Betreibt man Firewalls auf einem Linux-Router mit iptables, kommt man früher oder später in die Verlegenheit, Portforwarding machen zu müssen. Schaut man dann einschlägige Anleitungen im Internet an, findet man solche, die das allein über ein DNAT (Destination Natt ing) in der Prerouting-Chain lösen, manche wiederum sagen, dass man unbedingt auch ein SNAT (Source Natting) in der Postrouting-Chain machen muss, sonst würde das überhaupt nicht funktionieren.

Ich hatte das Problem letztens und möchte das hier mal etwas aufdröseln, damit ich beim nächsten mal nicht wieder Schaubildchen malen muss. Vielleicht hilft es ja auch dem ein oder anderen von euch, wenn ihr mal einen ähnlichen Routing-Fall lösen müsst.

Ich gehe in diesem Artikel nicht auf die Grundlagen des Routings und Firewallings ein, sondern möchte nur den oben erwähnten speziellen Fall genauer beschreiben.

Zunächst schauen wir uns grob an, wie so ein IP-Paket die einzelnen Chains (Ketten) unserer Firewall durchläuft.

Wie man sieht, haben wir zwei NAT-Chains (Network Adress Translation), nämlich die Prerouting- und die Postrouting-Chain. Jedes IP-Paket enthält unter anderem eine Absender-IP und eine Empfänger-IP. In diesen beiden Ketten kann iptables diese beiden Adressen umschreiben, nämlich die Empfänger-Adresse im Prerouting und die Absender-Adresse im Postrouting. Das besondere ist, dass diese Adressen, sobald die Antwort auf so ein verändertes Paket wieder bei unserem Router ankommen, auch wieder zurück übersetzt werden können.

Unsere Router zu Hause machen das übrigens ständig, wenn wir im Internet surfen. Bei allen Paketen wird die private IP-Adresse aus unserem Heimnetz in die öffentliche IP-Adresse ausgetauscht, die wir von unserem Provider erhalten haben. Kommt eine Anwort zurück, tauscht der Router die Adresse wieder zurück und sendet die Internetinhalte an das Gerät in unserm LAN, das sie auch angefordert hat.

Diese spezielle Form des SNAT in der Postrouting-Chain nennt man auch Masquerading.

Doch nun zu einem etwas komplexeren Setting, bei dem wir spezielle Adressumschreibungen benötigen, die über ein pauschales Masquerading hinaus gehen.

Wir haben als Beispiel eine Firewall mit drei Netzwerkkarten, eine (eth0) zeigt ins Internet mit einer öffentlichen IP-Adresse 1.2.3.4, eine Karte (eth2) zeigt in unser internes Firmennetz und hat die IP 192.168.1.1/24. Die dritte Karte (eth1) mit der IP 192.168.10.1/24 zeigt auf ein Netzwerk, in dem zwei Webservices laufen, die aus dem Internet erreichbar sein sollen.

Alle Pakete aus dem Internet, die auf für die IP-Ports 80 und 443 ankommen, sollen auf einen Reverse-Proxy weitergeleitet werden, der dann den Verkehr weiter an die zuständigen Rechner für die jeweiligen Services verteilt.

Das ganze schaut schematisch so aus:

Die beiden Adressen “service_a.example.com” und “service_b.example.com” werden vom DNS auf die IP-Adresse 1.2.3.4 geleitet. Also müssen unsere Firewall anweisen, alle Pakete, die auf der IP-Adresse 1.2.3.4 auf Port 80 und 443 ankommen, an unseren Reverse-Proxy zu forwarden.

Dazu müssen wir zunächst das Forwarding für diese Ports in der FORWARD-Chain erlauben:

iptables -A FORWARD -i eth0 -o eth1 -p TCP --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p TCP --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dann kommt das eigentliche Portforwarding, also das Umschreiben der Empfängeradresse im Paket.

iptables -t nat -A PREROUTING -d 1.2.3.4 -p TCP --dport 80 -j DNAT --to-destination 192.168.10.10:80

iptables -t nat -A PREROUTING -d 1.2.3.4 -p TCP --dport 443 -j DNAT --to-destination 192.168.10.10:443

Das funktioniert zunächst für alle Pakete, die aus dem Internet (hier als Beispiel von der IP-Adresse 3.4.5.6) kommen. Die Empfänger-Adresse wird auf den Proxy umgeschrieben:

Source          Dest
3.4.5.6         1.2.3.4  -> DNAT -> 192.168.10.10

und auf dem Rückweg:

Source          Dest
3.4.5.6         1.2.3.4  <- DNAT <- 192.168.10.10

Der Absender 3.4.5.6 erhält also als Antwort auf sein Paket, dass mit der Empfängeradresse 1.2.3.4 abgesendet wurde.

