damn1337.de

Hetzner hat mit der neuen Server-Serie (EQ) eine neue Leistungsregion für Kunden erschlossen. Die Server stehen im Rechenzentrum 10 (RZ10) im schönen Falkenstein im Vogtland. Nicht nur die Ausstattung der Server ist neu, sondern auch die Menge von IP-Adressen, die man zusätzlich nutzen kann. Bei den Vorgängersystemen (DS-Serie) war es noch ein komplettes Subnetz (bis zu 9 IP-Adressen) nun sind es nur noch 4.

Auch die Einrichtung der zusätzlichen IPs, beispielsweise für die Nutzung als vServer, wird von Hetzner leider nicht näher erläutert. Im hauseigenen Wiki tut man noch so, als würde es die neue Servergeneration nicht geben. Alle Anleitungen beziehen sich auf die DS-Serie. Unerfreulich ist außerdem, dass der Hetzner-Support die Verantwortung für die Einrichtung der zusätzlichen IPs vollständig auf den Kunden abwältzt und sogar sowei geht, dass Drittsoftware-Anbieter (bspw. VMware, Xen) für nicht funktionierende IP-Adressen im vServer verantwortlich wären.

Ich war heute kurz davor, aufgrund der Erlebnisse mit dem Hetzer-Support, vom Vertrag zurückzutreten, habe dann mit der richtigen Idee (die kam nicht vom Hetzner-Support) das ganze schlußendlich zum Laufen bekommen.

Es gibt vielleicht noch andere, die ein ähnliches Problem haben, daher hier eine Anleitung, wie man auf dem EQ mit Debian einen VMware Server 2.0 mit Bridged-Setup eingerichtet bekommt:

Zum grundsätzlichen Verständnis der Angelegenheit, alle IP-Adressen sind an die MAC-Adresse des Host-Systems gebunden. Dass heisst, wenn man einfach die neue IP-Adresse im vServer (Gast-System) einträgt, wird das IP-Paket am Router weggeworfen, weil die MAC-Adresse nicht bekannt ist. Was ohne Anpassungen funkioniert, ist die zusätzlichen IP-Adressen direkt ins Host-System einzutragen. Wer das machen will, braucht die nachfolgenden Dinge NICHT lesen.

Wir wollen aber einen vServer mit einer “echten” IP als Gast-System betreiben. Auf Grund dessen und der Tatsache, dass der Hetzner-Router die IP-Pakete nicht bekannter MACs verwirft, müssen wir uns quasi auf dem Host-System einen Router einrichten, das geht so:

Folgende Konfiguration:
Haupt-IP: 188.40.1.2
Subnetz: 255.255.255.192
Gateway: 188.40.1.1

Zusatz-IPs: 188.40.1.3 & 188.40.1.4

1. IP-Forward aktivieren

$> echo “1″ > /proc/sys/net/ipv4/ip_forward

Am Besten auch gleich in der /etc/sysctl.conf eintragen: net.ipv4.ip_forward=1

2. Routen für die zusätzlichen IP-Adressen hinzufügen.

$> route add -host 188.40.1.3 gw 188.40.1.3
$> route add -host 188.40.1.4 gw 188.40.1.4

Die /etc/network/interfaces sollte so aussehen:

# Loopback device:
auto lo
iface lo inet loopback

# device: eth0
auto  eth0
iface eth0 inet static
address   188.40.1.2
broadcast 188.40.1.63
netmask   255.255.255.192
gateway   188.40.1.1

# default route to access subnet
#up route add -net 188.40.1.0 netmask 255.255.255.192 gw 188.40.57.1 eth0
up route add -host 188.40.1.3 gw 188.40.1.3
up route add -host 188.40.1.4 gw 188.40.1.4

Die erste Route ist standardmäßig bei Hetzner aktiviert, kann aber raus, da wir kein ganzen Subnetz, sondern nur einzelne IPs zu routen haben.

Für das Host-System war das schon alles.

Nun zum Gast-System:

Dort wird die zusätzlich IP-Adresse eingetragen, also 188.40.1.3 oder 188.40.1.4. Als Gateway muss jedoch das Host-System genutzt werden. Also als GW die IP-Adresse 188.40.1.2 nutzen.

