Die Konfiguration von Ethernet-Schnittstellen geht fast genauso vonstatten wie eben. Man braucht nur ein paar Parameter mehr, um auch Subnetze verwenden zu können.

Im Zwergenwald wird vom Klasse-B-Netz nur ein C-Subnetz verwendet. Um dies dem Interface mitzuteilen, sieht der ifconfig-Aufruf so aus:

ifconfig eth0 172.20.20.2 netmask 255.255.255.0

ifconfig eth0 doc netmask 255.255.255.0

ifconfig eth0
eth0      Link encap 10Mps Ethernet HWaddr  00:00:C0:90:B3:42
          inet addr 172.20.20.2 Bcast 172.20.20.255 Mask 255.255.255.0
          UP BROADCAST RUNNING  MTU 1500  Metric 1
          RX packets 0 errors 0 dropped 0 overrun 0
          TX packets 0 errors 0 dropped 0 overrun 0

Wie bereits bei der Loopback-Schnittstelle muß noch eine Route eingetragen werden. Für den Zwergenwald gilt:

route add -net 172.20.20.0

Vielleicht haben Sie bemerkt, daß die Angabe des Interface fehlt. Der Kernel prüft alle bisher konfigurierten Interfaces und vergleicht das Zielnetz (in unserem Fall 172.20.20.0) mit der Netznummer der Interface-Adresse, d.h. dem bitweisen UND der Interface-Adresse und der Netzmaske. Die einzige Schnittstelle, bei der diese beiden Werte übereinstimmen, ist eth0.

Die Option -net ist nötig, da route sowohl Routen zu Netzwerken als auch zu einzelnen Hosts einrichten kann. Wenn man route eine IP-Adresse übergibt, versucht das Kommando festzustellen, ob es sich dabei um eine Host- oder Netzadresse handelt, indem es den Hostteil betrachtet. Ist der Hostteil null, wird angenommen, daß es sich um eine Netz-Adresse handelt, andernfalls ist es eine Hostadresse. Deshalb würde route in unserem Beispiel davon ausgehen, daß 172.20.20.0 eine Hostadresse ist (Netz: 172.20.0.0, Host: ...20.0). Da ein Subnetz verwendet wird, braucht das route-Kommando den Parameter "-net".

Unter Verwendung des Eintrags in /etc/networks wird das Kommando einfacher:

route add zwergenwald

Nun sollte man überprüfen, ob das Ethernet tatsächlich arbeitet. Wählen Sie irgendeine bereits konfigurierte Maschine auf Ihrem lokalen Ethernet, z.B. grumpy, und geben Sie folgenden Befehl ein:

# ping grumpy
PING grumpy: 64 byte packets
64 bytes from 172.20.20.1: icmp_seq=0. time=10. ms
64 bytes from 172.20.20.1: icmp_seq=1. time=7. ms
64 bytes from 172.20.20.1: icmp_seq=2. time=8. ms
^C

----doc.zwerge.local PING Statistics----

4 packets transmitted, 4 packets received, 0 packets lost

route -n
Kernel routing table
Destination  Gateway  Genmask         Flags Metric Ref Use    Iface
127.0.0.1    *        255.255.255.255 UH    1      0   112    lo
172.20.20.0   *       255.255.255.0   U     1      0    10    eth0

Die Spalte "Flags" enthält eine Liste von Flags für jedes Interface. U ist für aktive Schnittstellen immer gesetzt. Ein Flag H in dieser Spalte besagt, daß die Zieladresse einen einzelnen Host bezeichnet. Wenn eine eingetragene Route benutzt wird, ändert sich der Wert im Use-Feld ständig.

Bisher wurde eine Maschine auf einem isolierten Ethernet eingerichtet (z.B. in einem Heimnetz). Der Regelfall ist allerdings, daß mehrere Netze durch Gateways miteinander verbunden sind (man will ja auch "nach draußen"). Diese Gateways verbinden zwei oder mehrere Ethernets miteinander, oder sie stellen das Tor zum Internet bereit. Um einen Gateway zu nutzen, muß der Netzwerkschicht zusätzliche Routing-Informationen zur Verfügung stehen.

Zum Beispiel sind die Ethernets des Zwergenwaldes und des Feenreichs durch solch ein Gateway miteinander verbunden, nämlich doc, der bereits konfiguriert sei. Auf allen Maschinen des Zwergenwaldes muß nur noch eine weitere Route eingetragen werden, die angibt, daß alle Maschinen im Netzwerk der Feen über doc erreichbar sind. Der entsprechende Aufruf von route sieht so aus (sofern feenreich in /etc/networks eingetragen wurde):

route add feenreich gw doc

Das war nun ein Gateway, das Pakete zwischen zwei isolierten Netzen befördert. Nehmen Sie nun an, daß doc außerdem eine Verbindung ins Internet hat. Dann wäre es wünschenswert, daß Pakete für beliebige Zieladressen, die nicht im Zwergen-Netz liegen, an doc weitergereicht werden. Das erreicht man, indem doc zum Default-Gateway wird:

route add default gw doc                 oder
route add default gw 172.20.20.1         bei Angabe der IP-Adresse

Es ist ziemlich einfach, eine Maschine als Gateway einzurichten. Nehmen wir an, wir befänden uns wieder auf doc, der mit zwei Ethernet-Karten ausgestattet ist, die jeweils mit einem der beiden Netze verbunden sind. Man muß nur beide Schnittstellen getrennt konfigurieren und ihnen eine Adresse auf dem jeweiligen Subnetz zuzuweisen. Dabei ist es recht nützlich, zusätzlich zum offiziellen Hostnamen doc zwei Namen für die beiden Schnittstellen in /etc/hosts zu definieren:

172.20.20.1      doc.zwerge.local    doc   doc-if1
172.20.21.1      doc-if2

Mit diesen Einträgen lautet die Befehlsreihenfolge für die Einrichtung der beiden Interfaces:

ifconfig eth0 doc-if1 ...
route add zwergenwald
ifconfig eth1 doc-if2 ...
route add feenreich

echo '1' > /proc/sys/net/ipv4/ip_forward

Sie brauchen nicht einmal eine zweite Netzwerkkarte, denn es gibt sogenannte "Device-Aliase". Dies sind virtuelle Geräte, die mit der gleichen physischen Hardware verbunden sind, jedoch gleichzeitig aktiviert werden können, um unterschiedliche IP-Adressen zu haben. Sie werden normalerweise mit dem Gerätennahmen gefolgt von einem Doppelpunkt und einer Zahl dargestellt (zum Beispiel eth0:1). Wenn Sie einen Alias verwenden, können weder das Interface noch der Alias zur Verwendung von DHCP konfiguriert werden. eth0:1 ist der erste Alias für eth0. Der zweite Alias hätte den Namen eth0:2, usw. Die Befehle um beide Netze über eine Netzwerkkarte zu routen, würden lauten:

ifconfig eth0 doc-if1 ...
route add zwergenwald
ifconfig eth0:1 doc-if2 ...
route add feenreich

Die Fehlermeldungen des route-Kommandos sind relativ kryptisch. Bei Linux kann - im Gegensatz zu anderen Unixen - die Metrik-Angabe entfallen. Man kann mehrere Routen zu einem Ziel (mit identischer Netzmaske) eingeben, sofern jeweils ein anderer Gateway angegeben wird.

Fehlermeldungen des route-Kommandos:

• SIODELRT ist eine Fehlermeldung beim Löschen einer Route (DELeting a RouTe)
• SIOADDRT ist eine Fehlermeldung beim Anlegen einer Route (ADDing a RouTe)

SIOCADDRT: Network is unreachable

route add default gw 1.2.3.4
Die angebene Adresse gehört nicht zum eigenen Netzwerk und so kann der Rechner keine Pakete dorthin weiterleiten.

SIOCADDRT: File exists

Die angegebene Route existiert bereits.

SIOCADDRT: No such device

Es wurde das Schlüsselwort gw vor der Default-Gateway-Adresse vergessen; also nicht:
route add -net 10.2.2.76/24 10.1.1.22
sondern:
route add -net 10.2.2.76/24 gw 10.1.1.22

SIOCDELRT No such process

Versuch, eine Route zu löschen, die nicht existiert.

SIOCADDRT: Operation not supported by device

Es wurde das Schlüsselwort gw oder die Gateway-Adresse vergessen; also nicht:
route add -net 10.0.0.0/8 10.1.1.254 oder
route add -net 172.23.24.128/25
sondern:
route add -net 10.0.0.0/8 gw 10.1.1.254 oder
route add -net 172.23.24.128/25 gw 10.1.1.22

SIOCADDRT: Operation not permitted

Sie arbeiten nicht mit root-Berechtigung.

SIOCADDRT: Invalid argument

Falsche Kommandosyntax (z.B. vergessene Netzmaske); also nicht:
route add -net 10.2.2.0 gw 10.1.1.254 oder
route del -net 172.23.0.0
sondern:
route add -net 10.2.2.0 netmask 255.255.255.0 gw 10.1.1.254 oder
route add -net 10.2.2.0/24 gw 10.1.1.254 bzw.
route del -net 172.23.0.0/16 oder
route del -net 172.23.0.0 netmask 255.255.0.0

route: netmask doesn't match route address

Die Netzmaske passt nicht zur Host- und Gateway-Adresse.

route: netmask 00ffffff doesn't make sense with host route

Meist wurde der Parameter -net vergessen. Das Kommando nimmt dann an, dass man eine Host-Route angeben will. Oder man hat bei einer Host-Route eine Netzmaske angegeben.

addr: Unknown host

Meist wurde eine falsche Netzmaske angegebn, die das Kommando falsch interpretiert.

route: bogus netmask 255.255.255.25

Die Netzmaske ist falsch angegeben worden (z.B. '25' oder '2555' statt '255').