Das gleiche funktioniert auch, wenn ein Rechner aus dem internen Netz ein Paket an einen unserer beiden Services sendet. Der Router sorgt auch hier wieder für den Aus- und Zurücktausch der Empfänger-Adresse des Pakets.

Jetzt kommen wir aber zu einem Fall, in dem das so nicht funktioniert. Nehmen wir einmal an, der Rechner “service_a.example.com” muss ein IP-Verbindung zu “service_b.example.com” herstellen. Da “service_b.example.com” auch im internen Netz mit der IP 1.2.3.4 übersetzt wird, geht unser IP-Paket also an unseren Router, der auch wieder brav die Empfängeradresse austauscht.

Source          Dest
192.168.10.50   1.2.3.4  -> DNAT to 192.168.10.10

Das Paket geht zunächst ordnungsgemäß an unseren Reverse-Proxy, der an 192.168.10.60 (service_b) vermittelt. Nun soll der Proxy eine Antwort an den Absender schicken und hat folgendes IP-Paket vorliegen:

Source          Dest
192.168.10.50   192.168.10.10

Ah, das Paket kommt von einer IP aus dem eigenen Netz, die ganz ohne Routing direkt erreicht werden kann, also wird die Antwort direkt an 192.168.10.50 gesendet.

Dieser Rechner kann aber mit der Antwort nichts anfangen, denn er hat nie ein Paket an die IP 192.168.10.10 gesendet, sondern an 1.2.3.4.

Also wird die Antwort verworfen, die IP-Verbindung kommt in diesem Fall nicht zustande. Hier haben wir den Fall, in dem ein DNAT für das Portforwarding nicht ausreicht.

Um dafür zu sorgen, dass die Antwort den gleichen Weg nimmt wie das Ursprungspaket auf dem Weg zum Reverse-Proxy und damit der Router die Daten des Pakets wieder auf den ursprünglichen Wert zurücksetzt, müssen wir in der Postrouting-Chain die Absender-Adresse des Pakets auf die IP des Routers ändern:

iptables -t nat -I POSTROUTING -s 192.168.10.0/24 -d 192.168.10.10 -p tcp --dport 80 -j SNAT --to-source 192.168.10.1

iptables -t nat -I POSTROUTING -s 192.168.10.0/24 -d 192.168.10.10 -p tcp --dport 443 -j SNAT --to-source 192.168.10.1

Zusätzlich benötigen wir an dieser Stelle eine Forwarding-Regel, die das Forwarding auch von eth1 zu eth1 erlaubt:

iptables -A FORWARD -i eth1 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Dadurch stellen wir sicher, dass das Paket bei Beantwortung zunächst wieder an den Router geschickt wird, der dann die IP-Adressen wieder auf die alten Werte korrigiert.

Als Regel kann man festhalten, dass wir immer dann eine SNAT-Regel für das Portforwarding benötigen, wenn durch das umschreiben der Empfänger-Adresse (DNAT) das IP-Paket so geändert wird, dass sich der Routing-Pfad auf dem Rückweg so ändert dass der Router, der das Natting durchgeführt hat, nicht mehr beteiligt ist. Dann ist es notwendig, auch die Absenderadresse so zu manipulieren, dass das Paket den gleichen Weg zurück nimmt und am NAT-Router wieder umgeschrieben wird.

Am Sonntag bin ich morgens immer etwas früher wach als der Rest der Familie (ob das schon an diesem Alter liegt?). Mit einer Tasse Kaffee sitze ich dann oft am Rechner, stöbert im Internet und manchmal kommt dann im koffein-gefluteten Gehirn ein Thema vorbei, über dass man etwas sagen möchte.

