Troubleshooter

Verschwundene Dienste

Oft haben die unerklärlichsten Erscheinungen die trivialsten Ursachen. Erreichen Sie beispielsweise per Ping einen Rechner, nicht jedoch eine dort verfügbaren Dienst, so könnte das daran liegen, dass Ihre Firewall den Zugriff verhindert. Überprüfen Sie deshalb mit iptables -L den Status des Paketfilters. Eine Ausgabe wie in Listing 1 signalisiert, dass die Firewall deaktiviert ist.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Stehen die Default Policies dagegen nicht auf ACCEPT, und enthalten die einzelnen Chains Regeln, so arbeitet die Firewall. Eine detailliertere Anzeige, welche Regel wie oft "gematcht" hat, erhalten Sie mit dem Aufruf iptables -L -v. Um die Treffer für einen bestimmten Dienst – beispielsweise FTP – anzuzeigen, filtern Sie die Ausgabe:

iptables -L -v | grep ftp

Um die Firewall zu deaktivieren, löschen Sie die Regeln mit der Eingabe von iptables -F. Die Aufrufe iptables -P INPUT ACCEPT und iptables -P OUTPUT ACCEPT setzen die Regeln auf den Defaultwert "alles erlauben" (ACCEPT) zurück.

Um zu überprüfen, ob der eigene oder der Zielrechner den gewünschte Service überhaupt anbieten, eignen sich Portscanner wie das weit verbreitete Programm nmap (Abbildung 3). Die Eingabe von nmap IP-Adresse scannt das angegebene Ziel nach geöffneten Well-known-Ports. Eigene Port-Bereiche definieren Sie mit der Option -p von -bis , beispielsweise nmap 192.168.1.152 -p 1-1024. Um das verwendete Betriebssystem des Zielrechners anhand des Fingerprints in Erfahrung zu bringen, genügt die Eingabe von nmap -O IP-Adresse .

Beachten Sie: Ein Scan des eigenen Rechners verwendet immer (auch bei Angabe der von außen erreichbaren IP-Adresse) das Loopback Device – und listet damit auch Ports, die sich von außen nicht erreichen lassen.

Abbildung 3: Nmap entdeckt nicht nur offene Ports auf dem Zielrechner, sondern ermittelt anhand bestimmter Eigenarten auch das Betriebssystem des Rechners.

Zu viele Köche

Eine weitere – wenn auch eher selten anzutreffende – Störungsquelle im Netz stellen mehrfach vergebene IP-Adressen dar. Das kommt allerdings nur dann vor, wenn kein DHCP-Server die Adressverwaltung übernimmt. Da Linux für diesen Fall keine Sicherheitsvorkehrungen kennt, kann eine solche Vergabe ein ganzes Netzwerk lahm legen oder zumindest nachhaltig stören, wenn ein Host beispielsweise die gleiche IP-Adresse wie der Gateway oder Nameserver besitzt.

Die einfachste Möglichkeit, einer solchen Doppelvergabe auf die Schliche zu kommen, ist der Einsatz von Arpwatch [2]. Das Programm lauscht als Daemon an der Netzwerkkarte und meldet via Mail Änderungen an der IP/MAC-Zuordnung, womit solche Unregelmäßigkeiten sofort aufallen.

Die jeweils aktuelle Zuordnung von MAC- zu IP-Adressen erhalten Sie mit dem Aufruf arp. Dieser zeigt an, welche MAC-Adresse zu welcher IP-Adresse der letzten Verbindungen gehört. Das Kommando arping sendet wie Ping einen Request an den Zielhost, bekommt jedoch als Rückgabewert unter anderem die ARP-Adresse des Rechners übermittelt.

Manchmal liegt der Fehler nicht in der eigenen Konfiguration, sondern am Übertragungsweg. Erreichen Sie beispielsweise einen bestimmten Host im Internet nicht, reicht oft ein traceroute IP-Adresse , um herauszufinden, wo die Verbindung stockt. Dieser Befehl gibt neben den Hops (Router, welche die Pakete passieren) auch deren Reaktionszeiten aus (Abbildung 4).

Abbildung 4: Mit dem Befehl traceroute verfolgen Sie den Weg der Datenpakete zu ihrem Ziel. Der Parameter -I sorgt dabei für die Verwendung von Paketen des Typs, die auch ping nutzt – eine sehr kompatible Methode.