danisahne-mod

[danisahne]

Eine neue Version des Mods ist da!

Die Tools sind nun nicht mehr vorkompiliert im Mod enthalten, sondern sie werden bei `make' bzw. explizit bei `make tools' erzeugt. Dazu sind Hostcompiler notwendig. Dies war bei Cygwin schon immer der Fall. Ich hab das wegen Problemen mit meinen vorkompilierten Binaries gemacht.

Für checkmaild fehlt noch das precompiled target (wird mit der nächsten Version nachgereicht). Das firewall-cgi Paket ist noch in einem sehr frühen Entwicklungsstadium: GRE und ESP werden noch garnicht beachtet und die Komplexität der erzeugten Chains ist noch zu hoch. Der Bug mit der Namensauflösung von fritz.box sollte nun hoffentlich behoben sein.

EDIT: Im Menü des Webinterfaces ist nun nur noch entweder "Pakete" oder "Einstellungen" ausgeklappt, so dass alle Untermenü-Punkte sichtbar sind, weil das Menü einfach zu lange wurde.

Neue Pakete (neben Updates diverser Pakete):

• checkmaild
• vpnc
• firewall-cgi

Plus viele nicht erwähnte Verbesserungen...

Mfg,
danisahne

 

[danisahne]

Und wo ich gerade so dabei bin: Was greift denn eigentlich zuerst - iptables oder ar7.cfg? Wenn ich da konkurrierende Rules habe - welche gewinnt denn da?

Man könnte es vielleicht am besten so erklären:

                               __-- LAN A/B
                              /

DSL --- [ar7.cfg] --- [iptables] --- USB

                              \__
                                 -- WLAN

Mit iptables kannst du also auch z.B. LAN A von LAN B abschotten oder WLAN von USB etc. Sobald aber irgendwas mit dem Internet zu tun hat, muss alles an den ar7.cfg-Regeln vorbei.

 

[DerFalk]

... 1a! Aber haste das mit den sperren von Rechnern nun doch noch nicht "hin" bekommen über ne GUI?

 

[danisahne]

... 1a! Aber haste das mit den sperren von Rechnern nun doch noch nicht "hin" bekommen über ne GUI?

Ich habe doch einen ersten (verbesserungswürdigen) Ansatz geliefert: firewall-cgi

EDIT: Hier eine kleine vorab-Doku zu firewall-cgi:
Wenn man das Firewall Paket startet, dann hat erstmal niemand mehr Zugriff aufs Internet. Man muss in der Whitelist aufzählen, wer das noch darf. Zum Beispiel:

192.168.178.100-192.168.178.110 11:11:11:11:11:11,22:22:22:22:22:22 U1000-2000,5000
192.168.178.55,192.168.178.65 * T80
192.168.0.0/24

In dem Beispiel dürfen Rechner mit IP 192.168.178.100-192.168.178.110 auf UDP Ports 1000-2000 und auf Port 5000 UDP und TCP zugreifen, wenn sie die MAC 11:11:11:11:11:11 oder 22:22:22:22:22:22 haben. Die IPs 192.168.178.55 und 192.168.178.65 dürfen, egal welche MAC sie haben, auf TCP Port 80 zugreifen. Das Subnetz 192.168.0.0/24 hat vollen Zugriff.
Kann sein, dass ich die MAC Listen durch nur eine MAC Adresse ersetze, weil die Firewall so bei den meisten Anwendungen um den Faktor 2 mehr Chains braucht.

Mfg,
danisahne

 

[DerFalk]

ups, in der Freude "überlesen"!!!

 

[WrMulf]

@danisahne:

hast du in rc4 schon nfs enabled?

 

[danisahne]

hast du in rc4 schon nfs enabled?

Leider nicht, dazu müssen noch etwas größere Umstellungen her. Ich werd das aber bis zur fertigen Version 0.2 reinmachen.

 

[Xen2oo6]

habe diese version eben installiert soweit klappt auch alles. allerdings wird checkmail bei einem reboot nicht mitgestartet, starttyp ist automatisch.

 

[danisahne]

allerdings wird checkmail bei einem reboot nicht mitgestartet, starttyp ist automatisch.

Das Problem ist im Paket checkmaild, das von olistudent ist, aber glücklicherweise auf meinem Webspace liegt, deshalb konnte ich das schnell korrigieren. Die Variable CHECKMAIL_ENABLED in der rc.checkmaild muss CHECKMAILD_ENABLED heißen. Weils so ein kleiner Fehler ist, hab ich das ohne Änderung der Versionsnummer einfach auf meinem Webspace geändert. Für alle, die sich das Image schon mit checkmaild erzeugt haben: Führt einfach `make distclean' aus und baut das Image nochmal. Es muss nach einem `make distclean' das checkmaild Paket erneut heruntergeladen werden und dann sollte es hoffentlich passen.

@olistudent:
Kannst du bei dir bitte auch den Fehler korrigieren.

EDIT: Mal so ganz nebenbei: Wenn ich bei google nach danisahne suche, dann ist dieser Thread ganz oben: http://www.google.de/search?hl=de&q=danisahne&btnG=Google-Suche&meta=

Mfg,
danisahne

 

[Xen2oo6]

super wollte das eben grade mal zum testen ändern dann kann ich mir das sparen, danke für das schnelle beheben!