Dafür ist diese Rubrik jetzt hier und ihr müsst mit mir zusammen da durch.

Also legen wir los.

Über gekürzte RSS-Feeds

Als ich im April 2006 hier mit meinem Blog gestartet bin, war die “Blogosphäre” noch übersichtlich. Alles war etwas kleiner und gefühlt privater. Es gehörte dazu, eine “Blogroll” mit seinen Lieblings-Blogs in der Seitenleiste zu haben und über Verlinkungen fand man andere interessante Blogs.

Die ersten Blog-Verzeichnisse kamen auf, in denen man seinen Blog eintragen konnte und so entstanden nach Themen kategorisierte Verzeichnisse.

Irgendwann wurde es trotzdem schwer, auf allen Seiten die neuen Blogbeiträge im Auge zu behalten und seit dieser Zeit nutze ich RSS-Feeds, um Neuigkeiten im Netz zu verfolgen.

Ein RSS-Feed ist eine XML-Datei, die die Inhalte einer Webseite in einem genormten Format enthält und die man mit einem sogenannten RSS-Reader abonnieren kann. Der Reader ruft diese Datei in regelmäßigen Abständen ab und stellt die Inhalte hübsch aufbereitet dar. Auf diese Weise sieht man an einer zentralen Stelle Neuerungen auf den abonnierten Seiten. Im Prinzip kann man solch einen RSS-Feed auf beliebigen Internetseiten anbieten, sie sind jedoch besonders sinnvoll auf Nachrichten-Seiten und eben auf Blogs. Die folgenden Gedanken sind daher eher auf diese Spezies von Webseiten bezogen.

Ja, RSS-Feeds sind immer noch ein Ding und ein paar von uns nutzen sie immer noch intensiv. Leider ist es etwas aus der Mode gekommen, auf seiner Seite einen solchen Feed anzubieten. Auf vielen Blogs (oder Nachrichten-Seiten) findet man keinen Link oder Hinweis mehr auf einen RSS-Feed. Mit diversen Browsererweiterungen kann man diese Feeds aber immer noch finden und abonnieren.

In der letzten Zeit habe ich einige neue Blogs gefunden und in meinen Feedreader aufgenommen. Dabei stelle ich fest, das immer mehr Blogger zwar einen Feed zur Verfügung stellen, dieser aber gekü rzt wird. Das bedeutet, ich sehe im Reader immer nur einen Artikelteaser oder die ersten Sätze des Artikels und muss, um den Beitrag vollständig zu lesen, über einen Link auf die Webseite des Blogs wechseln.

Auch einige Blogs, die schon länger in meinem Feedreader liegen, haben in den letzten Monaten von einem Volltext- auf einen gekürzten Feed umgestellt.

Das nervt mich. Ich kann nicht mehr einfach die Beiträge im Reader durchlesen. Ich muss anhand des angebotenen Schnipsels entscheiden, ob ich den Beitrag weiter lesen möchte und dann über den Link auf die jeweilige Webseite wechseln. Manchmal stellt sich dann nach ein paar weiteren Sätzen heraus, dass das Thema doch nicht so meins ist.

Es gibt natürlich ein paar Gründe dafür, den RSS-Feed gekürzt anzubieten. Seiten, die sich über Werbeanzeigen finanzieren, also nicht nur ein reines Hobby-Projekt sind, haben das Problem, dass ein Artikel, der über RSS gelesen wird, keine Klickzahlen bringt. Also gehen hier Einnahmen verloren, wenn auf der Seite Anzeigen geschaltet sind, die nach Views oder Klicks bezahlt werden.

Es ist auch schwer, RSS-Leser in Statistiken zu erfassen. Die Anzahl der Besucher und auch die Frage, welche Inhalte am meisten gelesen werden, ist schwer zu messen. Auch hier besteht ein Vorteil, wenn die Leserin aus dem Feedreader zum Lesen des ganzen Artikels auf die Seite kommt.

Der Betreiber einer Webseite hat sich bei der Erstellung (hoffentlich) auch Gedanken gemacht, wie sie oder er ihre/seine Inhalte optisch präsentiert. Die Gestaltung der Seite unterstützt auch die Inhalte, die ich vermitteln möchte. Auch kann man Mehrwerte für seine Leser über zusätzliche Informationen und Links auf seiner Webseite anbieten, die im Feedreader so nicht zu sehen sind.