Anmerkung: Die Syntax des route-Kommandos variiert von System zu System.

7.3.3 Linux Netzwerk-Konfiguration mit ip

• ip address <parameter> richtet die Netzwerkschnittstellen ein (ersetzt ifconfig),
• ip route <parameter> richtet das Routing ein (ersetzt route),
• ip rule <parameter> richtet Policy Routing ein (erweitertes Routing in Linux) und
• ip neigh <parameter>: Verwaltet die ARP-Tabelle (ersetzt das Kommando arp).

Der ip-Aufruf zeigt wie ifconfig, route und arp den aktuellen Zustand an. Der Befehl horcht auf folgende Syntax:

ip [Optionen] Objekt [Kommando [Argumente]]

ip address add 129.187.206.140/24 dev eth0
ip address add 129.187.206.148/24 dev eth0

ip address add 129.187.206.140/24 dev eth0
ip address add 129.187.206.148/24 dev eth0 label eth0:1

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0e:0c:07:e7:72 brd ff:ff:ff:ff:ff:ff
    inet 129.187.206.140/24 brd 129.187.206.255 scope global eth0
    inet 129.187.206.148/24 brd 129.187.206.255 scope global secondary eth0:1
    inet 129.187.206.149/24 brd 129.187.206.255 scope global secondary eth0:2
    inet 129.187.206.152/24 brd 129.187.206.255 scope global secondary eth0:3
    inet 129.187.206.153/24 brd 129.187.206.255 scope global secondary eth0:4
    inet 129.187.206.154/24 brd 129.187.206.255 scope global secondary eth0:5
    inet 129.187.206.156/24 brd 129.187.206.255 scope global secondary eth0:6
    inet 129.187.206.157/24 brd 129.187.206.255 scope global secondary eth0:7
    inet 129.187.206.158/24 brd 129.187.206.255 scope global secondary eth0:8
    inet6 fe80::20e:cff:fe07:e772/64 scope link
       valid_lft forever preferred_lft forever

ip address del 129.187.206.157/24 dev eth0
ip address del 129.187.206.158/24 dev eth0

ip link set dev eth0 down
ip link set dev eth0 name test0
ip link set dev test0 up

Manchmal sind die Fehlermeldungen von ip etwas irreführend, zum Beispiel:

ip address add 129.187.206.159/24 dev eth0 label eth0:1
RTNETLINK answers: File exists

Der Befehl ip erlaubt auch fortgeschrittenes Routing wie z. B. Policy-Routing. Die Routen können mit folgendem Kommando angezeigt werden:

ip route show
129.187.206.0/24 dev eth0  proto kernel  scope link  src 129.187.206.140
default via 129.187.206.254 dev eth0

Angelegt werden die Routen mittels ip route add und dann der Angabe die praktisch der Ausgabe von ip route show entspricht:

ip route add 127.0.0.0/8 dev lo scope link
ip route add 129.187.206.0/24 dev eth0 proto kernel scope link src 129.187.206.140
ip route add default via 129.187.206.254 dev eth0

• Einrichten der Standard-Route auf 129.187.206.254 als Gateway:
  ip route add default via 129.187.206.254 dev eth0
• Schicken der Pakete in das Netz 192.168.150.0 über die zweite Netzwerkschnittstelle eth1:
  ip route add 192.168.150.0/24 dev eth1
• Schicken dder Pakete des Subnetzes 192.168.200.0/24 über ein Gateway:
  ip route add 192.168.200.0/24 via 192.168.150.1
• Löschen der vorherigen Route aus der Routing-Tabelle:
  ip route del 192.168.200.0/24

7.3.4 Interface 'eth0' ist weg!

Um eth0 wieder zu bekommen, bearbeiten Sie die Datei /etc/default/grub mit Ihrem Lieblingseditor. Suchen Sie nach der Zeile "GRUB_CMDLINE_LINUX..." und fügen Sie die Parameter "net.ifnames=0 biosdevname=0" hinzu. Meist ist die Zeile ursprünglich mit leerem String versehen:

GRUB_CMDLINE_LINUX=""

GRUB_CMDLINE_LINUX="net.ifnames=0 biosdevname=0"

sudo update-grub

sudo grub-mkconfig -o /boot/grub/grub.cfg

Das Programm update-grub erstellt die Datei grub.cfg und damit die Konfiguration für das GRUB-2-Auswahlmenü unter Verwendung der im Verzeichnis /etc/grub.d als ausführbar gesetzten Skripte. grub-mkconfig arbeitet wie update-grub, gibt beim Aufruf ohne Optionen die Konfiguration zur Kontrolle aus und erlaubt es, die Konfiguration in eine andere Datei als die grub.cfg zu schreiben.

7.3.5 Weitere Konfigurationsdateien

Die Datei /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 129.187.206.10
  netmask 255.255.255.0
  network 129.187.206.0
  broadcast 129.187.206.255
  gateway 129.187.206.254
  dns-nameservers 129.187.206.129
  dns-search ee.hm.edu

• auto eth0 legt fest, dass das Device eth0 beim Systemstart mit den angegebenen Daten konfiguriert werden soll.
• iface eth0 inet static spezifiziert eth0 als Device mit den folgenden statischen Konfigurationsdaten.
• address 129.187.206.10 legt die zu verwendende IP-Adresse fest, hier eine Adresse in einem Klasse-C-LAN.
• netmask 255.255.255.0 ist die zum Klasse-C-Netz gehörende Netzmaske.
• network 129.187.206.0 ist die zugehörige Netzadresse.
• broadcast 129.187.206.255 ist die Broadcastadresse.
• gateway 192.168.0.1 legt die Adresse des default-Gateways fest.
• dns-nameservers 129.187.206.254 legt die Nameserver-Adresse fest.
• dns-search ee.hm.edu bezeichnet die lokale Domain.

Die Datei /etc/services

Service-Name Portnummer/Protokoll Service-Aliases

Wichtig: Hier sind nur Portnummern für Server spezifiziert. Client-Programme bekommen beim Verbindungsaufbau eine beliebige, freie Portnummer zugewiesen. So kann der Server wieder auf der Standard-Portnummer aus /etc/services auf einen weiteren Verbindungswunsch warten. Die spezifizierten Portnummern sind auf allen Rechnern im Netz gleich. Die Server-Programme entnehmen dieser Datei, auf welchen Port sie zugreifen müssen. Die Client-Programme finden hier die entsprechenden Portnummern ihrer Server. In /etc/services werden die Portnummern für TCP- und UDP-Dienste spezifiziert. Die Portnummern für diese beiden Transport-Protokolle sind völlig unabhängig voneinander. Trotzdem ist es im allgemeinen üblich, gleiche Portnummern für beide Protokolle zu benutzen, wenn ein Dienst über beide Transportprotokolle verfügbar ist.

Ein Ausschnitt aus /etc/services:

tcpmux            1/tcp                              # TCP port service multiplexer
echo              7/tcp
echo              7/udp
discard           9/tcp          sink null
discard           9/udp          sink null
systat           11/tcp          users
daytime          13/tcp
daytime          13/udp
                   ...
chargen          19/tcp          ttytst source
chargen          19/udp          ttytst source
ftp              21/tcp
#                22 - unassigned
telnet           23/tcp
#                24 - private
smtp             25/tcp          mail
#                26 - unassigned
time             37/tcp          timserver
time             37/udp          timserver
                   ...
www              80/tcp          http         # WorldWideWeb HTTP
www              80/udp                       # HyperText Transfer Protocol
                   ...
pop3             110/tcp                      # POP version 3
pop3             110/udp
                   ...
netbios-ns       137/tcp                      # NETBIOS Name Service
netbios-ns       137/udp
netbios-dgm      138/tcp                      # NETBIOS Datagram Service
netbios-dgm      138/udp
netbios-ssn      139/tcp                      # NETBIOS session service
netbios-ssn      139/udp
imap2            143/tcp                      # Interim Mail Access Proto v2
imap2            143/udp
                   ...

Es gibt bei UNIX zwei Möglichkeiten, einen Netzdienst anzubieten:

• Starten eines eigenen Server-Daemons beim Systemstart
• Starten des Server-Daemons über den Netzwerk-Daemon inetd.