 

[dksoft2]

Leider nicht, dazu müssen noch etwas größere Umstellungen her. Ich werd das aber bis zur fertigen Version 0.2 reinmachen.

Hallo,

würdest du auch bitte den telnet für die busybox mit einbauen ?
Du hattest mir doch schon einmal eine busybox erstellt und die 4KB mehr machen bestimmt nicht viel aus.

Beim openvpn Paket kannst du auf deiner ersten Seite einen Link auf meinen Post stellen. Seit vielen Wochen läuft das openvpn Paket bei mir stabil.

 

[danisahne]

würdest du auch bitte den telnet für die busybox mit einbauen ?

Ich sehe aber den Nutzen eines telnet Clients nicht, wenn SSH verfügbar ist. Will das noch irgendwer haben? Ansonsten ist es für dich auch ein leichtes, den Telnet einzukompilieren. Einfach in der ./make/busybox/busybox.config den telnet Client aktivieren und

make busybox-precompiled

ausführen. Eventuell mußt du vorher noch das Verzeichnis "source" erzeugen. Danach kannst du in der ./busybox/busybox.links überprüfen, obs nun drinnen ist. `make' und schwups is es auf der Box.

Mfg,
danisahne

 

[WrMulf]

Ich sehe aber den Nutzen eines telnet Clients nicht, wenn SSH verfügbar ist. Will das noch irgendwer haben? Ansonsten ist es für dich auch ein leichtes, den Telnet einzukompilieren. Einfach in der ./make/busybox/busybox.config den telnet Client aktivieren und

make busybox-precompiled

ausführen. Eventuell mußt du vorher noch das Verzeichnis "source" erzeugen. Danach kannst du in der ./busybox/busybox.links überprüfen, obs nun drinnen ist. `make' und schwups is es auf der Box.

Ich sähe schon einen Nutzen darin, mir reicht es aber aus, wenn ich es selber auf einfache Weise (wie oben beschrieben) aktivieren könnte - interessanter wäre für mich die Frage, ob man dropbear nur als server bauen kann, ohne ssh-client? wird das binary dadurch wesentlich kleiner?

[EDIT] BTW:

make[2]: /home/daniel/fritzbox/buildroot/build_mipsel/staging_dir/bin/mipsel-linux-uclibc-gcc: Kommando nicht gefunden
make[2]: *** [/home/weinhold/src/ds-0.2/source/busybox-1.1.0-pre1/applets/applets.o] Fehler 127
make[2]: Verlasse Verzeichnis »/home/weinhold/src/ds-0.2/source/busybox-1.1.0-pre1«
make[1]: *** [_all] Fehler 2
make[1]: Verlasse Verzeichnis »/home/weinhold/src/ds-0.2/source/busybox-1.1.0-pre1«
make: *** [source/busybox-1.1.0-pre1/busybox] Fehler 2

Brauch ich ein installiertes build-root, um busybox neu zu machen?

 

[chres]

Kurze Zwischenfrage, bevor ich die neue version des mods ausprobier!
Hab jetzt noch 0.2rc2 laufen und sehe gerade im Webinterface, dieses:

/proc/tffs ist zu 73% belegt

Das ist jetzt über die Laufzeit des mods immer mehr geworden (anfangs waren's so 35-40% IIRC), ohne dass ich irgendwas manuell verändert hätte.
Werden da dennoch irgendwelche Daten verändert und gespeichert? Wenn das so weitergeht, wäre das tffs in wenigen Wochen dicht.

 

[Xen2oo6]

ich weiss nicht wie das bei der rc2 ist, aber in der rc3 & rc4 gibt es einen button "cleanup tffs". nach einem klick auf diesen button sind es wieder um die 20-30%.

 

[DerFalk]

Dieses "volllaufen" hab ich auch schon bemerkt

 

[chres]

Diesen Button gibt's in der RC2 schon auch, nur sollte die Box an ihrem zukünftigen Ort auch längere Zeit möglichst ohne Benutzeingriffe laufen.
Abgesehen davon läuft sie nämlich absolut stabil!

 

[Xen2oo6]

habe noch nicht geschaut was der button genau macht. doch man kann es sicher als cronjob ablegen und es dann einmal in der wochen laufen lassen.

 

[DerFalk]

So, neue Mod-ware ist druff und läuft

 

[chres]

Hmm, also irgendwas stimmt da nicht!
Ich hab jetzt die RC4 drauf, aber es dauert ewig bis ein SSH connect zustande kommt (hatte dieses Problem einmalig bereits bei der RC2, danach nie wieder) und eine SCP session per WinSCP geht nun gar nicht mehr, läuft immer wieder in den defaultmäßigen 15sec timer!
Bei aktiviertem top in paralleler SSH session sind keine Auffälligkeiten bzgl. hoher CPU-Last oder dergleichen zu erkennen.
Kann das jemand nachvollziehen?

Nachtrag: SCP geht sporadisch doch!

Nachtrag2: Ok, ich weiß nun woran es liegt! Es wird evtl. nur wenige Nutzer betreffen. Ich klär das mit danisahne erst mal direkt.