Kompajliranje kernela

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kojim redosledom treba kompajlirati kernel i iptables pri ubacivanju L7 patcha.

kernel pa iptables ili obrnuto?

Koje sve module kernel ima uključene pri kompajliranju kako bi nastavio da radi kako treba. Kompajlirao sam kernel-2.6.26 i iptables 1.41 posle patch-ovanja sa L7 kao sve je prošlo uredu medjutim posle restarta firewall ne radi kako treba.

Drugi pokušaj je prošao bolje kopirao sam config fajl iz prethodnog kernela i uradio sve isto kao i prvi put, posle restarta firewal se ponašao normalno, ali kad sam hteo da ubacim novi rule puče ko zvečka i prijavljuje grešku kod početka NAT tabele.

Treći put još nisam probao imao sam drugih obaveza.

Ali da ne bih kompajlirao pogrešno interesuje me šta sve treba uključiti pri kompajliranju kernela a vezano za firewall.

Dopuna: 16 Okt 2008 2:17

Im li koga........

CCNA CCNP MSCA itd..

Mislim kao CCNA++ CCNP++

Ma to je lako kupiš gotovo rešenje i izigravaš gotovana.....

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

http://gentoo-wiki.com/L7-filter

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

[offtopic]Kakve veze imaju CCNA, CCNP i MCSA sa administracijom Linux servera? [/offtopic]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Gledao sam gentoo malo su šturi u davanju informacija. Tu sam jedino saznao da kernel mora biti kompajliran pre iptables, dok na howtoforge ima dosta lepo uputstvo za kompajliranje ali nema reči oko toga šta sve treba da bude uklučeno u network. Šta kao modul a šta kao sastavni deo kernela.

Imam jednu dilemu onim kopiranjem prethodnog config fajla sam možda uradio pola stvari, da nisam možda trebao da uradim load tog fajla iz make menuconfig, ako je to onda smo rečili problem.

[of ili on topic] sve jedno gotovani ostaju gotovani.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da li na distribuciji postoji make xconfig ? za nijansu je preglednije od
make menuconfig

Mislim da treba prvo kernel pa zatim ono šta se linkuje
Kernel moduli za iptables imaju puno opcija,
ne znam tačno šta je potrebno da se uključi
iptables utility programi služe samo da uprogramiraju
ovo u kernelu ,valjda.

Da nije zaostala neka konfiguracija negde po /etc od prethodnog
firwall -a? ili tako nešto
Da li je novi kernel source ispravno linkovan posle kada
radiš kompilaciju iptables ?( oni hederi i slično )
koji distro je u pitanju , slackware ima hedere u dva paketa , ne samo u kernel source, već i u /usr/include pa ako su se izmešali ?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nisam gledao za xconfig pošto je ovo server verzija, kopirao samprethodni config nalazi se u /boot pod FC5.

/usr/loacal/src/linuxXXxx je linkovan na /usr/local/src/linux tu sam i kopirao prethodni config jedino nisam uradio load config posle pokretanja make menuconfig računajući da će ako nađe config fajl on sam učitati.

Prilikom kompajliranja nije izbacio nikakvu grešku osim par warninga vezanih za SCSI a pošto diskovi nisu SCSI nisam ni tražio šta ne valja.

Pošto je u uptstvu koje sam čitao pisalo da kernel mora da bude instaliran pre IPTABLES to sam i uradio on je prebacio i kreirao fajlove čini mi se u /lib direktorijum pod novim nazivom kernel 2.6.26 posle toga sam pustio kompajliranje IPTABLES on nije izbacio nijednu grešku. proverom iz komandne linije prijavljuje da ima L7 filter integrisan.

Preko Webmina sam probao da ubacim novi rule unutar NAT tabele međutim prijavio mi je grešku na liniji xxxx, otvorim posle toga fajl kad na tom mestu počinje definicija NAT tabele, znači nisam ubacivao rule vezan za L7 već obično preusmeravanje port-a na unutrašnju adresu a on pukao ko zvečka.

Koristio sam uputstvo sa Howtoforge i sa Gentoo, na howtoforge je pisalo da prvo kompajliraš IPTABLES međutim posle dva pokušaja sam video da uvek kompajlira sa starim kernelom koji nije patch-ovan pa sam zato potražio novo uputstvo i našao na gentoo da prvo kompajliraš kernel.