Eine Besonderheit bei Blogs ist die Kommentarfunktion, über die Bloggerinnen und Blogger mit den Lesern in Kontakt treten und über die Beiträge diskutieren können. Viele Blogs haben die Kommentarfunktion allerdings nicht mehr aktiv und verschieben die Diskussion eher auf die sozialen Medien. (Das wäre ein Thema für eine andere Tasse Kaffee an einem anderen Sonntagmorgen.) Im Feedreader sehe ich nicht, ob es eine Kommentarfunktion gibt und muss zunächst auf die Seite wechseln.

Ich kann also verstehen, warum ihr das mit den gekürzten Feeds macht. Ich habe aber bei mir festgestellt, dass ich bei den Blogs mit den gekürzten Feeds weniger Artikel komplett lese. Beim Scrollen durch die Artikel bin ich eher geneigt, einen Artikel als gelesen zu markieren, wenn mich eine Überschrift oder die ersten Sätze nicht sofort packen. Bei vollständigen Artikel im Reader lese ich eher den ganzen Beitrag oder überfliege ihn zumindest.

Ich würde mich freuen, wenn ihr als Blogger eure Feeds nicht kürzt. Das erleichtert die Zugänglichkeit zu euren Inhalten und ich würde (gefühlt) mehr eurer Beiträge ganz lesen. Und zum Kommentieren komme ich dann auch gern rüber.

Ein technischer Anhang: Mittlerweile kann man in vielen Feedreadern Einstellungen vornehmen, die anstatt des gekürzten RSS-Feeds den ganzen Inhalt der Webseite abrufen und entsprechend darstellen. Es gibt auch Dienste, die für Seiten einen RSS-Feed bereitstellen, die eigentlich gar keinen solchen anbieten. Das ist aber für technisch nicht so affine Personen eine Hürde und außerdem würde es ja mein oben geschriebenes Jammern obsolet machen.

Aloha!

Es ist immer einfacher einen Erfolg zu verbloggen, als eingestehen zu müssen, ein Ziel nicht erreicht zu haben. In den letzten drei Jahren hatte ich es immer geschafft, mindestens 1000 Laufkilometer auf die Uhr zu bekommen. Auch für 2022 hatte ich mit dieses Ziel wieder gesetzt und war mir im Januar noch sicher, dass gut hinzubekommen.

Dann kam es in diesem Jahr etwas anders als gedacht. Nach zwei etwas größeren Haut-OPs konnte ich einige Wochen nicht laufen (Hinweis: Nehmt Vorsorge-Untersuchungen war!). Danach kam ich irgendwie nicht so richtig in den Flow, ich hatte Schwierigkeiten, die Laufrunden in meine täglichen Routinen einzubinden und mit den Arbeitszeiten in Einklang zu bringen. Erst gegen Ende des Jahres habe ich das einigermaßen gerade rücken können, aber da hatte ich schon zu viel Rückstand auf mein Jahresziel.

Und so sind es 2022 auch “nur” 873 Kilometer geworden, die ich durch die Gegend gelaufen bin. Dazu kamen einige Fahrrad-Kilometer, aber die tun hier nichts zur Sache. Obwohl ich mich natürlich etwas über das für mich schlechte Ergebnis ärgere, lasse ich mich nicht entmutigen und hoffe, im neuen Jahr wieder zu mehr Regelmäßigkeit zu finden. Just for the records, es sollen wieder mindestens 1000 Kilometer werden.

Das Jahr 2022 neigt sich dem Ende zu. Die Zeit ist wieder unheimlich schnell vergangen. Ich sitze wie jedes Jahr hier vor dem Bildschirm, um einen kleinen Weihnachtsgruß an euch zu schreiben. Dieses Jahr fällt es mir besonders schwer, ein paar Zeilen aufs Papier respektive diesen Blog zu bekommen. Das Jahr war nicht wirklich toll. So viele Dinge sind passiert und passieren noch, über die ich mir Sorgen mache.

