Skip to content

Blutdruck!

Wo sind meine Blutdruck-Pillen hin?

Grund: Die Herren Politiker brüten mal wieder über Netzsperren. Diesmal nicht als Stoppschild gegen Kinder- und Jugendpornographie. Nein, diesmal geht es um Glücksspiele im Internet und das Monopol der Länder darauf und wie man dieses umsetzen könne. Und da kommen natürlich sofort die Netzsperren wieder hervor, da diese ja früher so wunderbar funktioniert haben.

Lesen und weinen oder auch kotzen, wie man mag:

Also, noch einmal: Wer hat meine Blutdruck-Pillen versteckt?

Linux und Trafficshaping

Ein klarer Fall von "Hä?!":

Ich stelle via tc eine maximale downstream Rate von 16000kbit ein.

Und was erhalte ich?

Eine maximale Downloadrate von ca. 4500kbit. Komisch.

OK, probieren wir einmal eine fertige Lösung, z.B. den guten alten Wondershaper (http://lartc.org/wondershaper/):

wondershaper eth1 16000 1000

Und wir erhalten:

Eine maximale Downloadrate von ca. 4500kbit. Hmmm.

Nehmen wir etwas anderes, das gerade im Linux Magazin besprochene tc-Script (http://www.linux-magazin.de/static/listings/magazin/2010/12/TC/):

trafficcontrol-inetgw eth1 16000 1000

Und wir erhalten:

Eine maximale Downloadrate von ca. 4500kbit. Hmmmmm!

Vermutlich bin ich zu doof, zu blöd, mein Kernel (2.6.32.x) ist zu alt, das Karma nicht richtig justiert, oder tc nimmt mir übel, das ich es früher einmal als undokumentiertes Stück esoterischen Code tituliert habe.

Ich glaube, ich werde meine Tage mit einer ungeshapeten Verbindung verleben müssen, denn einerseits funktionieren die fertigen Lösungen irgendwie nicht richtig und andererseits übersteigt die Logik und Syntax von tc einfach meinen Horizont. Ich habe nun schon so oft versucht, mir das anzueignen, aber die Dokumentation ist einfach grottig, die vorhandenen Beispiele in der Dokumentation sind für mich nichtssagend und die Beispiele im Netz sind ebenso unter- bzw. undokumentiert oder beziehen sich auf uralte Kernel und Methoden.

Ich geb's echt auf. Da administriere ich lieber Windows auf der Kommandozeile als noch einmal tc zu verstehen zu versuchen zu wollen.

ext4 oder XFS für Maildir?

Was ist wohl besser geeignet für einen Maildir-Storage von ca. 1TiB Größe?

  • XFS, mit mkfs.xfs -f -d su=64k,sw=5 -l size=32768b,version=2 /dev/mapper/vg03-maildir_lv erzeugt
  • oder ein ext4

Das ganze auf einem via FC-4GBit  angeschlossenen RAID5 mit 5 Platten und 64k Stripe-Size. Der Server hat mit 12GB genug Speicher für Cache und Co.

(ReiserFS3 fällt weg, da es praktisch ungewartet ist und es diverse Berichte gibt, dass es unter Last gerne mal zusammenbricht, Reiser4 muss auch wegen der sehr unklaren Entwicklungssituation ausscheiden.)

Für eine sauberes und sicheres Internet in Europa...

Ansehen, nachdenken, handeln:

http://www.youtube.com/watch?v=RkmcupFx3FQ

http://www.cleanternet.org/

Und auch die anderen Videos von Alexander Lehmann sind sehenswert:

Rette deine Freiheit: http://www.youtube.com/watch?v=OwrMroEiHj0

Du bist Terrorist: http://www.youtube.com/watch?v=SGD2q2vewzQ

Und, ja, die Videos "Rette deine Freiheit" und "Cleanternet" sind inhaltlich recht ähnlich. Was aber daran liegt, dass die Argumente auf europäischer Ebene wieder exakt die gleichen wie bei der deutschen Websperren-Diskussion sind. Und wieder gibt es für die Zahlen und angeblichen Fakten der Befürworter keine Belege. Also: Zurück auf Los, Diskussion und Überzeugungsarbeit wieder von Vorne beginnen.

IPv6, die Nächste

Heute hat mein Hoster Strato offiziell die Beta-Phase für IPv6 beendet und den Dienst offiziell in den Betrieb übernommen.

Und endlich gibt es damit dann auch die Möglichkeit, die Reverse-Zonen an einen eigenen Nameserver zu deligieren oder aber den im Strato-Admin-Frontend integrierten DNS-Editor zu verwenden.

