Freesco, NND, CDN, EOS

Czy jąderko NND jest połatane odpowiednimi patchami spełniając wymogi poprawnego działania na interfejsach IMQ ?? Tutaj jest adres http://www.djgregor.one.pl/kernel/ z instrukcją łatania jądra. Czy brakuje czegoś w bierzącym jajku ? Mam pewne problemy z działaniem na IMQ i zastanawiam się czy to nie sprawka jąderka .....

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

to ja zeby nie zakladac nowego watku zapytam sie czy w jajko jest wkompilowany patch poprawiajacy bezpieczenstwo Grsecurity (http://www.grsecurity.net/)??

edit
jeszcze art w PL jak to zaaplikowac:
http://www.linux.slupsk.pl/index.php?op ... &Itemid=92

_________________
RoUteR NND [ C333 | 128MB RAM | 13GB HDD | DSL 2Mb]

Szczegółowo to zapewne Pinky odpowie na ten post, bo to on przygotowywał konfigurację jądra. Ja mogę powiedzieć tylko, że jądro było patchowane, ale jakimi łatkami, to już nie wiem

_________________
Belfer.one.PL
Audio Cafe

patche są mniej więcej takie:
-imq
-patch-o-matic (ale co dokładnie to nie znam na pamięć)

i chyba tyle :]

no i OpenWall :>

W kernelu od wersji 2.4.30 są zastosowane nastepujące łaty:
OpenWall, imq, esfq i aktualny snapshot pom-ng, a w nim:
string, CONNMARK, TTL, connlimit, iprange, mport, TARPIT, psd, REJECT, mport, nth, random, time i ipp2p.

Całość można zobaczyć w CVS:
jaja 'stable': http://cvs.devel-nnd.brb.pl/cvsweb.cgi/ ... nel24-ide/
i testing: http://cvs.devel-nnd.brb.pl/cvsweb.cgi/ ... nel24-ide/

PInky

_________________
Polska Grupa Freesco

Jest już w wersji "pacmanowej" , czy w wersji "Adama Słodowego" (zrób to sam ) ?

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

jest w wersji pacmanowej tutaj: http://stacja2.huta-ujscie.pl/~macieks/nnd/
do tego iptables i iproute pod ten kernel.
Zapraszam do testów oczywiście jak ktoś ma sagema to musi nowe eagle instalnąć

Jakieś dodatkowe wpisy wymagane ? Coś oprócz standardowego lilo trzeba zrobić ? Wolę zapytać bo robię to zdalnie i jakoś nie chce mi się odbyć wycieczki do serwerka ...... a znam siebie i wiem ,że skleroza jednak boli .... objawia się bólem nóg

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

po instalce kernela tylko lilo i będzie OK
ale nie zapomnij też o iptables i iproute bo one są kompilowane pod kernel.
Wszystko inne co masz skompilowane pod kernel też trzeba wymienić.

'Moje' jajko pracuje ze 'starymi' tablesami i iproute, więc do testu zmiana nie jest wymagana. Przypuszcam, że wersja macieksa też bez zmian tych pakietów będzie działać, a nie wiem, czy nowe tablesy i iproute są wstecznie kompatybilne z poprzednim jajkiem.
I najlepiej dopisz nowy kernel obok istniejącego, żeby w razie problemu mieć możliwość powrotu do stabilnego i sprawdzonego jajka:)

kPinek

_________________
Polska Grupa Freesco

OK Ale jak chcę zaktualizować iptables wyskakuje mi komunikat:
[root@serwer przemek]# pacman -U iptables-1.3.1-1nnd.pkg.tar.gz
loading package data... done.
checking for file conflicts...
error: the following file conflicts were found:
iptables: /usr/lib/iptables/libipt_ipp2p.so: exists in filesystem
errors occurred, no packages were upgraded.

JUŻ TO ROZWIĄZAŁEM - PO PROSTU TO BYŁA POZOSTAŁOŚĆ PO MOICH DZIAŁANIACH - skasowałem ten plik

przypuszczam, że najpierw trzeba usunąć pakiet ipp2p. W najnowszym jajku/iptables ipp2p jest standardowo dołączone.

pinky

_________________
Polska Grupa Freesco

instalowales wczesniej ipp2p, usun ipp2p i dopiero jajko

_________________

Po upgreadzie straciłem jednak dostęp do netu i co najgorsze do serwera , ale nie była to wina moja ani ( w zasadzie ) autorów. Jest jednak pewna nieprzemyślana rzecz w pakiecie upgreadującym iptables. Wydaje mi się ,że błędem jest pakowac do paczki znów standardowego firewalla - ja mam swojego z zupełnie innymi regułami - kilka podsieci , inaczej rozwiązana maskarada , itd... Po upgreadzie nie spodziewałem się podmiany tego pliku , na przyszłość będę pamiętał , ale czy nie jest to bez sensu ? Każdy na pewno ma jakiegoś firewalla , więc upgrade tego elementu jest według mnie bezsensowny .

