PF auch für die Fritzbox?

MrTweek1987

Neuer User
Mitglied seit
2 Mai 2011
Beiträge
116
Punkte für Reaktionen
0
Punkte
0
Hallo ich habe mal eine frage...

gibt es zu iptables auch die alternative von OpenBSD "PF"? =/ ich meine mal der ist in manchen sachen einfacher =/ wenn es gehen würde es sei denn mir einer erklärt wie mand son packet "baut" erstmal statisch um zu schauen wie man das linkt und combiliert... dann würde ich es auch selbst machen... und bei erfolg online stellen für Freetz
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,758
Punkte für Reaktionen
10
Punkte
38
gibt es zu iptables auch die alternative von OpenBSD "PF"? =/ ich meine mal der ist in manchen sachen einfacher =/ ...
Gibt es OpenBSD-PF für Linux? M. E. ist PF weder einfacher noch komplizierter als iptables.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,758
Punkte für Reaktionen
10
Punkte
38
PF von FreeBSD ist nicht 100% identisch mit PF von OpenBSD.

EDIT:

Im Internet kann man lesen:
Code:
PF is not available under Linux, only under BSD’s.
Stimmt das nicht mehr?
 
Zuletzt bearbeitet:

MrTweek1987

Neuer User
Mitglied seit
2 Mai 2011
Beiträge
116
Punkte für Reaktionen
0
Punkte
0
Zuletzt bearbeitet:

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,758
Punkte für Reaktionen
10
Punkte
38

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
und warum gibbet da denn den quellcode?
Was soll die Frage? Glaubst Du, nur weil es den Quellcode gibt, läuft es automatisch auf Linux?
Es steht Dir natürlich frei, PF auf Linux zu portieren, wenn Dir das besser gefällt als iptables, aber erwarte hier keine Hilfe dazu.
 
Zuletzt bearbeitet:

MrTweek1987

Neuer User
Mitglied seit
2 Mai 2011
Beiträge
116
Punkte für Reaktionen
0
Punkte
0
Welche, ob man PF portieren kann, oder warum es den Quellcode gibt?
ursprünglich... ob man den portieren kann... weil iptables ist mir etwas gefährlich mit anwenden... (ich nutze zwar auch safe) aber beim pf kann man wenigstens die sache mit pfctl -f /etc/pf.conf laden (wenn man sich aussperrt einfach die box from strom nehmen (wenn man ihn nicht in der rc.custom hätte)
da ich einfach nicht weiß was ich für module benötige für ipv6 bei pf kann ich das zusammen in einer rule angeben "pass in quick on $int_if { inet inet6 } proto tcp from any to any port 80 rdr-to 192.168.178.1 keep state"

mag zwar für den einen unnötig klingen... ich finde den persönlich besser :D obwohl ip-tables das selbe kann... man sagt aber, ip-tables könnte kein "SYN-Proxy"

zudem gehts auch wegen den tracking... da bei iptables beim tracking die box abschmiert!
 
Zuletzt bearbeitet:

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
beim pf kann man wenigstens die sache mit pfctl -f /etc/pf.conf laden (wenn man sich aussperrt einfach die box from strom nehmen (wenn man ihn nicht in der rc.custom hätte)
Auch iptables Regeln muss man erst einmal laden, bevor sie aktiv werden. Gefährlich wird es erst, wenn man eingerichtet hat, das falsche Regeln automatisch geladen werden, genau wie bei PF.
da ich einfach nicht weiß was ich für module benötige für ipv6 bei pf kann ich das zusammen in einer rule angeben "pass in quick on $int_if { inet inet6 } proto tcp from any to any port 80 rdr-to 192.168.178.1 keep state"
Die Sache mit den Modulen ist nur ein Problem auf der Box, wo der Speicher knapp ist. Auf einem PC würde man alle Module installieren und sich nicht darum kümmern, welche notwendig sind. Umgekehrt würde man bei knappem Speicher auch mit PF nur das Notwendige ins Image aufnehmen.
man sagt aber, ip-tables könnte kein "SYN-Proxy"
Ein wenig Google findet dies.
da bei iptables beim tracking die box abschmiert!
Das ist ein Fehler, der mittlerweile behoben sein sollte.
 