Spielkind, wie ich bin, habe ich letzteres (zunächst noch, bis ich jemanden finde, mit dem ich DNS-Secondaries "tauschen" kann) habe ich dann auch gleich erledigt, damit ich auf dem Server den kompletten IPv6-Support aktivieren kann, vor allem für ausgehende Mails.

Dies musste ich nach kurzer Testphase im Februar zunächst wieder abschalten, da z.B. Freenet ein wenig zickig war und Verbindungen ohne korrekten IPv6-PTR gleich ablehnte.

Aber jetzt funktioniert alles bestens, wenngleich die Strato-DNS selbst noch nicht via IPv6 zu erreichen sind. Ich hoffe, dass die fleissigen Admins hier bald nachlegen. (Oder ich sowohl Vorwärts- sowie Rückwärts-Auflösung selbst in eigene Hände nehme.) Dann kann ich nämlich mit der IPv6-Certification von Hurricane Electric weiter machen.


Bye-Bye Ubisoft!

Tja, so schnell kann man sich alles verscherzen.

Eigentlich hatte ich mich auf das neue "Siedler 7" gefreut und ich hätte es auch gekauft.

Ja, "hätte", denn Ubisoft hat mit ihrem tollen neuen Online-Kopierschutz voll ins Klo gegriffen.

Für uninformierte: Dieser Kopierschutz hält eine dauerhafte Verbindung zu einem Server von Ubisoft über das Internet offen. Selbst für ein Solo-Spiel wie "Die Siedler" oder "Assassin's Creed". Ist jetzt die Verbindung weg, z.B. weil der eigene Provider ein Problem hat oder weil die Server bei Ubisoft herumzicken oder weil irgendwo auf dem Weg vom eigenen PC zu den Ubisoft-Servern irgendetwas schief läuft, so wirf einen das Spiel aus dem aktuellen Geschehen.

Oder man kann erst gar nicht spielen, wie es z.B. über Ostern für mehrere Tage der Fall war, weil die Server von Ubisoft angeblich von einer DDoS-Attacke lahmgelegt wurden.

Da kommt man sich als Kunde dann natürlich maximal veralbert vor, wenn man 50 bis 70€ für ein Spiel ausgegeben hat, was man dann nicht spielen darf, wenn man will.

Oder das einem alle Stunde aus dem Geschehen wirft, weil die eigene Internet-Anbindung nicht zuverlässig ist.

Oder mal eben im Zug zocken: Njet, ohne stabiles Internet keine Chance.

Und was passiert, wenn in 3 Jahren Ubisoft keinen Bock mehr auf den Online-Service hat? Oder Pleite geht? (Das geht heutzutage ja schneller, als man so meint.) Dann ist endgültig Game-Over, es sei denn, es wird noch schnell ein Offline-Patch nachgeschoben. Die Erfahrung zeigt aber, dass letzteres im Insolvenz-Fall eher selten erfolgt.

Das weckt doch gewisse Erinnerungen an DRM-verseuchte Musik, bei der der Anbieter auch plötzlich meinte, die Server abschalten zu müssen, um dann den zu Recht erbosten Ex-Kunden den "tollen" Ratschlag zu geben, diese mögen die gekaufte (eigentlich ja geleaste) Musik analog kopieren und dann neu aufnehmen.

Also Ubisoft: Well done! Ihr bekommt auf absehbare Zeit kein Geld mehr von mir.

IPv6 gestört

Nach einer angekündigten Wartung seitens Strato ist meine IPv6-Anbindung derzeit gestört. Ich weiss natürlich nicht, was genau schief gegangen ist, aber für mich sieht es so aus, wie wenn der derzeit aktive Router kein IPv6 mehr weiterleitet.

Anpingbar ist das über HSRP redundant gemachte Default-GW fe80::1 zwar, aber nicht zu 100%, es treten sporadisch Paketverluste auf.

Außerdem reagiert einer der beiden Router ab und zu, aber nicht immer, auf ein "Neighbor advertisement" mit einem "Administratively prohibited". Das kann nicht gesund sein.