Probao sam po uputstvu da kompajliram IPTABLES source 1.40.RPM međutim počeo da izbacuje greške zatim sa skinuo verziju 1.41 i kompajlirao je ručno sa ./configure , make itd.

Čim budem imao vremena probaću ponovo da napravim kernel ali ću učitati taj config fajl ručno, mislim da nije bio učitan.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ok ,tek malopre sam ukapirao čemu služi L7
(za filtriranje po protokolu ? )
jesi gledao njihov howto sa sourceforge
http://l7-filter.sourceforge.net/HOWTO
http://l7-filter.sourceforge.net/
na primer pogledaj da li ima nešto na mailing listi za novi kernel neki prob.
http://l7-filter.sourceforge.net/kernelcompat

http://sourceforge.net/mail/?group_id=80085
http://sourceforge.net/tracker/?atid=558668&group_id=80085&func=browse


ako ipak neće ne znam da li bi imao koristi od
klasičnog bandwith shapinga, bez tog l7 ?
http://sourceforge.net/projects/cbqinit/
ovde je Lyb još pre par godina napravio skriptu
http://www.linuxo.org/forum/index.php/topic,6228.0.html
mislim da postoji i neki online generator ,ne mogu sada da ga pronađem

da li može ovo da se ubači u neki od linus baziranih rutera
naleteo sam preko linux radara
http://arhiva.elitesecurity.org/t338785-layer-filter-ili-ip-tabela

Dopuna: 20 Okt 2008 8:52

Gledaj ,fedora core 5 ima 2.6.15 kernel
Od tada je prošlo dosta vremena.
Ne bi bilo loše da probaš taj novi kernel da staviš od neke
naredne fedore npr f8 ili f9 u njoj je2.623 24 25 ,ali opet nisam siguran
da li je f8 kernel uopšte odgovarajući za fc5
(nešto slično sam na mandak/ivi radio ,ali sa njegovim kernel source paketom)
Obično kaže da nedostaju neke zavisnosti, obično može bez njih
ne znam tačno.
Npr uzmi paket kernel source od fedore 9
pa probaj njega da upatchuješ (malom promenom config po howto sa l7 iz sourceforge) a config da bude od f9.
pretpostavljam da je novi kernel neophodan zbog nove ploče ili hardvera ?
Ali i posle toga su moguće neke nekompatibilnosti u user space utilities
koje su sa fc5.
Npr kod mene alsa utilities nisu radili i lm senzors na malo novijem kernelu.
(zato se iptables user space opet dodaju 1.41 ,verovatno )

Dopuna: 20 Okt 2008 9:03

pronađoh kernel 2.6.20 za fc5
da li bi on modgao da završi posao oko prepoznavanja HW ?
http://archives.fedoraproject.org/pub/archive/fedora/linux/core/updates/5/i386/
kernel-2.6.20-1.2320.fc5.i586.rpm 21-Jun-2007 18:46 15M RPM Package
kernel-2.6.20-1.2320.fc5.i686.rpm 21-Jun-2007 18:46 15M RPM Package
(izvini ako si već ažurirao na njega ,pošto ne piše u postu
podatak o tome)

http://archives.fedoraproject.org/pub/archive/fedo.....c5.src.rpm

e sad da li je 64 bita ili i586 (i taj podatak nemam)
ali ovaj rpm je isti i za x86_64 i za i586/i686
verovatno ima neki config u samom rpm ,ne znam tačno
(na osnvu mdk-mdv ,u njoj je moglo na 5 različitih flavors da se ukompilira pa verovano može i ovde)
Pogledaj neku dokumentaciju o fedori kako da se na njoj kompilira by the book

ima i kernel smp
kernel-smp-2.6.20-1.2320.fc5.i586.rpm 21-Jun-2007 18:46 15M RPM Package
kernel-smp-2.6.20-1.2320.fc5.i686.rpm 21-Jun-2007 18:47
ovaj je za x86_64 on je bez smp ili je smp po default
kernel-2.6.20-1.2320.fc5.x86_64.rpm 21-Jun-2007 18:48 16M RPM Package