# See "man 8 inetd" for more information.
#
# If you make changes to this file, either reboot your machine or send the
# inetd a HUP signal.
#
#       
#
# These are standard services.
#
ftp         stream     tcp     nowait     root     /usr/sbin/wu.ftpd     wu.ftpd -a
# ftp       stream     tcp     nowait     root     /usr/sbin/in.ftpd     in.ftpd
telnet      stream     tcp     nowait     root     /usr/sbin/in.telnetd  in.telnetd
# nntp      stream     tcp     nowait     root     tcpd     in.nntpd
smtp        stream     tcp     nowait     root     /usr/sbin/sendmail    sendmail -v
printer     stream     tcp     nowait     root     /usr/bin/lpd          lpd -i
#
# Shell, login, exec and talk are BSD protocols.
#
shell       stream     tcp     nowait     root     /usr/sbin/in.rshd     in.rshd -L
login       stream     tcp     nowait     root     /usr/sbin/in.rlogind  in.rlogind
exec        stream     tcp     nowait     root     /usr/sbin/in.rexecd   in.rexecd
# talk      dgram      udp     wait       root     /usr/sbin/in.talkd    in.talkd
# ntalk     dgram      udp     wait       root     /usr/sbin/in.talkd    in.talkd
#
# Kerberos authenticated services
#
# klogin    stream     tcp     nowait     root     /usr/sbin/tcpd     rlogind -k
# eklogin   stream     tcp     nowait     root     /usr/sbin/tcpd     rlogind -k -x
# kshell    stream     tcp     nowait     root     /usr/sbin/tcpd     rshd -k
#
# Services run ONLY on the Kerberos server
#
# krbupdate stream     tcp     nowait     root     /usr/sbin/tcpd     registerd
# kpasswd   stream     tcp     nowait     root     /usr/sbin/tcpd     kpasswdd
#
# Pop et al
#
# pop2      stream     tcp     nowait     root     /usr/sbin/in.pop2d in.pop2d
pop3        stream     tcp     nowait     root     /usr/sbin/popper   popper -s
#
# Comsat - has to do with mail.
#
# comsat    dgram     udp     wait     root        /usr/sbin/tcpd     in.comsat
#
# The Internet UUCP service.
#
# uucp      stream     tcp     nowait     uucp     /usr/sbin/tcpd     /usr/lib/uucp/uucico     -l
#
# Tftp service is provided primarily for booting.  Most sites
# run this only on machines acting as "boot servers."
#
# tftp      dgram     udp     wait     nobody      /usr/sbin/tcpd     in.tftpd
# bootps    dgram     udp     wait     root        /usr/sbin/bootpd   bootpd
#
# Finger, systat and netstat give out user information which may be
# valuable to potential "system crackers."  Many sites choose to disable
# some or all of these services to improve security.
# Try "telnet localhost systat" and "telnet localhost netstat" to see that
# information yourself!
#
finger      stream     tcp     nowait     nobody   /usr/sbin/in.fingerd    in.fingerd   -w
systat      stream     tcp     nowait     nobody   /bin/ps                 /bin/ps      -auwwx
netstat     stream     tcp     nowait     root     /bin/netstat            /bin/netstat -a
ident       stream     tcp     nowait     root     /usr/sbin/in.identd     in.identd
#
# These are to start Samba, an smb server that can export filesystems to
# Pathworks, Lanmanager for DOS, Windows for Workgroups, Windows95, Lanmanager
# for Windows, Lanmanager for OS/2, Windows NT, etc.  Lanmanager for dos is
# available via ftp from ftp.microsoft.com in bussys/MSclient/dos/. Please read
# the licensing stuff before downloading. Use the TCP/IP option in the client.
# Add your server to the \etc\lmhosts (or equivalent) file on the client.
netbios-ssn   stream   tcp     nowait     root    /usr/bin/smbd    smbd
netbios-ns    dgram    udp     wait       root    /usr/bin/nmbd    nmbd
# End.

Als letzte der Konfigurations-Dateien soll die /etc/protocols behandelt werden. Hier werden die über IP arbeitenden Protokolle aufgelistet. Die allgemeine Form eines Eintrags hat die Form:

Protokoll-Name Protokoll-Nummer Protokoll-Aliase ...

Zum Beispiel:

ip   0  IP     # internet protocol, pseudo protocol number
icmp 1  ICMP   # internet control message protocol
igmp 2  IGMP   # internet group multicast protocol
ggp  3  GGP    # gateway-gateway protocol
tcp  6  TCP    # transmission control protocol
egp  8  EGP    # Exterior-Gateway Protocol
PUP 12  PUP    # PARC universal packet protocol
udp 17  UDP    # user datagram protocol
idp     22     IDP        # WhatsThis?
hello 63 HELLO # HELLO Routing Protocol
raw     255     RAW        # RAW IP interface

Die Protokoll-Nummer wird im Header des Internet-Protokolls angegeben.

7.4 Netzwerk-Kommandos

ping

$ ping donald

erhält man je nach System die Meldung "donald is alive." oder es wird pro Sekunde 1 Datenpaket gesendet. Die als Echo zurückkommenden Pakete werden angezeigt. Ab gebrochen wird das Ping-Pong-Spiel durch das Interrupt-Signal (Delete, Ctrl-C). Nach dem Abruch von ping wird noch eine kurze Statistik ausgegeben. (die Wortkarge Variante von ping muß man durch die Option "-s" zur Dauerarbeit bringen). Besonders interessant ist die Angabe "packet loss", also der Prozentsatz der nicht be antworteten Pakete. Bei einer einwand freien Verbindung, insbesondere in einem lokalen Netz, sollte hier eigentlich immer 0% stehen. Im Falle von 100% ist definitiv etwas nicht in Ordnung. Passiert dies bei allen Systemen, so ist das Netz defekt. Beispiel:

$ ping www.ee.hm.edu
PING www.ee.hm.edu (129.187.206.140): 56 data bytes
64 bytes from 129.187.206.140: icmp_seq=0 ttl=242 time=48.9 ms
64 bytes from 129.187.206.140: icmp_seq=1 ttl=242 time=41.9 ms
64 bytes from 129.187.206.140: icmp_seq=2 ttl=242 time=41.3 ms
64 bytes from 129.187.206.140: icmp_seq=3 ttl=242 time=39.9 ms
64 bytes from 129.187.206.140: icmp_seq=4 ttl=242 time=44.9 ms
64 bytes from 129.187.206.140: icmp_seq=5 ttl=242 time=42.9 ms
64 bytes from 129.187.206.140: icmp_seq=6 ttl=242 time=45.4 ms
64 bytes from 129.187.206.140: icmp_seq=7 ttl=242 time=40.5 ms
64 bytes from 129.187.206.140: icmp_seq=8 ttl=242 time=41.4 ms
64 bytes from 129.187.206.140: icmp_seq=9 ttl=242 time=42.3 ms

--- www.eee.hm.edu ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 39.9/42.9/48.9 ms

arp

$ arp -a
Net to Media Table
Device   IP Address  -------             Mask      Flags   Phys Addr
------ --------------------------- --------------- ----- -----------------
le0    brokrz.lrz-muenchen.de      255.255.255.255       00:00:a2:0f:76:97
le0    infoserv.rz.fh-muenchen.de  255.255.255.255       00:e0:29:06:18:d3
le0    flynt.rz.fh-muenchen.de     255.255.255.255       00:e0:29:08:49:f1
le0    kobra.rz.fh-muenchen.de     255.255.255.255       00:08:c7:a9:6c:cc
le0    netmon.rz.fh-muenchen.de    255.255.255.255       00:e0:29:0e:83:92
le0    linux4.rz.fh-muenchen.de    255.255.255.255       00:00:c0:93:19:d3
le0    linux5.rz.fh-muenchen.de    255.255.255.255       00:00:c0:37:19:d3
le0    door2.rz.fh-muenchen.de     255.255.255.255       00:00:c0:3f:fb:a7
le0    wapserv                     255.255.255.255 SP    08:00:20:23:02:88
le0    sun10.rz.fh-muenchen.de     255.255.255.255       08:00:20:86:ce:5e
le0    kiosk1.rz.fh-muenchen.de    255.255.255.255       00:00:c0:60:af:d7
le0    satellit.rz.fh-muenchen.de  255.255.255.255       08:00:20:71:77:b4
le0    kaputt.rz.fh-muenchen.de    255.255.255.255       00:50:56:82:f0:f0

netstat

Kernel Interface table
Iface   MTU Met  RX-OK RX-ERR RX-DRP RX-OVR  TX-OK TX-ERR TX-DRP TX-OVR Flags
lo     3584   0    220      0      0      0    220      0      0      0 BLRU
eth0   1500   0      0      0      0      0      0      0      0      0 BRU

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (State)       User
tcp        0      0 *:netbios-ssn          *:*                    LISTEN        root
tcp        0      0 *:nntp                 *:*                    LISTEN        root
tcp        0      0 *:auth                 *:*                    LISTEN        root
tcp        0      0 *:sunrpc               *:*                    LISTEN        root
tcp        0      0 *:pop3                 *:*                    LISTEN        root
tcp        0      0 *:www                  *:*                    LISTEN        root
tcp        0      0 *:finger               *:*                    LISTEN        root
tcp        0      0 *:midinet              *:*                    LISTEN        root
tcp        0      0 *:http-rman            *:*                    LISTEN        root
tcp        0      0 *:btx                  *:*                    LISTEN        root
tcp        0      0 *:smtp                 *:*                    LISTEN        root
tcp        0      0 *:telnet               *:*                    LISTEN        root
tcp        0      0 *:ftp                  *:*                    LISTEN        root
tcp        0      0 *:netstat              *:*                    LISTEN        root
tcp        0      0 *:systat               *:*                    LISTEN        root
tcp        0      0 *:printer              *:*                    LISTEN        root
tcp        0      0 *:shell                *:*                    LISTEN        root
tcp        0      0 *:login                *:*                    LISTEN        root
tcp        0      0 *:exec                 *:*                    LISTEN        root
udp        0      0 *:rplay                *:*
udp        0      0 *:netbios-ns           *:*
udp        0      0 *:sunrpc               *:*
udp        0      0 *:ntalk                *:*
udp        0      0 *:talk                 *:*
udp        0      0 *:syslog               *:*
raw        0      0 *:1                    *:*
Active UNIX domain sockets
Proto RefCnt Flags      Type            State           Inode Path
unix  1      [ ACC ]    SOCK_STREAM     LISTENING         417 /dev/log
unix  2      [ ]        SOCK_STREAM     CONNECTED         440
unix  2      [ ]        SOCK_STREAM     UNCONNECTED       441 /dev/log
unix  2      [ ]        SOCK_STREAM     CONNECTED         499
unix  2      [ ]        SOCK_STREAM     UNCONNECTED       500 /dev/log
unix  2      [ ]        SOCK_STREAM     CONNECTED         517
unix  2      [ ]        SOCK_STREAM     UNCONNECTED       518 /dev/log