Und auch ein "ip -6 neigh show" zeigt kein stabiles Verhalten, die Default-Route spring häufig zwischen den REACHABLE und DELAY Zuständen hin und her:

fe80::3 dev eth0 lladdr 00:05:dc:54:b8:00 router DELAY
fe80::2 dev eth0 lladdr 00:02:4a:33:f4:00 router DELAY
fe80::1 dev eth0 lladdr 00:05:73:a0:00:01 router REACHABLE

fe80::3 dev eth0 lladdr 00:05:dc:54:b8:00 router REACHABLE
fe80::2 dev eth0 lladdr 00:02:4a:33:f4:00 router DELAY
fe80::1 dev eth0 lladdr 00:05:73:a0:00:01 router REACHABLE

fe80::3 dev eth0 lladdr 00:05:dc:54:b8:00 router DELAY
fe80::2 dev eth0 lladdr 00:02:4a:33:f4:00 router REACHABLE
fe80::1 dev eth0 lladdr 00:05:73:a0:00:01 router DELAY

fe80::3 dev eth0 lladdr 00:05:dc:54:b8:00 router DELAY
fe80::2 dev eth0 lladdr 00:02:4a:33:f4:00 router REACHABLE
fe80::1 dev eth0 lladdr 00:05:73:a0:00:01 router DELAY

fe80::3 dev eth0 lladdr 00:05:dc:54:b8:00 router DELAY
fe80::2 dev eth0 lladdr 00:02:4a:33:f4:00 router DELAY
fe80::1 dev eth0 lladdr 00:05:73:a0:00:01 router DELAY

Auch das sieht nicht wirklich gesund aus. Mal sehen, was der Strato-Support dazu sagt, immerhin ist IPv6 noch in der Beta-Phase. Hoffentlich beheben sie das Problem dennoch zeitnah.

Sysadmin-Lektion Nummer 0xf3

Sysadmin-Lektion von heute: Wenn man will, dass der Nameserver seine Zonen auch nach aussen präsentiert, dann sollte man Port 53 im Paketfilter öffnen, sonst wird die ganze Sache eine eher einsame Aktion.

Morgen lernen wir dann, wie tief man sich bei der Umstellung des lokalen Netzes von einer Domäne auf eine andere in den Fuß schießen kann und ob ich im Verlauf der Aktion meine Admin-Lizenz zurück geben muss.

Stay tuned!

Nun auch via IPv6

Oh ... mein ... Gott!

Ein neuer Eintrag, es ist kaum zu glauben!

Aber Scherz beiseite: Ja, es ist verdächtig ruhig hier geworden. Aber ich hatte nie vor, der Herr unter den Bloggern zu werden, sondern die ganze Sache sollte eher ein nebenbei noch eine brauchbar anzusehende Webseite abwerfen, während die "richtige" Arbeit hinter den Kulissen läuft.

Aber zum eigentlichen Thema: Nachdem ich heute zufällig entdeckte, das Strato mittlerweile nativen IPv6-Support für Root-Server anbietet, konnte ich natürlich nicht widerstehen und habe das Feature auch gleich aktiviert.

Und weil ich mutig bin, werde ich das auch für den Mail-Server einschalten, man gönnt sich ja sonst nichts.

Sollten also in den nächsten Tagen also merkwürdige Dinge mit Mails an mich passieren, dann könnte es an meinen Experimenten liegen.

In so einem Fall bin ich immer noch über folgende Ausweich-Adresse erreichbar: "sven" auf dem Host "ds9.gnuu.de".

Morgen-Übelkeit

Frau von der Leyen, die Paladina der modernen Zeit, will weiter Ihrem Kreuzzug zur vollständigen Überwachung der Gesellschaft folgen.

Und wenn ich dann so etwas lese: "Der Kinderschutz sei hierbei aus ihrer Sicht wichtiger als die Freiheit der Kommunikation." (heise.de: Familienministerin beharrt auf ihrem Plan zu Kinderporno-Sperren), dann wird mir extrem schlecht.

Bitte nicht mißverstehen: Ich halte Kinderporno-Produzenten und -Konsumenten für den niedrigsten Abschaum, den unsere Gesellschaft hervorbringt, aber die Ideen von Frau v.d. Leyen schießen weit über das Ziel hinaus bzw. gehen noch nicht einmal in die richtige Richtung.

So eine Meldung wie die von oben ist also prima geeignet, um bei mir heftigsten Brechreiz hervorzurufen.

InterServ AG FZE, Klappe die Zweite

Jaja, die InterServ AG FZE mal wieder.

Ich dachte eigentlich, ich wäre die Webseiten-Abzocker losgeworden, aber jetzt flattert mir erneut eine sogenannte "Mahnung" ins ausHaus. Wieder einmal wird die Drohkulisse aufgebaut und mit drastischen Schritten gedroht. Es wird sogar vorgerechnet, was für Kosten auf einen zukommen könnten, wenn man nicht endlich (und binnen 5 Tagen) zahlen würde.

Neu ist, dass diesmal sogar die Anmelde-Daten (IP-Adresse und Datum der Anmeldung) mitgeschickt worden sind.