Dopuna: 20 Okt 2008 9:45

ako hoćeš da probaš kernel od F9 da li hoće na fc5 (nekako)
ovde :
ftp://ftp.tu-chemnitz.de/pub/linux/fedora/linux/re.....s/Packages
kernel-2.6.25-14.fc9.i586.rpm
kernel-2.6.25-14.fc9.i686.rpm

ftp://ftp.tu-chemnitz.de/pub/linux/fedora/linux/re.....c9.src.rpm
(dakle iz source-a ako hoće nekako )

na verziji 2.6.25 je uspešno testiran L7
2.6.25 yes yes yes
ali ne i na 2.6.25-14
2.6.25.14 yes yes untested
već samo patchovanje i kompilacija

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Imam postavljen već CBQ-INIT 0.72 , a preko Webmin-a ga kontrolišem i to radi perfektno kreirao sam par rulova unutar njega sa markiranjem paketa i prioritetima.

Hteo sam da ubacim još L7 fitriranje za korisnike koji idu na NET direktno preko FIREWALL-a.

Inače PC je stariji pa samim tim i kernel je 32-bitni.

PIII 900MHz sa 512MB-Ram memorije.

Praćenjem logova nisam primetio problem sa hackovanjem tako da nisam ubacivao nove verzije kernela trenutno je 2.6.11 sa iptables 1.41

Pošto imam instalirano još servisa na samom firewall-u ne bih sad ulazio u update sa FC5 na FC8 ili 9.

Postfix mi je konfigurisan kao relay + Squirelmail + FTP + HTTP + DNS + DHCP Failover i još neke manje bitne servise.

Hvala na ovim linkovima pogledaću ih.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ok , ja bih na primer ovako
probaj prvo da li radi ovaj zvanični ažurirani kernel za fc5
kernel-2.6.20-1.2320.fc5.i586.rpm
kernel-2.6.20-1.2320.fc5.i686.rpm
(i586 ili i686 u zavisnosti od toga koji je trenutno )
taj kernel je već za fc5 ,valjda je odgovarajući ,osim ako nisi
puno toga dodavao van repoa ?
(ili na radnoj ili na testnoj ,možda bolje na testnoj )

ako imaš neku testnu mašinu na primer da iz gorenavedenog
http://archives.fedoraproject.org/pub/archive/fedo.....c5.src.rpm
napraviš rpm.Ovo uputstvo mi izgleda uglavnom ok ,osim onog prvog
dela sa sudo
http://www.howtoforge.com/kernel_compilation_fedora
(mislim da bi trebali da budu i na testnoj mašini isti paketi i instalacija fc5 kao i na radnoj )
s tim da upatchuješ taj src.rpm sa odgovarajućim L7
i poželjno ,da pogledaš da li ima neka dodatna security zakrpa za 2.6.20
po kernel org ili negde na drugom mestu.
config na tekućem ako je originalni ,onda je i u src.rpm mislim da je dobar pa da mu se dodaju te opcije iz l7 howto i tako...

pa posle samo ubaciš rpm na svim računarima gde treba

i staviš mu odgovarajući target i586 ili i686 ,naravno
--target=i686
i mislim da za l7 bolje da nije SMP ,al ne vidim gde se to definiše

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Baš čitam dokumentaciju za 2.6.20-2320, probaću svakako taj kernel na mashini ne bih ga ubacivao sad od kuće i onako nesmem da restartujem server za slučaj da krene po zlu.

Šta misliš da uradim update sa ovog linka preko YUM imaju li repositorijum ili da idem wget pa rpm.

Proverim prvo kako se ponaša nepatchovan pa onda odradim patch sa L7. vidim da je iptables 1.40-4 moram li i njega da ubacim ili da ostavim ovaj koji sam već ručno kompajlirao 1.41 sa L7 patchom.

Trenutno na serveru radi 1.41 sa L7 filterom ali sam podigao stari kernel, nisam primetio neki problem bar za sada mada je proteklo vrlo malo vremena a i pretežno sam bio zauzet drugim poslovima (upregli me ko Njiiiiihhhaaaaaaa) ali nema veze stižem da uradim sve što traže.

Ovo kompajliranje i učenje je meni za dušu.