Ein offener Port im Status "Listen" ist ein potientielles Einfallstor für Eindringlinge. Auch Trojaner installieren gerne "Backdoors" und öffnen dazu einen freien Port. Daher ist es sehr zu empfehlen, sich von Zeit zu Zeit die offenen Ports seiner Systeme anzusehen. Für eine Kontrolle der offenen Ports ruft man "netstat -nlp" auf.

netstat -npl
Proto Recv-Q Send-Q Local Address        Foreign Address   State   PID/Program name
tcp        0      0 72.139.238.24:80     0.0.0.0:*         LISTEN  25671/apache
tcp        0      0 72.139.238.24:21     0.0.0.0:*         LISTEN  16417/ftpd
tcp        0      0 72.139.238.24:22     0.0.0.0:*         LISTEN  1345/sshd
tcp        0      0 72.139.238.24:25     0.0.0.0:*         LISTEN  26007/exim4
tcp        0      0 72.139.238.24:443    0.0.0.0:*         LISTEN  1022/apache-ssl

Das System zeigt mit diesen Parameter nur Ports im Status "Listen" an. Zusätzlich wird in der letzten Spalte die Prozessnummer und der Name des zuständigen Dämons angezeigt. Alternativ kann unter Linux auch das Kommando "lsof" benutzt werden. Mit dem Aufruf

lsof -i | grep -e LISTEN

traceroute

Zähler Gateway-Name Gateway-IP-Nummer "round-trip"-Zeit (3 Werte)

$ traceroute www.linux.org
traceroute to www.linux.org (198.182.196.56), 30 hops max, 40 byte packets
 1  space-gw2m (194.97.64.8)  2.758 ms  3.637 ms  2.491 ms
 2  Cisco-M-IV.Space.Net (195.30.0.123)  6.413 ms  4.118 ms  4.107 ms
 3  Cisco-M-Fe0-0.Space.Net (195.30.0.126)  4.826 ms  4.508 ms  5.53 ms
 4  Cisco-ECRC-H1-0.Space.Net (193.149.44.2)  5.977 ms  6.273 ms  20.832 ms
 5  munich-ebs2-s0-0-0.ebone.net (192.121.158.189)  14.415 ms  17.018 ms  8.575 ms
 6  newyork-ebs1-s5-0-0.ebone.net (195.158.224.21)  137.35 ms  139.103 ms  138.14 ms
 7  serial0-0-1.br1.nyc4.ALTER.NET (137.39.23.81)  137.132 ms  141.742 ms  141.207 ms
 8  134.ATM2-0.XR1.NYC4.ALTER.NET (146.188.177.178)  135.375 ms  128.12 ms  165.913 ms
 9  189.ATM3-0.TR1.EWR1.ALTER.NET (146.188.179.54)  141.83 ms  144.798 ms  362.469 ms
10  105.ATM4-0.TR1.DCA1.ALTER.NET (146.188.136.185)  145.321 ms  147.889 ms  152.43 ms
11  299.ATM6-0.XR1.TCO1.ALTER.NET (146.188.161.169)  354.577 ms  133.535 ms  348.647 ms
12  193.ATM8-0-0.GW2.TCO1.ALTER.NET (146.188.160.49)  152.444 ms  369.313 ms  150.106 ms
13  uu-peer.oc12-core.ai.net (205.134.160.2)  365.008 ms  509.81 ms  144.898 ms
14  border-ai.invlogic.com (205.134.175.254)  270.065 ms  341.586 ms  153.441 ms
15  router.invlogic.com (198.182.196.1)  356.496 ms  506.371 ms  532.983 ms
16  www.linux.org (198.182.196.56)  584.957 ms  300.612 ms  380.004 ms

Einsatz von nmap

nmap -sT 192.168.1.1

Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2004-10-16 23:17 CEST
Interesting ports on Router (192.168.1.1):
(The 1610 ports scanned but not shown below are in state: closed)
Port       State       Service
80/tcp     open        http

Nmap run completed -- 1 IP address (1 host up) scanned in 6.533 seconds

R-Kommandos

Jeder Rechner im Netz (= Host) bessass eine Datei /etc/hosts.equiv, in der "vertrauenswürdige" Rechner eingetragen sind. Wollten sich Benutzer von einem dieser Rechner auf dem lokalen Computer einloggen, brauchten sie kein Passwort für den Rechner-Rechner-Übergang. Enthielt die Datei nur eine Zeile mit einem '+'-Zeichen, wurden alle Rechner akzeptiert. Gibt es keine "vertrauenswürdigen" Rechner, war jeweils die Eingabe des Login-Passwortes nötig. Außerdem funktionierte das Ganze nur, wenn man auf Quell-und Zielrechner die gleiche Benutzerkennung hat.

• rlogin rhost [ -ec ] [ -8 ] [ -l username ] Rechnername
  Einloggen auf einem anderen Rechner im Netz. Nach Eingabe des Passwortes können Sie auf diesem Rechner genauso arbeiten, wie auf den lokalen Rechner (fehlt die explizite Angabe einer Benutzerkennung, wird die Benutzerkennung automatisch übertragen).
• rcp [-r] Quellrechner:datei Zielrechner:datei
  Kopieren von Dateien zwischen zwei Rechnern. Beim eigenen Rechner kann die Angabe Quell-/Zielrecher entfallen. Die Option "-r" erlaubt das Kopieren ganzer Verzeichnisbäume.
• rsh rhost Kommando
  Erzeugen einer Shell auf einen fernen Rechner im Netz. Die Ausgaben erfolgen über die lokale Shell. Umleitung der Ausgabe auf dem Host durch Quoten des Umleitungssymbols ('>').
• rwho rhost
  

Telnet

telnet host

Telnet (Teletype Network) unterscheidet zwei Modi, den Kommando- und den Eingabemodus. Der Kommandomodus ist aktiv, wenn man Telnet ohne Argument aufruft. Am Bildschirm erscheint der Prompt "Telnet>". Wird Telnet mit Argument aufgerufen, so wird ein "open"-Kommando mit dem angegebenen Argument ausgeführt und man befindet sich im Eingabemodus, bei dem zwei Übertragungsmodi unterschieden werden:

• der "Zeichen für Zeichen"-Modus
  In diesem Modus wird im Regelfall jedes Zeichen sofort an das entfernte System zum Zweck der Weiterverarbeitung gesendet.
• der "Zeile für Zeile"-Modus
  In diesem Modus wird der eingegebene Text lokal angezeigt, aber nur volle Zeilen werden (im Regelfall) an das entfernte System gesendet.

Falls der localchars-Schalter auf EIN steht (das ist die Grundeinstellung im Zeilen-Modus), werden in beiden Modi die "quit"-, "intr"- und "flush"-Zeichen lokal abgefangen und als Telnet-Protokoll-Sequenzen an das entfernte System gesendet.

Während eine Verbindung zu einem entfernten System besteht, kann in den Telnet-Kommandomodus mittels dem Telnet-Fluchtsymbol (Voreinstellung "^]") umgeschaltet werden.
Nachfolgend werden die verfügbaren Kommandos beschrieben. Kommandos können soweit verkürzt eingegeben werden, als sie noch eindeutig erkennbar sind. Gleiches gilt auch für die Argumente der Kommandos mode, set, toggle und display. Im Kommandomodus haben die üblichen Terminal-Editier-Konventionen Gültigkeit (UNIX-Shell und "stty"-Einstellungen).

