Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-03-30 22:04:07

  quartist - Użytkownik

quartist
Użytkownik
Zarejestrowany: 2011-06-09

Kernel + grsec + imq + layer7 + iptables

Witam,

Proszę o pomoc. Potrzebuje wersje kernela i patchy które potrafiły by współpracować w konfiguracji takiej jak w temacie. Ktoś zna poprawną konfigurację taką lub używa u siebie na codzień?

Offline

 

#2  2012-03-30 22:56:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Kernel + grsec + imq + layer7 + iptables

Z Grsec i i IMQ zbyt wielkich problemów nie ma, najtrudniej jest wykombinować coś sensownego z layer7, bo te łatki nie są zbyt intensywnie rozwijane, a jak ostatnio kombinowałem je z dev.openwrt, to nie chciały za bardzo działać.

Chyba nałatwiej będzie z jajem 2.6.32.*, ale to jest trudne do przewidzenia.
Musisz troche popróbować.

Tu sa najświeższe łatki m.in layer7:
https://dev.openwrt.org/browser/trunk/target/linux/generic/


Edyta:
Grsec mam w jaju od wersji 2.6.36 prawie zawsze, właśnie wkompilowałem layer7 do jajka 3.3.0 i  iptables 1.4.12.1, wygląda na to, że działa.

Łatki z dev.openwrt.

Layer7 kernel: https://dev.openwrt.org/browser/trunk/target/linux/generic/patches-3.3

Iptables: https://dev.openwrt.org/browser/trunk/package/iptables/patches/002-layer7_2.22.patch

Jeden kłopot jest z IMQ - łatka na stronie IMQ jest na max 3.1, a stabilna Grsecurity - jest aktualnie na 3.2.13 i 2.6.32.59.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-03-31 15:08:51)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-03-31 14:50:37

  quartist - Użytkownik

quartist
Użytkownik
Zarejestrowany: 2011-06-09

Re: Kernel + grsec + imq + layer7 + iptables

Dzieki za rady. Faktycznie na kernelu 2.6.32.33 przeszły wszystkie patche tylko iptables sie niechce skompilowac ponieważ zwraca błąd typu:

Kod:

CC libxt_layer7.oo
libxt_layer7.c:25:39: warning: linux/netfilter/xt_layer7.h: No such file or directory
libxt_layer7.c:48: warning: 'struct xt_layer7_info' declared inside parameter list
libxt_layer7.c:48: warning: its scope is only this definition or declaration, which is probably not what you want
libxt_layer7.c: In function 'parse_protocol_file':
libxt_layer7.c:92: error: 'MAX_PROTOCOL_LEN' undeclared (first use in this function)
libxt_layer7.c:92: error: (Each undeclared identifier is reported only once
libxt_layer7.c:92: error: for each function it appears in.)
libxt_layer7.c:95: error: dereferencing pointer to incomplete type
libxt_layer7.c:101: error: 'MAX_PATTERN_LEN' undeclared (first use in this function)
libxt_layer7.c:103: error: dereferencing pointer to incomplete type
libxt_layer7.c: At top level:
libxt_layer7.c:249: warning: 'struct xt_layer7_info' declared inside parameter list
libxt_layer7.c: In function 'parse_layer7_protocol':
libxt_layer7.c:270: warning: passing argument 3 of 'parse_protocol_file' from incompatible pointer type
libxt_layer7.c:48: note: expected 'struct xt_layer7_info *' but argument is of type 'struct xt_layer7_info *'
libxt_layer7.c:284: error: dereferencing pointer to incomplete type
libxt_layer7.c:284: error: dereferencing pointer to incomplete type
libxt_layer7.c:284: error: 'MAX_PATTERN_LEN' undeclared (first use in this function)
libxt_layer7.c: In function 'parse':
libxt_layer7.c:296: warning: passing argument 2 of 'parse_layer7_protocol' from incompatible pointer type
libxt_layer7.c:249: note: expected 'struct xt_layer7_info *' but argument is of type 'struct xt_layer7_info *'
libxt_layer7.c:298: error: dereferencing pointer to incomplete type
libxt_layer7.c: In function 'print':
libxt_layer7.c:339: error: dereferencing pointer to incomplete type
libxt_layer7.c:340: error: dereferencing pointer to incomplete type
libxt_layer7.c: In function 'save':
libxt_layer7.c:348: error: dereferencing pointer to incomplete type
libxt_layer7.c:348: error: dereferencing pointer to incomplete type
libxt_layer7.c: At top level:
libxt_layer7.c:355: error: invalid application of 'sizeof' to incomplete type 'struct xt_layer7_info'
libxt_layer7.c:356: error: invalid application of 'sizeof' to incomplete type 'struct xt_layer7_info'
make[2]: *** [libxt_layer7.oo] Error 1

Offline

 

#4  2012-03-31 15:03:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Kernel + grsec + imq + layer7 + iptables

2.6.32.33 - to jest dość niekatualna wersja, jak koniecznie musisz 2.6.32 to raczej najnowszy z końcówką 59.

Co do błędu z łatką layer7 na iptables, to cały powód jest w braku nagłówka:

Kod:

libxt_layer7.c:25:39: warning: linux/netfilter/xt_layer7.h: No such file or directory

Ale sposób ręcznej kompilacji masz opisany [b][url=http://l7-filter.sourceforge.net/HOWTO]tutaj[/url][/b]:

iptables 1.4.1.1 and newer
......
    "./configure [b]--with-ksource=/path/to/patched/kernel_source" [/b](use the full path)
    "make"
    (as root) "make install"[/quote]
Względnie, u mnie  portage automatycznie buduje iptables, więc dopisalem pełną ścieżkę w łatce.
Po prostu w łatce, zmieniłem w linii 28 scieżkę względną na bezwględną, teraz ten kawałek wyglada tak:

+#define _GNU_SOURCE
+#include <stdio.h>
+#include <netdb.h>
+#include <string.h>
+#include <stdlib.h>
+#include <getopt.h>
+#include <ctype.h>
+#include <dirent.h>
+
+#include <xtables.h>
[b]+#include </usr/src/linux/include/linux/netfilter/xt_layer7.h>[/b]
+
+#define MAX_FN_LEN 256
+[/quote]
Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-03-31 16:25:43)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.008 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00015 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00112 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.194.138' WHERE u.id=1
0.00070 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.135.194.138', 1732613324)
0.00048 SELECT * FROM punbb_online WHERE logged<1732613024
0.00076 DELETE FROM punbb_online WHERE ident='3.21.246.53'
0.00073 SELECT topic_id FROM punbb_posts WHERE id=198865
0.00005 SELECT id FROM punbb_posts WHERE topic_id=20987 ORDER BY posted
0.00055 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20987 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00130 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20987 ORDER BY p.id LIMIT 0,25
0.00071 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20987
Total query time: 0.00664 s