Das lustige dabei: Die IP ist von einem TOR-Exit-Node, also exakt gar nichts wert.

Aber auch dieses Mal sehe ich mich nicht bemüßigt, auch nur eine Briefmarke zu investieren. Dazu muss erst einmal ein gerichtlicher Mahnbescheid kommen und der ist erst einmal teuer für den Beantragenden und damit ausserhalb des Investitions-Rahmens, den die Abzocker-Buden und ihre Helfers-Helfer bereit sind zu investieren.

Nachtrag: Da ich mittlerweile bei der Google-Suche nach "InterServ AG FZE" auf der dritten Stelle auftauche, hier einmal ein paar Links zu weiteren Infos:
Wichtig ist: Nicht einschüchtern lassen! Nicht auf die Schreiben eingehen! Und vor allem: Nicht zahlen!

InterServ AG FZE auf der Pirsch

Man kennt ja die Portal im Web, die einem einen Lebenserwartung- oder Führerschein-Check anbieten. Allesamt sind dies Fallen für unbedarfte Internet-Surfer, die sich dort leichtgläubig anmelden und dann später eine saftige Rechnung über die Leistung erhalten.

Allen diesen Seiten gemein ist, dass die Kosten rechtswidrig in den schwer zu lesenden AGBs versteckt sind und darüberhinaus die Kostenpflichtigkeit des Angebots nach Kräften verschleiert wird.

Siehe auch den c't Artikel in 20/2007: http://www.heise.de/ct/07/20/090/default.shtml

Viele Leute lassen sich einschüchtern und zahlen, denn man hatte ja auf einer Webseite die Daten eingegeben.

Und jetzt die Überleitung: Was hatte ich heute im Briefkasten? Ja, genau, eine Forderung der "InterServ AG FZE", durchgeführt von der "Deutschen Inkassostelle", alles beide keine Unbekannten in dem Feld.

Ich hätte angeblich am "Projekt: Lebenscheck" teilgenommen und solle jetzt 99€ plus Gebühren, zusammen 131,11€ zahlen.

Aber: Im gegensatz zu den unbedarften Surfern aus dem Anfang des Eintrages weiss ich Bescheid und habe niemals auf einer solchen Seite meine Daten eingegeben (ich bin ja nicht komplett bescheuert!).

Dazu kommt noch, dass sich ein Tippfehler in der Adresse befindet und so umnachtet kann ich gar nicht sein, dass ich meine eigene Adresse so falsche eintippen würde.

Nach Rücksprache mit der Verbraucherzentrale werde ich diese Aufforderung ignorieren, denn wenn die Jungs von mir Geld sehen wollen, dann müssen sie a) die Forderung beweisen (was ihnen schwer fallen dürfte) und b) dann vor Gericht einen Titel gegen mich erwirken.

Und dies läuft ja grundsätzlich gegen das Geschäftsmodell dieser Leute, welches darauf baut, dass sich die Opfer von der Drohkulisse einschüchtern lassen und zahlen.

Empfehlenswert ist hier als Merkblatt der Flyer der Verbraucherzentrale Hessen: http://www.verbraucher-zentrale-hessen.de/download/internetabzocke.pdf

Nerviger Trackback-Spam

Die ganze Zeit war es bisher ruhig auf meinem Webserver. Die großen Trackback- und Comment-Spam-Attacken gingen an mir vorüber (was auch nicht verwunderlich ist bei der geringen Reichweite und Bedeutung meiner Seiten).

Aber jetzt hatte es mich erwischt:

RAM-Auslastung
Sehr schön kann man die Auslastung des Swap sehen, bis der OOM-Killer zuschlägt.

Ausgelöst wurde das ganze durch viele viele apache-Prozesse. Der Grund liegt ironischerweise im Spamblocker-Plugin meinr Blog-Engine, die standardmäßig in den verlinkten Seiten eines Trackbacks prüft, ob dort auch wirklich in Link auf meine Webseiten vorhanden ist. Und hier gab es leider keinen Timeou, so dass viele Anfragen ewig warteten.

Kristian Köhntopp hat hier einen Workaround gefunden, mal schauen, wie die offizielle Version des Codes dann aussieht.

Zusätzlich habe ich noch einige IP-Bereiche (z.B. 200.238.102.0/24) via iptables gefiltert, so dass sich das Geschehen wieder in normalen Bahnen bewegt.

Willkommen

Willkommen in der Blogosphäre, Nina.

(Und wenn du mir sagst, wo dein Blog genau liegt, dann gibt es sogar eine Verlinkung dorthin.)

Nachtrag: NinaBlog