• open host
  eröffnet eine Verbindung zu dem bezeichneten Host. Der Host kann mit seinem Namen (z.B. ftp.UniBw-Muenchen.de) oder mit seiner Internet-Adresse (z.B. 129.187.10.3) angegeben werden.
• close
  schließt eine Telnet-Sitzung und kehrt in den Kommandomodus zurück. Wenn Argumente beim Aufruf angegeben wurden, ist die Wirkung die gleiche wie bei "quit".
• quit
  schließt jede offene Telnet-Sitzung und verlässt Telnet.
• mode type
  Als "type" steht entweder "line" für den "Zeile für Zeile"-Modus oder "character" für den "Zeichen für Zeichen"-Modus (jeweils ohne die Anführungszeichen geschrieben). Die Umschaltung erfolgt nur mit Genehmigung des Zielsystems.
• set argument value
  Setzt eine oder mehrere Telnet-Variablen
• argument auf einen bestimmten Wert value. Der spezielle Wert "off" schaltet die Funktion aus, die im Zusammenhang mit der Variablen steht. Der Wert von Variablen kann mit dem "display"-Kommando abgefragt werden. Mit Ausnahme des Fluchtsymbols gelten für sie die Voreinstellungen des Terminals. Es können folgende Variablen angegeben werden:
  • escape
    Das ist das Telnet-Fluchtsymbol (Voreinstellung "^]"), das eine Umschaltung in den Kommandomodus bewirkt, wenn eine Verbindung zu einem entfernten System besteht.
  • interrupt
    Setzen des "interrupt"-Zeichens. Telnet sendet dies als "IP"-Sequenz (Interrupt Process) an das entfernte System.
  • quit
    Setzen des "quit"-Zeichens. Telnet sendet dies als "BRK"-Sequenz (Break) an das entfernte System.
  • flushoutput
    Setzen des "flushoutput"-Zeichens. Telnet sendet dies als "AO"-Sequenz (Abort Output) an das entfernte System.
  • erase
    Setzen des "erase"-Zeichens. Telnet sendet dies als "EC"-Sequenz (Erase Character) an das entfernte System.
  • kill
    Setzen des "kill"-Zeichens. Telnet sendet dies als "EL"-Sequenz (Erase Line) an das entfernte System.
  • eof
    Setzen des "eof"-Zeichens. Telnet sendet dies als "eof"-Zeichen an das entfernte System.
• toggle arguments ...
  schaltet diverse Schalter ein und aus, die bestimmen, wie Telnet auf verschiedene Ereignisse reagieren soll. Es dürfen mehrere Argumente angegeben werden. Der Zustand dieser Schalter kann mit dem "display"-Kommando abgefragt werden. Gültige Argumente sind:
  • localchars
    Wenn dieser Schalter eingeschaltet ist, werden die "flush"-, "interrupt"-, "quit", "erase"- und "kill"- Zeichen (siehe oben)lokal erkannt und in die entsprechende Telnet- Steuersequenz umgesetzt (resp.: ao, ip, brk, ec und el). Anfangs ist dieser Schalter im "Zeile für Zeile"-Modus eingeschaltet und im "Zeichen für Zeichen"-Modus ausgeschaltet.
  • autoflush
    Sind beide Schalter "autoflush" und "localchars" eingeschaltet und werden die "ao"-, "intr"- oder "quit"-Zeichen eingegeben, weigert sich Telnet irgendwelche Daten auf dem Benutzer-Terminal anzuzeigen, bis das entfernte System die Bearbeitung dieser Steuersequenzen bestätigt hat. Anfangs ist dieser Schalter eingeschaltet, soweit der Benutzer nicht das Kommando "stty noflsh" eingegeben hat (siehe "stty"-Kommando).
  • autosynch
    Sind beide Schalter "autosynch" und "localchars" eingeschaltet und werden die "intr"- oder "quit"-Zeichen eingegeben, sendet Telnet zuerst die entsprechende Steuersequenz und anschließend die Telnet-"SYNCH"-Steuersequenz. Diese Vorgehensweise soll das entfernte System veranlassen, alle bisherigen Eingaben zu verwerfen, bis beide Telnet-Steuersequenzen gelesen und verarbeitet worden sind. Anfangs ist dieser Schalter ausgeschaltet.
  • crmod
    Ist dieser Schalter eingeschaltet, werden die "carriage return"-Zeichen, die vom entfernten System empfangen werden, in ein "carriage return"-Zeichen gefolgt von einem "line feed"-Zeichen umgesetzt. Dieser Modus hat nur Wirkung auf die Zeichen, die vom entfernten System empfangen werden, jedoch nicht auf die Zeichen, die vom Benutzer eingegeben werden. Dieser Modus ist nur dann sinnvoll, wenn das entfernte System nur "carriage return"-Zeichen sendet aber keine "line feed"-Zeichen. Anfangs ist dieser Schalter bei UNIX ausgeschaltet und bei DOS eingeschaltet.
  • options
    Wird dieser Schalter eingeschaltet, wird die Telnet-Protokoll-Verarbeitung angezeigt. Anfangs ist dieser Schalter ausgeschaltet.
  • netdata
    Wird dieser Schalter eingeschaltet, werden die Verkehrsdaten im hexadezimalen Format angezeigt. Anfangs ist dieser Schalter ausgeschaltet.
  • ?
    Zeige die zulässigen Schalter-Kommandos.
• status
  zeigt den aktuellen Zustand von Telnet, die verbundenen Partner und den gegenwärtigen Modus.
• display [ argument... ]
  zeigt alle oder nur ausgewählte Einstellungen und Schalter, die z.B. mit "set" oder "toggle" eingestellt wurden (siehe unten).
• ? [ command ]
  Funktionsgleich mit help.
• help [ command ]
  Ohne Argument gibt Telnet eine Übersicht über die Hilfe-Funktion. Wenn ein Kommando angegeben wird, gibt Telnet Auskunft über dieses Kommando.
• send arguments
  sendet ein oder mehrere Sonderzeichen an das entfernte System. Folgende Argumente können angegeben werden (auch mehrere auf einmal):
  • escape
    sendet das gegenwärtig definierte Telnet-Fluchtsymbol an das entfernte System (Voreinstellung "^]"); somit ist dieses Zeichen auch an das entfernte System sendbar.
  • synch
    sendet das Telnet-"SYNCH"-Zeichen. Diese Sequenz veranlaßt das entfernte System, alle bisherigen, aber noch nicht verarbeiteten Eingaben zu verwerfen. Sie wird mittels TCP mit Dringlichkeit gesendet, kann aber von der Gegenseite abgelehnt werden. Wenn das entfernte System ein "4.2 BSD"-System ist, so wird die Aufforderung verworfen werden und z.B. als Kommando-Antwort ein "r" wie rejected empfangen werden.
  • brk
    sendet die Telnet-"BRK"-Sequenz (Break), die für das entfernte System eine Bedeutung haben kann.
  • ao
    sendet die Telnet-"AO"-Sequenz (Abort Output), die das entfernte System veranlasst, jede noch anstehende Ausgabe für das Terminal zu verwerfen.
  • ayt
    sendet die Telnet-"AYT"-Sequenz (Are You There), worauf das entfernte System meist antwortet.
  • ec
    sendet die Telnet-"EC"-Sequenz (Erase Character), die das entfernte System veranlasst, das zuletzt eingegebene Zeichen zu löschen.
  • el
    sendet die Telnet-"EL"-Sequenz (Erase Line), die das entfernte System veranlasst, die aktuelle Zeile zu löschen.
  • nop
    sendet die Telnet-"NOP"-Sequenz (No Operation).
  • ?
    zeigt Hilfe-Information für das "send"-Kommando.

Beispiel: Verbindung zum Rechner lx-lbs

telnet lx-lbs

Telnet reagiert daraufhin mit:

Trying to .....
Connect to sun1-lbs
Escape Character is '^]'

telnet kann auch vorzüglich zum Testen von Verbindungen und Servern verwendet werden. Bei Kenntnis der Protokolle (nachlesbar in den entsprechenden RFCs) kann ein Protokoll wie SMTP, NNTP, HTTP, usw. auch von Hand nachgebildet werden. Man kann so durch eine telnet-Verbindung nachsehen, ob auf einem fernen System Mail-, News-, WWW- oder andere Dienste laufen.

ftp [ -v ] [ -d ] [ -i ] [ -n ] [ -g ] [ host ]

FTP ist die Benutzerschnittstelle zum Dateiübertragungsprotokoll. Dieses Programm ermöglicht den Dateitransfer zwischen zwei Rechenanlagen. Es besitzt eine eigene Kommandooberfläche, die interaktiv bedient wird. Der Aufruf dieses Filetransferprogrammes erfolgt durch ftp.
FTP funktioniert aber auch, wenn man auf dem fernen Rechner keine Benutzerberechtigung hat, denn viele Rechner bieten große Dateibereiche über sogenannten 'anonymen' FTP. Man gibt in diesem Fall als Benutzernamen 'ftp' ein und als Passwort die eigene Mailadresse. Danach kann man sich im öffentlichen Dateibereich tummeln.
Wird beim Programmaufruf der gewünschte Kommunikationspartner (host) mit angegeben, so wird sofort versucht, eine Verbindung zu diesem Rechensystem aufzubauen. Ist der Versuch erfolglos, so wird in den Kommandomodus umgeschaltet. Der Prompt "ftp>" erscheint immer auf dem Bildschirm, wenn ftp-Kommandos eingegeben werden können. ftp verfügt über einen help-Mechanismus, über den sämtliche auf dem jeweiligen System verfügbare Kommandos mit Kurzerklärungen abfragbar sind.
Nachfolgend werden wesentliche Kommandos nach Funktionalität gruppiert vorgestellt. Kommandos können soweit verkürzt eingegeben werden, als sie noch eindeutig erkennbar sind. Enthalten Kommandoargumente "Blanks", so sind die Argumente beidseitig mit Hochkommas eingeschlossen einzugeben.

• help [ command ]
  zeigt kurze Informationen zu dem angegebenen Kommando "command". Wird "command" weggelassen, zeigt dieser Aufruf eine Liste der zulässigen Kommandos.
• open host
  Je nach angewähltem System wird die Benutzerkennung und das zugehörige Passwort interaktiv abgefragt oder man muß diese per ftp-Kommando user aktiv senden.
• user user-name [ password ]
  Eingabe von BEnutzerkennung und Passwort.
• !
  Aufruf einer Shell auf dem lokalen System mit eingeschränkter Funktionalität. Für Dateiübertragung relevante Kommandos wie mkdir, mv, cp, etc sind absetzbar. Verlassen wird diese Shell mit "exit".
• lcd [directory ]
  Wahl des Directories für die Dateiübertragung. Voreinstellung: Homedirectory des Benutzers.
• pwd
  Anzeige des aktuellen Directories auf dem entfernten System.