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

A manual do pacman Szanowny Pan czytał? Założę się że nie. A tam jak BYK jest napisane o NoUpgrade... Wybacz, wina jest 100% Twoja - pamiętaj, że pakiet musi pasować zarówno Tobie, który masz już skonfigurowany system, jak i w w zupełnie świerzej instalacji.
Jeśli skonfigurowałeś system to powinieneś własne konfigi zabezpieczyć. Do tego służy opcja NoUpgrade. Gdybyś nie zaniedbał swoich obowiązków administartora nie miałbyś problemu.
Pomijając już że gdybyś zastosował /etc/rc.d/iptables save Twoje regułki miałyby priorytet nad standardowym firewallem i zostały zamiast niego załadowane.
Sorry Winnetou - ewidentny błąd w sztuce adminowania.

P.S. swoją drogą, zastanawia mnie skąd się w narodzie bierze taka niechęć do czytania i nauczenia się czegoś nowego...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Manual czytał - NoUpgrade zna, ale jakoś nie myślał , że jak kupię ciągnik to w zestawie jest przyczepa - a pozwolenia na jazdę z przyczepą nie mam . Zawsze staram się postapić rozsądnie - jak zauważyłeś od długiego czasu nic nie pisałem , dopiero ostatnio . Jak dotąd żadnych kłopotów , ale jakoś uważam ,że firewall w pakiecie iptables to niespodzianka typu gacie z zaszytymi otworami na nogi . Nie obraź się , ale to jest nieprzemyślane. To moje zdanie , jeżeli nie mam racji przekonaj mnie

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Cóż... ja jestem za to odpowiedzialny więc spróbuję wyjaśnić dlaczego jest tak a nie inaczej.

Każdy plik w systemie należy do jakiegoś pakietu. W tej chwili nie ważne do jakiego. Ważne że należy. Więc jeśli jakiś plik edytuję i nie chcę starcić zmian, które wprowadziłem to zabezpieczam go poprzez NoUpgrade... aż tak proste.
Powtórzę - każdy plik jest w jakims pakiecie!

Teraz bardziej szczegółowo - to że firewall jest w pakiecie iptables wynika z dwóch rzeczy:
1. właśnie iptables służy do budowy firewalla więc logiczne jest tu włśanie umieszczenie defaultowego firewalla.
2. system dysponuje poleceniem /etc/rc.d/iptables save, które ma służyć do zapisania aktualnych ustawień firewalla. I wynik tego polecenia jest priorytetowy w stosunku do standardowego firewalla.
3. Na etapie przygotowań nie mieliśmy (zresztą nadal nie mamy) firewalla z prawdziwego zdarzenia, z możliwością konfiguracji, zintegrowanego z systemem i zgodnego z jego założeniami. Script /etc/iptables/firewall Zciech napisał dla mnie z dnia na dzień jako coś co zawsze w systemie będzie, i tuż po instalacji będzie stanowiło jakąś choćby minimalną osłonę systemu/sieci. Założenie było takie, że administrator w krótkim czasie po instalacji przygotuje swój, zorientowany na własną sieć firewall i wykorzysta mechanizmy systemowe (/etc/rc.d/iptables save) aby tego właśnie używać.

(wyszły trzy, ale mam nadzieje że nie będziesz drobiazgowy.)

Tak czy siak - twoje problemy są wynikiem zaniedbania jednej z dwóch rzeczy - posłużę się hasłami: NoUpgrade lub /etc/rc.d/iptables save.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

OK , przyjąłem , ale zamykając temat uważam , że podmiana wody w akwarium razem z akwarium jest bez sensu . Przynajmniej nowy firewall powinien w razie znalazienia już istniejącego zapisac się jako np. firewall.pacnew . Z mojej strony wszystko.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

i dokładnie tak zrobi jeśli w pacman.conf znajdzie się wpis:

NoUpgrade = etc/iptables/firewall

Ten plik w zasadzie nie jest przeznaczony do edycji przez użytkownika...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

ten plik nie jest przeznaczony do edycji ? dobre , podoba mi się

z innej beczki :

czy nowy kernel ma wkompilowaną obsługę EQL ?? Przydałby się listing z kompilacji , czyt. config

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody