Forum Debian Users Gang

quartist · 2012-03-30 22:04:07

Witam,

Proszę o pomoc. Potrzebuje wersje kernela i patchy które potrafiły by współpracować w konfiguracji takiej jak w temacie. Ktoś zna poprawną konfigurację taką lub używa u siebie na codzień?

Jacekalex · 2012-03-30 22:56:48

Z Grsec i i IMQ zbyt wielkich problemów nie ma, najtrudniej jest wykombinować coś sensownego z layer7, bo te łatki nie są zbyt intensywnie rozwijane, a jak ostatnio kombinowałem je z dev.openwrt, to nie chciały za bardzo działać.

Chyba nałatwiej będzie z jajem 2.6.32.*, ale to jest trudne do przewidzenia.
Musisz troche popróbować.

Tu sa najświeższe łatki m.in layer7:
https://dev.openwrt.org/browser/trunk/target/linux/generic/

Edyta:
Grsec mam w jaju od wersji 2.6.36 prawie zawsze, właśnie wkompilowałem layer7 do jajka 3.3.0 i iptables 1.4.12.1, wygląda na to, że działa.

Łatki z dev.openwrt.

Layer7 kernel: https://dev.openwrt.org/browser/trunk/target/linux/generic/patches-3.3

Iptables: https://dev.openwrt.org/browser/trunk/package/iptab … r7_2.22.patch

Jeden kłopot jest z IMQ - łatka na stronie IMQ jest na max 3.1, a stabilna Grsecurity - jest aktualnie na 3.2.13 i 2.6.32.59.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-03-31 15:08:51)

quartist · 2012-03-31 14:50:37

Dzieki za rady. Faktycznie na kernelu 2.6.32.33 przeszły wszystkie patche tylko iptables sie niechce skompilowac ponieważ zwraca błąd typu:

Kod:

CC libxt_layer7.oo
libxt_layer7.c:25:39: warning: linux/netfilter/xt_layer7.h: No such file or directory
libxt_layer7.c:48: warning: 'struct xt_layer7_info' declared inside parameter list
libxt_layer7.c:48: warning: its scope is only this definition or declaration, which is probably not what you want
libxt_layer7.c: In function 'parse_protocol_file':
libxt_layer7.c:92: error: 'MAX_PROTOCOL_LEN' undeclared (first use in this function)
libxt_layer7.c:92: error: (Each undeclared identifier is reported only once
libxt_layer7.c:92: error: for each function it appears in.)
libxt_layer7.c:95: error: dereferencing pointer to incomplete type
libxt_layer7.c:101: error: 'MAX_PATTERN_LEN' undeclared (first use in this function)
libxt_layer7.c:103: error: dereferencing pointer to incomplete type
libxt_layer7.c: At top level:
libxt_layer7.c:249: warning: 'struct xt_layer7_info' declared inside parameter list
libxt_layer7.c: In function 'parse_layer7_protocol':
libxt_layer7.c:270: warning: passing argument 3 of 'parse_protocol_file' from incompatible pointer type
libxt_layer7.c:48: note: expected 'struct xt_layer7_info *' but argument is of type 'struct xt_layer7_info *'
libxt_layer7.c:284: error: dereferencing pointer to incomplete type
libxt_layer7.c:284: error: dereferencing pointer to incomplete type
libxt_layer7.c:284: error: 'MAX_PATTERN_LEN' undeclared (first use in this function)
libxt_layer7.c: In function 'parse':
libxt_layer7.c:296: warning: passing argument 2 of 'parse_layer7_protocol' from incompatible pointer type
libxt_layer7.c:249: note: expected 'struct xt_layer7_info *' but argument is of type 'struct xt_layer7_info *'
libxt_layer7.c:298: error: dereferencing pointer to incomplete type
libxt_layer7.c: In function 'print':
libxt_layer7.c:339: error: dereferencing pointer to incomplete type
libxt_layer7.c:340: error: dereferencing pointer to incomplete type
libxt_layer7.c: In function 'save':
libxt_layer7.c:348: error: dereferencing pointer to incomplete type
libxt_layer7.c:348: error: dereferencing pointer to incomplete type
libxt_layer7.c: At top level:
libxt_layer7.c:355: error: invalid application of 'sizeof' to incomplete type 'struct xt_layer7_info'
libxt_layer7.c:356: error: invalid application of 'sizeof' to incomplete type 'struct xt_layer7_info'
make[2]: *** [libxt_layer7.oo] Error 1

Jacekalex · 2012-03-31 15:03:46

2.6.32.33 - to jest dość niekatualna wersja, jak koniecznie musisz 2.6.32 to raczej najnowszy z końcówką 59.

Co do błędu z łatką layer7 na iptables, to cały powód jest w braku nagłówka:

Kod:

libxt_layer7.c:25:39: warning: linux/netfilter/xt_layer7.h: No such file or directory

Ale sposób ręcznej kompilacji masz opisany tutaj:

iptables 1.4.1.1 and newer
......
"./configure --with-ksource=/path/to/patched/kernel_source" (use the full path)
"make"
(as root) "make install"

Względnie, u mnie portage automatycznie buduje iptables, więc dopisalem pełną ścieżkę w łatce.
Po prostu w łatce, zmieniłem w linii 28 scieżkę względną na bezwględną, teraz ten kawałek wyglada tak:

+#define _GNU_SOURCE
+#include <stdio.h>
+#include <netdb.h>
+#include <string.h>
+#include <stdlib.h>
+#include <getopt.h>
+#include <ctype.h>
+#include <dirent.h>
+
+#include <xtables.h>
+#include </usr/src/linux/include/linux/netfilter/xt_layer7.h>
+
+#define MAX_FN_LEN 256
+

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-03-31 16:25:43)

Forum Debian Users Gang

Ogłoszenie

#1 2012-03-30 22:04:07

quartist - Użytkownik

Kernel + grsec + imq + layer7 + iptables

#2 2012-03-30 22:56:48

Jacekalex - Podobno człowiek...;)

Re: Kernel + grsec + imq + layer7 + iptables

#3 2012-03-31 14:50:37

quartist - Użytkownik

Re: Kernel + grsec + imq + layer7 + iptables

Kod:

#4 2012-03-31 15:03:46

Jacekalex - Podobno człowiek...;)

Re: Kernel + grsec + imq + layer7 + iptables

Kod:

Stopka forum