• cd remote-directory
  Wahl des aktuellen Directories auf dem entfernten System.
• cdup
  Wechsel in das nächsthöhere Directory auf dem entfernten System.
• dir [ remote-directory [ local-file ] ]
  ls [ remote-directory [ local-file ] ]
  Ohne Optionen erfolgt eine Anzeige der Einträge des entfernten aktuellen Directories. Dabei liefert dir ausführliche und ls eine knappe Information bezüglich des Directory-Inhalts.
  Bei Angabe des remote-directory erfolgt die Anzeige der Einträge des entfernten Directories. Wird local-file angegeben, erfolgt eine Umlenkung der Directory-Anzeige in die Datei local-file auf dem lokalen System.
• mdir remote-files [ local-file ]
  mls remote-files [ local-file ]
  Anzeige von Dateien aus dem entfernten aktuellen Directory und Abspeicherung in eine lokale Datei.
• mkdir directory-name
  Einrichten eines neuen Directories directory-name auf dem entfernten System.
• rmdir directory-name
  löscht das Directory directory-name auf dem entfernten System.
• rename [ from ] [ to ]
  Umbenennen einer Datei auf dem entfernten System von from nach to.
• delete remote-file
  Löschen der Datei remote-file auf dem entfernten System.
• mdelete remote-files
  Löschen mehrerer Dateien remote-files auf dem entfernten System.
• put local-file [ remote-file ]
  send local-file [ remote-file ]
  Dateiübertragung der Datei local-file vom lokalen zum entfernten System. Wird remote-file nicht angegeben, so wird auch auf dem Zielsystem der Dateiname local-file verwendet.
• append local-file [ remote-file ]
  überträgt die Datei local-file vom lokalen System an das entfernte System und hängt diese am Ende der Datei remote-file an. Wurde remote-file nicht angegeben, wird die Datei ans Ende der Datei local-file auf dem entfernten System angehängt.
• mput local-files
  Dateiübertragung einer Dateigruppe namensgleich vom lokalen zum entfernten System.
• get remote-file [ local-file ]
  recv remote-file [ local-file ]
  Dateiübertragung einer Datei remote-file vom entfernten System zum lokalen System. Wird local-file nicht mitangegeben, so erhält die Datei auch auf dem lokalen System den Dateiname remote-file.
• mget remote-files
  Dateiübertragung einer Dateigruppe namensgleich vom entfernten zum lokalen System.
• ascii
  type ascii
  Die Dateiübertragung findet im ASCII-Code statt. Gegebenfalls werden Bei Binärdateien Zeichen verändert (z. B. die Zeilenendedarstellung ans Zielsystem angepaßt) oder Zeichen verfälscht.
• binary
  type image
  type binary
  Die Dateiübertragung findet transparent statt.
• case
  Mit diesem Schalter läßt sich einstellen, ob Dateinamen beim Empfangen (get, recv, mget) von Großbuchstaben nach Kleinbuchstaben übersetzt werden sollen.
• glob
  Mit diesem Schalter läßt sich einstellen, ob bei den Kommandos mdelete, mget und mput bei Dateinamen, die Metazeichen (*?[]~{}) enthalten, diese Metazeichen übertragen werden oder nicht. ("off" keine Metazeichenbehandlung).
• ntrans [ inchars [ outchars ] ]
  Definition und Aktivierung einer Übersetzungstabelle für Dateinamen, wenn beim Dateiübertragungsauftrag (Senden und Empfangen) keine Zieldateinamen angegeben werden. Zeichen eines Dateinamens, die in inchars zu finden sind, werden durch das positionsgleiche Zeichen in outchars übersetzt. Ist inchars länger als outchars, so werden die korrespondenzlosen Zeichen von inchars aus dem Zieldateinamen entfernt.
• prompt
  Mit diesem Zeichen wird bei Mehrdateienübertragung gesteuert, ob jede zu übertragende Datei extra quittiert werden muß oder nicht.
• verbose
  Wenn der "verbose"-Modus eingeschaltet ist, erhält man für jede übertragene Datei den Dateinamen auf dem lokalen und entfernten Rechner, sowie die Datenmenge und die dafür benötigte Übertragungszeit angezeigt.
• bell
  Dieser Schalter bewirkt, daß je nach Stellung am Ende jedes Dateiübertragungsauftrages ein akustisches Signal ertönt oder nicht.
• status
  Anzeige der aktuellen logischen Schalterstellungen sowie des Verbindungszustandes.
• close
  disconnect
  Beendigung einer aktiven Verbindung.
• quit
  Beendigung des Programmes ftp.
• bye
  Beendigung einer aktiven Sitzung und des Programmes ftp.

Die optionalen Parameter beim ftp-Kommando setzen logische Schalter für den ftp-Programmlauf. Im Kommandomodus sind die Einstellungen jederzeit wieder änderbar.

• -v verbose-Schalter einschalten.
• -d debug-Schalter einschalten.
• -i interactive-Modus für Mehrdateiübertragung einschalten.
• -n verhindert, daß
• FTP zum Beginn der Sitzung einen Login-Versuch unternimmt.
• -g glob-Schalter einschalten.

Die Datei-Übertragung wird durch die Terminal "interrupt"-Taste (üblicherweise Ctrl-C) abgebrochen, was einen sofortigen Abbruch zur Folge haben soll. Nicht alle Kommunikationspartner verstehen die Abbruchaufforderung und dann wird dennoch die gesamte Datei übertragen ausgeführt.

Dateinamen, die als Argumente von FTP-Kommandos Verwendung finden, werden wie folgt bearbeitet: Ist "file globbing" eingeschaltet, werden bei den Kommandos mget, mput und mdelete die Namen lokaler Dateien folgendermaß behandelt:

• Der * steht für eine beliebige Anzahl (auch Null) von Zeichen.
• Das ?steht für ein einziges beliebiges Zeichen.
• Wird im Dateinamen eine Zeichenfolge angetroffen, die zwischen eckigen Klammern oder zwischen geschweiften Klammern steht, so sind alle Dateinamen zutreffend, die an dieser Stelle ein einziges beliebiges Zeichen aus der Zeichenfolge innerhalb der Klammern enthalten.
• Steht die Zeichenfolge ~/ (Tilde, Schrägstrich) am Beginn des Dateinamens, so wird sie durch den Home-Directory-Pfad ersetzt. Das Zeichen ~, dem eine Benutzerkennung folgt, wird durch den Home-Directory-Pfad dieser Benutzerkennung ersetzt.

Nicht alle ftp-Installationen unterstützen alle ftp-Kommandos. Wenn sich eine Dateiübertragung nicht ordnungsgemäß abbrechen läßt, kann der lokale ftp-Prozess mit dem Terminal-intr-Zeichen (üblicherweise Ctrl-C) abgebrochen werden.

Die Kommandos telnet und ftp (und die r-Kommandos) stellen jedoch ein gravierendes Sicherheits-Problem dar, denn:

• Beim Verbindungs-Aufbau erforderliche Userkennungen und Paßwörter werden im Klartext übertragen. Damit sind diese Informationen im Netz abhörbar.
• Während einer bestehenden Verbindung werden auch alle Daten im Klartext übertragen.
• Beim Verbindungs-Aufbau findet keine Authentifizierung (d. h. Überprüfung der Identität) der beteiligten Rechner statt. Beide Seiten können sich also nicht sicher sein, daß der Kommunikations-Partner nicht ein Angreifer ist, der eine falsche Identität vorgibt ("man in the middle attac"). Angreifer können sich in eine bestehende Verbindung einklinken und dann den Daten-Strom nicht nur mithören, sondern auch verändern!

• Einfache Bedienung, damit Benutzer(innen) nicht von der Verwendung von SSH abgeschreckt werden. Darüberhinaus besitzt SSH einige Funktionen, die die Nutzung im Vergleich zu den r-Kommandos sogar erleichtert (z. B. automatische X-Window-Authorisierung und automatisches Setzen der DISPLAY-Environment-Variablen).
• SSH mißtraut prinzipiell dem potentiell unsicheren Netz, dem Domain-Name-Service (DNS) etc.
• SSH ermöglicht eine strenge Authentifizierung der beteiligten Kommunikations-Partner.
• SSH garantiert Vertraulichkeit durch eine strenge Verschlüsselung aller Daten (speziell der Paßwörter).
• Nicht nur Dialog-Sitzungen sondern auch beliebige TCP/IP-Ports (besonders X-Window) können durch einen sicheren SSH-Kanal (sogenannter SSH-Tunnel) geleitet werden.
• Optional wird der Datenverkehr zusätzlich komprimiert, was besonders bei schlechten Kommunikations-Verbindungen nützlich ist.
• SSH kann sowohl bei der Übersetzung als auch zur Laufzeit in weitem Rahmen konfiguriert und damit an die lokalen Anforderungen angepaßt werden. SSH-Server und -Clients sind auf allen Betriebssystemen verfügbar (der bekannteste Windows-Client nennt sich "putty").