MrTweek1987

Neuer User
Mitglied seit
2 Mai 2011
Beiträge
116
Punkte für Reaktionen
0
Punkte
0
It's my personal repository.

synproxy:
It is an implementation of SYNPROXY based on netfilter of Linux. An iptables raw
target SYNPROXY is implemented. In order to use it, you must get the newest
Linux kernel source code
, and follow the following steps:
cd linux
patch -p1 < path-to-synproxy.diff
/* you need select raw table, ip_conntrack and syncookies */
make && make install modules_install && reboot
cd path-to-synproxy
make
cp libipt_SYNPROXY.so path-to-iptables-shared-module
insmod ipt_SYNPROXY.ko
If there isn't any error in the above steps, congratulations, and you can play
with it. For example, you want to protect the local HTTP server from the
SYN-flood attacks:
iptables -t raw -A PREROUTING -p tcp --dport 80 \
--tcp-flags SYN,ACK,RST,FIN SYN \
-m conntrack --ctstate INVALID -j SYNPROXY
If you run SYNPROXY on a gateway which does DNAT, you should move the DNAT rules
from PREROUTING to OUTPUT chain, because the second SYN to the server is sent
locally.
hat denn schon mal jemand bestätigt, ob der mit dem kernel der fritzbox funktioniert?
ist es denn auch mipsel?

es sei denn, man erklärt mir wie man die makefile "umbaut" dann würde ich es testen...

makefile....

ifneq ($(KERNELRELEASE),)
obj-m += ipt_SYNPROXY.o
else
KERNELDIR ?= /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)

all: ipt_SYNPROXY.ko libipt_SYNPROXY.so

ipt_SYNPROXY.ko: ipt_SYNPROXY.c
$(MAKE) -C $(KERNELDIR) M=$(PWD) modules

libipt_SYNPROXY.so: libipt_SYNPROXY.c
$(CC) -Wall -fPIC -shared -o [email protected] $^

clean:
$(MAKE) -C $(KERNELDIR) M=$(PWD) clean
$(RM) -f *.so *.o
endif
 
Zuletzt bearbeitet:

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
Ich habe es nicht verwendet, ich habe nur Google bemüht.

Das mit dem neuesten Kernel könnte schon das erste Problem sein, man kann nur den von AVM vorgegebenen Kernel verwenden, und der ist teilweise recht alt.

Es ist aber mit Sicherheit leichter, das zu portieren, als PF.
 

MrTweek1987

Neuer User
Mitglied seit
2 Mai 2011
Beiträge
116
Punkte für Reaktionen
0
Punkte
0
also es gibt leute, die sollen, nen ganzes OpenBsd-geportet haben zu mipsel...

das heist iman könnte OpenBSD cross compilen und dann den pf rausholen =)

schau hier -> Linksys (mipsel): http://openbsd.org/papers/mips32-openbsd.pdf

Der linksys ist doch auch MIPS jedoch ne andere cpu =(

The hardware

Linksys WRT54G
Broadcom BCM47xx SoC

MIPS32 4Kc CPU (BCM3302)
200 MHz
RAM: 32 MB (14MB)
2 FastEthernet interfaces
BCM43xx 802.11 interface
ADMtek ADM6996L switch
oder ist hier gerade nen denkfehler?
 
Zuletzt bearbeitet:

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
das heist iman könnte OpenBSD cross compilen und dann den pf rausholen =)
...
oder ist hier gerade nen denkfehler?
Ja, denn ich denke das wäre so, als wenn du sagst:
Ich baue gerade mal ein Linux für x86 und dann kan ich die Programme "rausholen" und auf Windows laufen lassen, denn das ist ja auch x86 ;-)

Du könntest sicher versuchen, ein Mips(el) BSD auf der Box laufen zu lassen, aber das wäre dann ähnlich wie die Ports von OpenWRT: Du kannst dann nur das BS nutzen, alle AVM-Programme liefen nicht, also vermutlich zumindest alles, was irgendwie mit Telefonie zu tun hat...
 

MrTweek1987

Neuer User
Mitglied seit
2 Mai 2011
Beiträge
116
Punkte für Reaktionen
0
Punkte
0
Zuletzt bearbeitet:

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
Wenn Du denkst, dass es so einfach ist, dann mach es selbst.
Wenn Du aber denkst, es ist zwar einfach, aber Du weißt trotzdem nicht, wie man es macht, dann weißt Du auch nicht genug, um zu beurteilen, ob es einfach ist oder nicht.
 

Zurzeit aktive Besucher

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,299
Beiträge
2,032,527
Mitglieder
351,841
Neuestes Mitglied
henkno