Das war’s, fertig ist der Lack :)

Das folgende Video erklärt in 3 Minuten mit Lego-Figuren, was es mit den Stopp-Schildern gegen Kinderpornografie aufsich hat und warum das geplante Vorgehen nicht sinnvoll seien kann, sondern vielmehr auch unschuldige Nutzer kriminalisiert und die sog. Pädokriminellen warscheinlich sogar ungeschoren davon kommen könnten. *good job*

Es war ja irgendwie zu erwarten, dass da noch etwas kommt. Nicht mal eine Woche ist es her, dass die Bundesregierung die unkontrollierte Sperrung von vermeintlichen Kinderporno-Webseiten durch das BKA authorisierte. Die gesperrten Seiten sollten durch ein “Stopp-Schild” gekennzeichnet werden. Dieses Stopp-Schild war mit einem Text versehen, der u.a. folgende Passage enthielt:

Weder Informationen zu Ihrer IP-Adresse noch andere Daten, anhand derer Sie identifiziert werden könnten, werden vom Bundeskriminalamt gespeichert, wenn diese Seite erscheint.

Davon ist nun keine Rede mehr. Die Bundesregierung denkt bereits über eine Echtzeitüberwachung der Seiten nach. Ulrich Staudigl, Sprecher des Bundesjustizminsteriums, sagte gegenüber heise online, dass man Regierungsintern eine Überwachung der Stopp-Seiten in betracht zieht. Irgendwie erinnert mich diese Hin-und-Her an folgenden Ausspruch: “Niemand hat vor eine Mauer zu errichten.”

Diese Entwicklung und permanente Einschränkung unserer Freiheiten in Deutschland ist für mich hochgradig bedenklich. Unter dem Vorwand der totalen Sicherheit begeben wir uns schrittweise in die total Überwachung ohne Freiheit. Das BKA entwickelt sich zunehmend zu einem Organ, dass wir zumind. im osten Deutschlands vor 20 Jahren loswerden wollten. Vielleicht stehen mittlerweile ja sogar Altkader auf der Gehaltsabrechung aus Wiesbaden.

Ab wievielen Besuchen der Stopp-Seiten wird man wohl mit der Hausdurchsuchung rechnen dürfen?

Heute wurde der Rahmenvertrag zwischen dem BKA und fünf Providern (Deutsche Telekom, Vodafone/Arcor, Hansenet/Alice, Telefonica/O2 und Kabel Deutschland) zur Sperrung von Internetseiten mit kinderpornografischen Inhalten geschlossen. Die rechtliche Basis für diesen Eingriff soll jedoch erst am nächsten Mittwoch geschaffen werden. Nach Plan von BKA und Bundesfamilienministerin von der Leyens sollen spätestens in sechs Monaten “Stopp-Schilder” beim Aufrufen einer Webseite angezeigt werden, die Kinderpornos enthält.

Grundsätzlich ist das Vorgehen gegen Kinderpornografie lobenswert. Allerdings wird mit der nun geschaffen technischen Lösung weder Kinderpornografie unterbunden, noch vernichtet. Die vom BKA erdachte Lösung sieht lediglich den Eingriff in die Nameserver der Provider (DNS-Poisoning) vor. Dort wird dann der A-Eintrag für die verdächtige Domain auf eine andere IP-Adresse umgeleitet. Von einer Sperre kann technisch wohl nicht die Rede sein, eher von einer Hürde, die mit minimalen Aufwand von jedem Nutzer umgangen werden kann.

Darüber hinaus ist fragwürdig, da das BKA die Sperrlisten selbstständig erstellt und verwaltet, welche Instanz hier nachgeordnet eine Kontrollfunktion ausübt. Die Provider werden sicherlich den Weg des geringsten Aufwands gehen. Es ist davon auszugehen, dass die Eintragung der vom BKA erstellten und täglich gelieferten Sperrliste vollautomatisch in den Nameservern der Provider vorgenommen wird. Nur zu leicht könnte dieses System zukünftig für die Sperrung von anderen Domains genutzt werden. Für mich ist es nur noch eine Frage der Zeit, wann wir nach biometrischen Reisepässen und Personalausweisen, die Zensierung des Internet erleben dürfen – natürlich nur zur Terrorbekämpfung!

Einen sehr umfassenden Artikel zum Thema, der alle Aspekte ausführlich beleuchtet haben Holger Bleich und Axel Kossel geschrieben.

Hier gibt’s ein Update vom 26. April 2009.