SSH speichert alle wichtigen Informationen im Unterverzeichnis ".ssh" des Heimatverzeichnisses des jeweiligen Benutzers. Das Directory sollte deshalb nur für den Besitzer der Kennung zugänglich sein (chmod 700 .ssh).

Mit SSH kann man:

• Sich auf einem Remote-Rechner für eine interaktive Dialog-Sitzung einloggen (Ersatz für telnet):

     ssh [SSH_OPTIONS] [-l USER] HOST
     ssh [SSH_OPTIONS] [USER@]HOST
  

• Kommandos auf einem Remote-Rechner ausführen (interaktiv oder im Batch-Betrieb:

     ssh [SSH_OPTIONS] HOST COMMAND [COMMAND_ARGUMENTS]
  

• Dateien zwischen Rechnern kopieren:

     scp [SCP_OPTIONS] [[USER@]HOST:]FILE [...]
  

  Für Windows gibt es als äquivalent das Programm "winscp".
• xterm mit einer Shell auf einem Remote-Rechner:

     ssh -X [SSH_OPTIONS] [USER@]HOST
  

  SSH regelt automatisch die Verwendung von X-Window. Man muß also auf dem Remote-Rechner weder eine X-Window-Authorisierung noch die Environment-Variable DISPLAY setzen.

Bei jeder neuen Verbindung laufen am Anfang folgende Schritte ab:

• Der SSH-Client (scp setzt intern ebenfalls auf ssh auf) wendet sich an den SSH-Server auf einem Remote-Rechner.
• Der SSH-Server schickt sowohl seinen Host- als auch seinen Server-Public-Key (siehe oben) an den Client.
• Der SSH-Client kann nun überprüfen, ob er den Server kennt, indem er in Tabellen von bekannten Public-Keys nach dem gerade erhaltenen Host-Public-Key sucht.
  Ist dieser Key noch nicht bekannt, teilt der Client dies dem Benutzer mit und fragt nach, ob die Verbindung trotz der Unsicherheit (die Identität des Servers kann ja nicht überprüft werden) aufgebaut werden soll. In der Regel muss man die Frage mit einen ausgeschriebenen "yes" beantworten (nicht nur Taste "y"). Nun trägt der Client den Public Key des Servers in die Datei $HOME/.ssh/known_hosts ein. Bei der nächsten Verbindung ist dann der Remote-Rechner schon bekannt und der Client muß nicht mehr nachfragen.
• Der Client schickt dem Server eine 256 Bit lange Zufallszahl, die mit dem Host- und dem Server-Public-Key des Remote-Rechners verschlüsselt wurde.
• Ab diesem Zeitpunkt werden alle Daten der Verbindung verschlüsselt. Dabei dient die im vorherigen Schritt erzeugte Zufallszahl (bzw. je nach Algorithmus auch nur Teile davon) als Sitzungs-Key. Dieser Sitzungs-Key wird bei jeder Verbindung individuell und zufällig erzeugt.
  Hat der Remote-Rechner eine falsche Identität vorgespiegelt, kann dem Benutzer nichts passieren: Da die Zufallszahl mit dem Host-Public-Key des richtigen Rechners verschlüsselt wurde, kann auch nur der richtige Rechner diese Zahl wieder entschlüsseln.
• Client und Server führen einen Dialog, durch den der Server die Identität und Berechtigung des Clients überprüfen kann. Ist der Client unbekannt oder nicht berechtigt, wird die Verbindung an dieser Stelle abgebrochen.
• In einem weiteren Dialog wird die neue Sitzung vorbereitet. Dabei werden u. a. der Terminal-Typ und die Art der Sitzung (interaktive Dialog-Sitzung oder Ausführung eines Kommandos) festgelegt.
• Zum Schluß startet der Server eine Login-Shell bzw. führt das gewünschte Kommando aus.

Der Benutzer kann seine Identität nicht nur per Username und Passwort, sondern auch durch eine individuelle RSA-Authentifikation nachweisen (automatischer Login). Dazu ist jedoch auf dem Remote-Rechner ein entsprechender Eintrag in der Datei $HOME/.ssh/authorized_keys erforderlich.

Bei SSH kommen kryptographische Verfahren an mehreren Stellen zum Einsatz. Das asymmetrische RSA-Verfahren wird für die Authentifizierung der Kommunikations-Partner und für die sichere Übertragung eines zufällig erzeugten und nur einemal verwendeten Sitzungs-Schlüssel eingesetzt. Dabei werden Key-Längen zwischen 768 und 1024 Bit empfohlen. Zur Verschlüsselung der Daten während der Verbindung wird wegen des höheren Durchsatzes ein symmetrisches Verfahren verwendet. Je nach Installation der SW hat der Benutzer i.a. die Auswahl zwischen verschiedenen Algorithmen: DES (Data Encryption Standard) mit 56 Bit Schlüssellänge, 3DES (Tripple DES) mit 112 Bit Schlüssellänge, IDEA (International Data Encryption Algorithm) mit 128 Bit Schlüssellänge, Blowfisch mit 128 Bit Schlüssellänge und Arcfour mit 128 Bit Schlüssellänge.

Folgende Optionen werden bei ssh häufiger verwendet:

• -l USER: Man arbeitet auf dem Remote-Rechner unter der angegebenen Kennung. Diese Option ist immer dann erforderlich, wenn die Kennungen auf den beteiligten Rechnern unterschiedliche Namen haben. Alternativ kann man die Kennung wie bei einer Mailadresse getrennt durch "@" vor den Hostnamen setzen.
• -n bzw. -f: Die Eingabe von ssh (d.h. 'stdin') wird nach /dev/null umgelenkt. Dies ist i.a. dann erforderlich, wenn ssh im Hintergrund laufen soll. Bei '-n' wird die Eingabe sofort umgelenkt; bei '-f' erfolgt die Umlenkung erst nach dem Verbindungsaufbau und einer dabei evtl. erforderlichen Passwort-Eingabe (bei '-n' kann kein Passwort eingegeben werden).
• -C:
  Die Daten sollen während der Übertragung komprimiert werden.
• -v:
  Durch Diagnose-Meldungen wird jeweils mitgeteilt, was ssh im Augenblick gerade tut. Dies ist sehr hilfreich für den Debug von Problemen beim Verbindungsaufbau, bei der Authentifikation und bei der Konfiguration.
• -c ALGORITHMUS:
  Mit dieser Option kann man den symmetrischen Algorithmus für die Verschlüsselung der Daten spezifizieren. Dabei kann der Algorithmus folgende Werte haben: idea, des, 3des, blowfish, arcfour oder none. Bedenken Sie, daß je nach Konfiguration von SSH-Client bzw. -Server nicht immer alle dieser Algorithmen zur Verfügung stehen.

• -l, -v, -C und -c wie bei ssh.
• -r: Directories sollen mit dem gesamten Inhalt rekursiv kopiert werden.
• -p: Beim Kopieren sollen die Datei-Rechte und die Zeitstempel der Dateien beibehalten werden.

RSA-Schlüsselpaare

Die Authentifizierung des Clients kann, wie oben erwähnt, auch durch eine benutzerspezifische RSA-Authentifikation erfolgen. Dazu benötigt der Benutzer jedoch ein individuelles RSA-Key-Paar, das im Directory $HOME/.ssh abgelegt und mit dem Kommando ssh-keygen verwaltet wird:

•    ssh-keygen [-f KEY_FILE] [-C COMMENT] [-b KEY_LENGTH]
  

  Mit diesem Aufruf erzeugt man ein neues Key-Paar, wobei folgende Informationen interaktiv abgefragt werden:
  • Datei-Name für die Speicherung des Key-Paares (default: $HOME/.ssh/identity). In dieser Datei wird nur der Secret-Key des Paares in einem binären Format abgelegt, der dazugehörige Public-Key wird als ASCII-Text in der Datei FILE.pub gespeichert.
    Wurde schon ein Name über die Option '-f KEY_FILE' angegeben, entfällt diese Abfrage.
  • Passwort, mit dem der Secret-Key verschlüsselt wird. Der Secret-Key wird i.a. zur Sicherheit verschlüsselt gespeichert. Dafür muß man bei jeder Verwendung des individuellen Secret-Keys dieses Passwort erneut eingeben. Gibt man bei ssh-keygen ein leeres Passwort an, wird der Secret-Key nicht verschlüsselt und es entfällt die Passwortabfrage beim Remote-Login.
• Damit das neue Key-Paar wirksam wird, muß man noch jeweils auf allen Remote-Rechnern den neuen Public-Key an die Datei $HOME/.ssh/authorized_keys anhängen. Ab da ist ein SSH-Login ohne Angabe der Login-Daten (Username und Passwort) möglich - lediglich das Passwort für den Secret-Key muss ggf. angegeben werden. Der Secret-Key sollte jedoch niemals den lokalen Rechner verlassen!

ssh-keygen -p [-f KEY_FILE] ('Passwort') dient zum Ändern des Passworts für die Aktivierung des Secret-Keys und mit ssh-keygen -c [-f KEY_FILE] [-C COMMENT] ('Comment') kann der Kommantar geändert werden.

Neben den Kommandos für den "Normalbenutzer" gibt es noch Testkommandos, die recht hilfreich sind, wenn man einen fernen Rechner nicht erreicht oder, um mehr über das Netz zu erfahren.

