====== Netzwerk ======

===== Netzwerk-Tools =====
  sudo apt install net-tools

  sudo apt install nano inetutils-traceroute inetutils-ping -y

[[https://manpages.debian.org/bullseye/net-tools/index.html| Net-Tools]]

[[https://manpages.debian.org/bullseye/net-tools/netstat.8.de.html |netstat]] \\

===== IP-Adressen anzeigen =====
Eigener Rechner
  hostname -I
Öffentliche IP4
  curl -4 icanhazip.com
Öffentliche IP6
  curl -6 icanhazip.com

===== Restart der Netzwerkeinstellungen =====
<WRAP important>
Achtung: durch den Netzwerk-Restart kann eine auf dem Gerät installierte [[open:it:kvm#Netzwerkbrücke|KVM - Netzwerkbrücke]] Probleme beim Netzwerkzugriff bekommen.
</WRAP>
Eine Option wählen:
  sudo service networking restart

  sudo systemctl restart networking.service

  sudo /etc/init.d/networking restart -y

===== Route verfolgen =====
Adresse des Gateways
  ip route show

Adresse einer Domain (z.B. duckduckgo.de)

Linux-Konsole
  traceroute duckduckgo.de

Windows-Konsole
  tracert duckduckgo.de

===== Netzwerktraffic analysieren =====

==== Datenpakete mitschneiden ====
[[https://wiki.ubuntuusers.de/tcpdump/|Ubuntu-users->tcpdump]] \\

Tool starten. Ausgabe (nur) auf der Konsole
  sudo tcpdump

Daten in eine Datei schreiben. 
  sudo tcpdump -w <FILE>

Mit "normalem" Editor ist diese Datei nicht lesbar. Genutzt werden kann Wireshark oder mit der Option -r auf der Konsole ausgeben.
  sudo tcpdump -r <FILE>

==== Datenanalyse mit Wireshark ====

[[https://wiki.ubuntuusers.de/Wireshark/|Ubuntu-users->Wireshark]] \\
<WRAP important>
Sicherheitsrisiko: dieses Tool niemals mit Root-Rechten (sudo) starten. \\ 
Dafür das o.a. **tcpdump** nutzen und den Traffic in eine Datei speichern oder dem User die Aufzeichnung erlauben. \\
Siehe entsprechende Hinweise hierzu unter [[https://wiki.ubuntuusers.de/tcpdump/#tcpdumps-mit-Wireshark-analysieren|Ubuntuusers -> tcpdump]]
und [[https://wiki.ubuntuusers.de/Wireshark/#Programmstart|Ubuntuusers -> Wireshark]]
</WRAP>

  sudo apt install wireshark 

Nicht-Root-Usern und Mitgliedern der Gruppe wireshark grundsätzlich erlauben, Netzwerktraffic mit Wireshark aufzuzeichnen: Frage mit Ja beantworten:
  sudo dpkg-reconfigure wireshark-common

Entsprechende User in die Gruppe wireshark aufnehmen
  sudo usermod -aG wireshark <USER>

===== Firewall =====

UFW = Uncomplicated Firewall \\

Firewall installieren
  sudo apt install ufw

Zugriff der Standards erlauben (unbedingt 22/ssh oder OpenSSH vor dem Start von UFW, sonst ggf. kein Zugriff mehr auf den Server!!!!)
Zugriff per SSH
  sudo ufw allow OpenSSH
oder
  sudo ufw allow ssh

Weitere Freigabe-Ports - nur die tatsächlich benötigten freigeben!

  * 22 = SSH/FTP
  * 80 = HTTP
  * 443 = HTTPS
  * 445 = File-Server, siehe [[open:it:samba|Samba - File-Server]]
  * 3306 = MySQL-Datenbank (i.d.R. nur als lokaler Zugriff erforderlich)
  * 51820 = VPN, siehe [[open:it:vpn|WireGuard - VPN-Server]]

Freigabe auch über Port-Nummer möglich, z.B.:
  sudo ufw allow 80
Firewall aktivieren
  sudo ufw enable
Firewall deaktivieren
  sudo ufw disable
Firewall neu starten
  sudo ufw reload
Status anzeigen
  sudo ufw status
numbered = durchnummeriert. Nummern werden zum Löschen einzelner Freigaben benötigt. \\
  sudo ufw status numbered
Genutzte Ports anzeigen
  ss -nptl
Deaktivieren einzelner Freigaben
  sudo ufw deny ssh
Löschen einzelner Freigaben
  sudo ufw delete <number>
<number> aus o.a. Status-Liste \\

===== Remote-Desktop =====
Auf dem lokalen Rechner aktivieren. [[#firewall|Firewall]] zuvor installieren bzw. aktivieren.

  sudo apt install xrdp

  sudo systemctl enable --now xrdp

ggf. diese Einstellung an der Firewall vornehmen

  sudo ufw allow from any to any port 3389 proto tcp

Dann Zugriff auch über Window-Remote-Desktop.