Der / die / das Blog war über das Jahr ziemlich verwaist, auch darüber jammere ich schön regelmäßig an diesem Tag im Jahr. Dennoch möchte ich nicht aufgeben und hoffe, dass ich wieder mehr Motivation gewinnen kann, hier regelmäßiger zu schreiben.

Dann bleibt mir an dieser Stelle nur, allen Leserinnen und Lesern ein paar schöne, ruhige und friedliche Feiertage zu wünschen. Verbringt die Zeit so, wie es für euch am besten ist. Allen Menschen, die sich um andere kümmern, ihnen helfen und auf sie aufpassen, sei besonders in diesen Tagen, wo die meisten von uns zu Hause und/oder bei Freunden und Familie sein können, besonders gedankt. Ihr haltet den Laden noch einigermaßen zusammen und leistet so unglaublich viel.

Frieden.

Wie es die Tradition verlangt führt euch der folgende Youtube-Link zu einem Cover meines Lieblings-Weihnachtslieds “Fairytale Of New York” und diesmal wird es etwas lauter.

Bitteschön.

https://youtu.be/Q0Yj-FoRf1w

Nach so langer Zeit wieder ein Blogeintrag hier und dann ist es natürlich ein Meta-Beitrag über die hier betriebene beste Blogsoftware der Welt.

Nach einer sehr langen Beta-Phase haben wir am vergangenen Wochenende die stabile Version von Serendipity 2.4.0 released. Schwerpunkt dieser Version ist die PHP8-Kompatibiltät der Kernsoftware. Da am 27.11.2022 die Unterstützung für PHP7 endet, stellen einige Hostingprovider auf PHP8 um, hierfür ist das Update von Serendipity dringend nötig.

Für weitere Informationen geht es hier zum Release-Blogeintrag.

Beim Surfen in den Weiten des World Wide Web kommt man immer mal in Verlegenheit, von einem Teil einer Webseite einen Screenshot zu machen. Sei es ein Textausschnitt oder auch ein Foto oder eine Grafik, die man für später archivieren oder auch mal schnell per Mail oder Messenger mit anderen teilen möchte. Manchmal möchte man vielleicht sogar einen Screenshot von der gesamten Webseite machen.

Wahrscheinlich hat jeder von uns im Betriebssystem ihrer/seiner Wahl ein Lieblingstool, mit dem er oder sie Screenshots anfertigt. Allerdings bringt die Desktop-Version des Browsers Firefox eine eingebaute Screenshot-Funktion mit, die ein paar komfortable Features hat und für einen schnellen Screenshot während des Surfens eine gute Alternative sein kann.

Aufruf der Funktion

Aufgerufen wird die Funktion im Firefox mit der Tastenkombination STRG-Shift-S (am Mac ist es CMD-Shift-S). Alternativ könnt ihr auch über das Menü "Weitere Werkzeuge" - "Symbolleiste anpassen" das Icon "Bildschirmfoto" in eurer Symbolleiste hinzufügen und den Modus darüber aufrufen (Danke an Dirk für den Hinweis in den Kommentaren.).

Nach der Betätigung der Tastenkombination hat man vier Optionen, einen Screenshot anzufertigen.

Möglichkeit 1: Seitenelemente kopieren

Fahrt ihr mit der Maus nun über die Webseite, werden Seitenelemente der Webseite (Divs, Grafiken, Testelemente, Überschriften usw.) umrahmt. Mit einem Mausklick wählt ihr den jeweils markieren Bereich für den Screenshot aus. An der Auswahl habe ihr bei allen vier Optionen die Funktionen zum Kopieren in die Zwischenablage oder den Download des Screenshots als PNG-Datei zur Verfügung. Ein Klick auf das “X” beendet die Screenshot-Funktion.

Möglichkeit 2: Einen Bereich für den Screenshot markieren

Mit gedrückter Maustaste könnt ihr im Screenshot-Modus einen beliebigen Bereich der Webseite markieren und danach davon einen Screenshot anfertigen.

Möglichkeit 3: Den sichtbaren Bereich auswählen

Oben rechts erscheinen im Screenshot-Modus zwei Auswahl-Buttons. Mit dem Rechten Button wählt ihr den gesamten sichtbaren Bereich im Browserfenster für den Screenshot aus.