7.5 Binärdaten per Mail (oder News) versenden

Da nach wie vor 7-Bit-ASCII als kleinster gemeinsamer Standard für News und Mail gilt, lassen sich Binärdateien nicht ohne weiteres posten. Abhilfe schaffen hier die Programme UUENCODE und UUDECODE, mit deren Hilfe binäre Daten auf den Bereich der druckbaren ASCII-Zeichen (Großbuchstaben, Ziffern und Sonderzeichen) abbilden lassen. Es werden also Bytes in 6-Bit-Worten codiert und in Zeilen umbrochen. Die mit UUENCODE erzeugte Datei ist nun zwar größer als die Ursprungsdatei, sie läßt sich aber problemlos per News oder Mail verbreiten. Die "uuencodete" Datei enthält am Anfang eine Zeile mit Zugriffsrechte und den Dateinamen:

begin 644 camera.wav

Danach folgen die codierten Daten und als Abschluß eine Zeile

end

Eine weitere Form der Codierung findet man bei der Verbreitung von Programmquellen und anderen zusammengehörenden Texten (Programmquellen bestehen in der Regel aus mehreren Quelldateien, Manualpages, Makefile, usw.). Diese Dateien kann man zu sogenannten 'Shell-Archiven' zusammenfassen. Hier wird ein komplettes Shell-Skript gepostet, das die Dateien in Form einzelner Here-Dokumente enthält. Man startet das Skript, wodurch die einzelnen Dateien ausgepackt und meist auch noch auf Korrektheit (Prüfsumme) geprüft werden. Hier als Beispiel der Anfang eines Shell-Archivs:

#! /bin/sh
# This is a shell archive. Remove anything before this line, then
# feed it into a shell via "sh file" or similar. To overwrite
# existing files, type "sh file -c".
# Contents: bells.sh hells-bells.au.uu
PATH=/bin:/usr/bin:/usr/ucb ; export PATH
echo If this archive is complete, you will see the following message:
echo ' "shar: End of archive."'
if test -f 'bells.sh' -a "${1}" != "-c" ; then
  echo shar: Will not clobber existing file \"'bells.sh'\"
else
  echo shar: Extracting \"'bells.sh'\" \(581 characters\)
sed "s/^X//" >'bells.sh' <<'END_OF_FILE'
X#!/bin/
X
XBELL=/usr/local/sounds/hells-bells.au
XPLAY=/usr/local/bin/play
XVOL=40 XDATE=`date +%H:%M`
 XMINUTE=`echo $DATE
| sed -e 's/.*://'`
 XHOUR=`echo $DATE | sed -e 's/:.*//'`
X
 ....

Um mehrere Dateien in einer einzigen zusammenzufassen verwendet man in der Regel das tar-Kommando (Tape ARchive), nur wird hier nicht auf das Band geschrieben, sondern alle Dateien und Verzeichnisse in eine einzige Datei geschrieben (Option "f"). Analog kann ein Archiv dann wieder "ausgepackt" werden (siehe nauch Kapitel 3).

Damit Übertragungszeit beim ftp gespart wird, kann man nun das Archiv noch komprimieren, wozu bei fast allen Systemen die Kommandos pack/unpack bzw. compress/uncompress existieren:

pack datei

komprimiert die Datei und ersetzt sie durch die komprimierte Version, wobei an den Namen die Endung ".z" angehängt wird. Mit

unpack datei.z

wird die Datei wiederhergestellt.

compress datei

komprimiert die Datei und ersetzt sie durch die komprimierte Version, wobei an den Namen die Endung ".Z" angehängt wird. Mit

uncompress datei.Z

wird die Datei wiederhergestellt, wobei das Ergebnis von compress wesentlich kompakter als bei pack ist.

In letzter Zeit wurde der GNU-Zip zum Standard. Er liefert bessere Ergebnisse als compress und kann auch mit pack oder compress bearbeitete Dateien bearbeiten. Die Aufrufe lauten:

gzip datei

zum Komprimieren und

gunzip datei oder gzip -d datei

zum Dekomprimieren.

7.6 NFS - Network File System

Die einzige Konfigurationsdatei für den NFS-Dämon des NFS-Servers ist die Datei /etc/exports mit folgendem Format:

Verzeichnis-Pfad     Rechnernamen (Optionen)

Die zugriffsberechtigten Client-Rechner können Sie auf drei Arten definieren:

• Ein einzelner Rechnername oder eine einzelne IP-Nummer. Damit gestatten Sie nur diesem einen Rechner den Zugriff auf das Verzeichnis. Wenn Sie den Rechnernamen angeben, sollte in der Datei /etc/hosts seinem Namen eine IP-Adresse zugeordnet sein.
• Domain-Eintrag mit Jokerzeichen (* oder ?). Damit können Sie allen Rechnern einer Domain den Zugriff gestatten, z. B.: *.netzmafia.de
• IP-Netzwerknummern. Durch Eingabe eines Subnetzes mit Netzmaske. Wenn Sie z. B. 192.168.253.255/255.255.255.255 angeben, haben alle Rechner im Subnetz 192.168.253.0 Zugriff auf das Verzeichnis.

Die gebräuchlichsten Optionen sind:

• rw: Read-Write gibt den Clients Lese- und Schreibrechte im Verzeichnis.
• ro: Read-Only gibt den Clients nur Leserecht (Voreinstellung).
• noaccess: Verbietet Clients den Zugriff auf Unterverzeichnisse.
• root-squash: Dateien mit User/Group root werden bei den Clients einem anonymen Eigentümer und einer anonymen Gruppe zugeordnet.
• no-root-squash: Das Gegenteil zu obiger Option.

Im folgenden Beispiel sollen folgende Zugriffe möglich sein: Auf die erste CD-ROM bekommen die Clients nur Lesezugriff. Der Rechner boss.netzmafia.de benötigt root-Zugriff auf /install knecht.netzmafia.de darf ebenfalls auf /install zugreifen, allerdings ohne daß Dateien des Benutzers root als solche erscheinen. Die Home-Verzeichnisse aller Benutzer auf dem Server exportiert der Server an alle Rechner im Subnetz, damit die Benutzer auf allen Clients das gleiche Home-Verzeichnis bekommen:

# /etc/exports
#
/cdrom     *.netzmafia.de (ro)
/install   boss.netzmafia.de (rw,no-root-squash) \
           knecht.netzmafia.de (ro,root-squash)
/home      192.168.253.255/255.255.255.255

mount nfs.netzmafia.de:/cdrom -t nfs /opt/cdrom

      .
      .
nfs.netzmafia.de:/cdrom    /opt/cdrom  nfs  ro         0 0
nfs.netzmafia.de:/home     /home       nfs  defaults   0 0
      .
      .

7.7 Netzwerk-Troubleshooting

export LC_ALL=C
for NR in $(seq 1 254)
do
 # Hier das gewuenschte Netz eintragen
 IP='192.168.1.'$NR
 domain=$(dig -x "$IP"  +short)
 if [ -n "$domain"  ]
 then
     echo "$IP  $domain"
 else
     echo "$IP" *unbekannt*
 fi
done

Die Programme mii-tool und ethtool geben Aufschluss über den Linkstatus der Netztwerkinterfaces. Normalerweise stellen sich Netzwerkkarte und Switch automatisch richtig aufeinander ein; in seltenen Fällen muss man aber mit einer manuellen Konfiguration nachhelfen - etwa beim Einrichten der Wake-on-Lan-Funktion.

Wird das mii-tool ohne Parameter aufgerufen, erhält man einen Report über das Interfaces. Der Parameter "-v" macht das Programm noch gesprächiger. Zum Beispiel:

# mii-tool -v

eth0: 100 Mbit, full duplex, link ok
  product info: Intel 82555 rev 4
  basic mode:   100 Mbit, full duplex
  basic status: link ok
  capabilities: 100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD
  advertising:  100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD flow-control
  link partner: 100baseTx-HD

Das ethtool liefert noch mehr Informationen als das mii-tool:

# ethtool eth0

Settings for eth0:
        Supported ports: [ TP MII ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
        Supports auto-negotiation: Yes
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
        Advertised auto-negotiation: No
        Speed: 100Mb/s
        Duplex: Full
        Port: MII
        PHYAD: 1
        Transceiver: internal
        Auto-negotiation: off
        Supports Wake-on: g
        Wake-on: g
        Current message level: 0x00000007 (7)
        Link detected: yes

Wird das ethtool mit dem Parameter "-S" aufgerufen, erhalten Sie eine ausführliche Statistik des Interface. Wenn Ihnen das schon zuviel sein sollte, erhalten Sie mit netstat -i einen kompakteren Report (siehe oben).

Übrigens - die MAC-Adresse liefern ebenfalls das ifconfig- oder das ip-Kommando.

Das Tool wget eignet sich nicht nur vorzüglich zum Zugriff auf Webseiten per Kommandozeile (es lassen sich rekursiv sogar komplette Sites "absaugen"), sondern man erhät mit dem Parmeter "-N" auch Info über die Download-Zeit.

wget -N www.testlin.de
--23:07:22--  http://www.testling.de/
           => `index.html'
Resolving www.testling.de... done.
Connecting to www.testling.de[192.168.77.33]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Last-modified header missing -- time-stamps turned off.
--23:07:22--  http://www.testling.de/
           => `index.html'
Connecting to www.testling.de[192.168.77.33]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
 
   [   <=>                          ] 122,150      279.36K/s

23:07:22 (279.36 KB/s) - `index.html' saved [122150]

Zum Inhaltsverzeichnis

Zum nächsten Abschnitt