Möglichkeit 4: Gesamte Webseite auswählen

Eine besonders interessante Option bietet der linke der beiden Buttons in der rechten oberen Ecke. Mit diesem Button wählt ihr die gesamte Webseite für einen Screenshot aus, also auch den Bereich, der momentan nicht im Browserfenster zu sehen ist.

Fazit

Die eingebaute Screenshot-Funktion von Firefox bietet einen nützlichen Funktionsumfang und ist komfortabel zu bedienen. Für den schnellen Screenshot zwischendurch ziehe ich die Funktion mittlerweile einem separatem Programm für Screenshots vor.

Das letzte Osterfeuer bei uns im Ort fand im Frühling 2019 statt, vor der Pandemie. In diesem Jahr war es dann wieder soweit und wir waren dabei.

Es fühlt sich für mich immer noch komisch an, mich in größeren Menschenmengen zu bewegen, selbst wenn es draußen ist. War trotzdem schön.

Tina Dico ist eine großartige Künstlerin und dieses Lied mag ich besonders. Die folgende Version fand ich gestern bei Youtube und dachte, die könntet ihr auch gut finden.

Tina Dico feat. Jonathan Kluth - Count To Ten

Bitteschön.

https://youtu.be/RDUKFwG-ZnE

Heizungen gehen ja vorzugsweise im Winter kaputt, wenn es draußen kalt ist. Unsere betagte Heizung hat in den letzten Tagen auch angefangen, etwas rumzuspinnen. Ist wohl alles etwas verkalkt und deshalb greift immer mal wieder die Notabschaltung für die Abgastemperatur. Und weil man das in der Wohnung immer erst bemerkt, wenn es empfindlich kälter in den Räumen wird, waren in den letzten Tagen regelmäßige Kontrollgänge in den Heizungskeller an der Tagesordnung.

Da muss man doch auch was mit IT machen können, dachte ich mir und habe mich heute daran gemacht, mit der hier vorhandenen Hardware etwas zu basteln, das mir das Leben bis zur Behebung des Problems (vermutlich durch einen Tausch der Heizung) erleichtert.

Im Heizungskeller gibt es eine Steckdose und es ist dunkel. Die Heizung selbst hat keine Schnittstellen, die man nutzen könnte. Das waren die Voraussetzungen. Immerhin gibt es WLAN-Empfang dort.

Die Heizung hat eine LED, die normalerweise grün leuchtet und im Störungsfall rot blinkt. Da könnte man doch was mit anfangen. Ich habe mir also einen alten Mini-PC mit eingebautem WLAN geschnappt und eine momentan nicht benötigte Webcam von K2. Auf dem PC flux eine Debian-Minimalinstallation gemacht, die Webcam angeschlossen und das ganze hochprofessionell vor der LED positioniert.

Um mit der Webcam Bilder aufzunehmen, kommt das Programm fswebcam zum Einsatz, das mir schon beim Projekt “Twitternde Webcam” in 2016 gute Dienste geleistet hat. Ein Mini-Bash-Skript macht minütlich ein Foto mit der Webcam und lädt dieses auf den hier im internen Netzwerk stehenden Webserver. Eine sehr, sehr rudimentäre “Webseite” zeigt das Bild an. Fertig ist die Fernüberwachung, mit der ich den Status der Heizung sehe, ohne in den Keller zu laufen.

Laut Wettervorhersage sollte das heute ein ziemlich verregneter und grauer Tag werden. Also hatte ich mich innerlich schon darauf eingestellt, den Tag auf dem Sofa mit $Streamingdienst zu verbringen. Zunächst sah es auch ganz danach aus, es regnete und auf dem Weg zum Brötchendealer war es recht ungemütlich. Nach einem späten Frühstück und einem Stündchen am Rechner lockerten die Wolken etwas auf und es kam sogar die Sonne zum Vorschein.

Also habe ich den Plan kurzerhand geändert, zog die Wanderschuhe an und machte einen Spaziergang um den Borkener See. Der See ist aus einem Braunkohle-Tagebau entstanden und ist mittlerweile ein Naturschutzgebiet. Es war zwar ziemlich kalt, aber ich hatte mich warm eingepackt. Ich habe das sehr genossen und euch auch ein paar Impressionen von der Runde mitgebracht.