PF auch für die Fritzbox?

[MrTweek1987]

Hallo ich habe mal eine frage...

gibt es zu iptables auch die alternative von OpenBSD "PF"? =/ ich meine mal der ist in manchen sachen einfacher =/ wenn es gehen würde es sei denn mir einer erklärt wie mand son packet "baut" erstmal statisch um zu schauen wie man das linkt und combiliert... dann würde ich es auch selbst machen... und bei erfolg online stellen für Freetz

 

[sf3978]

gibt es zu iptables auch die alternative von OpenBSD "PF"? =/ ich meine mal der ist in manchen sachen einfacher =/ ...

Gibt es OpenBSD-PF für Linux? M. E. ist PF weder einfacher noch komplizierter als iptables.

 

[MrTweek1987]

und was ist mit dem pf von freebsd?

pfSense

 

[sf3978]

PF von FreeBSD ist nicht 100% identisch mit PF von OpenBSD.

EDIT:

Im Internet kann man lesen:

PF is not available under Linux, only under BSD’s.

Stimmt das nicht mehr?

 

[MrTweek1987]

http://opensource.apple.com/source/xnu/xnu-1699.24.8/bsd/net/

und warum gibbet da denn den quellcode?

 

[sf3978]

... gibbet da denn den quellcode?

Evtl. bei OpenBSD nachfragen, ob PF schon mal auf Linux portiert worden ist.

 

[RalfFriedl]

und warum gibbet da denn den quellcode?

Was soll die Frage? Glaubst Du, nur weil es den Quellcode gibt, läuft es automatisch auf Linux?
Es steht Dir natürlich frei, PF auf Linux zu portieren, wenn Dir das besser gefällt als iptables, aber erwarte hier keine Hilfe dazu.

 

[MrTweek1987]

es war nur ne frage...

 

[RalfFriedl]

Welche, ob man PF portieren kann, oder warum es den Quellcode gibt?

 

[MrTweek1987]

Welche, ob man PF portieren kann, oder warum es den Quellcode gibt?

ursprünglich... ob man den portieren kann... weil iptables ist mir etwas gefährlich mit anwenden... (ich nutze zwar auch safe) aber beim pf kann man wenigstens die sache mit pfctl -f /etc/pf.conf laden (wenn man sich aussperrt einfach die box from strom nehmen (wenn man ihn nicht in der rc.custom hätte)
da ich einfach nicht weiß was ich für module benötige für ipv6 bei pf kann ich das zusammen in einer rule angeben "pass in quick on $int_if { inet inet6 } proto tcp from any to any port 80 rdr-to 192.168.178.1 keep state"

mag zwar für den einen unnötig klingen... ich finde den persönlich besser obwohl ip-tables das selbe kann... man sagt aber, ip-tables könnte kein "SYN-Proxy"

zudem gehts auch wegen den tracking... da bei iptables beim tracking die box abschmiert!

 

[RalfFriedl]

beim pf kann man wenigstens die sache mit pfctl -f /etc/pf.conf laden (wenn man sich aussperrt einfach die box from strom nehmen (wenn man ihn nicht in der rc.custom hätte)

Auch iptables Regeln muss man erst einmal laden, bevor sie aktiv werden. Gefährlich wird es erst, wenn man eingerichtet hat, das falsche Regeln automatisch geladen werden, genau wie bei PF.

da ich einfach nicht weiß was ich für module benötige für ipv6 bei pf kann ich das zusammen in einer rule angeben "pass in quick on $int_if { inet inet6 } proto tcp from any to any port 80 rdr-to 192.168.178.1 keep state"

Die Sache mit den Modulen ist nur ein Problem auf der Box, wo der Speicher knapp ist. Auf einem PC würde man alle Module installieren und sich nicht darum kümmern, welche notwendig sind. Umgekehrt würde man bei knappem Speicher auch mit PF nur das Notwendige ins Image aufnehmen.

man sagt aber, ip-tables könnte kein "SYN-Proxy"

Ein wenig Google findet dies.

da bei iptables beim tracking die box abschmiert!

Das ist ein Fehler, der mittlerweile behoben sein sollte.

 

[MrTweek1987]

It's my personal repository.

synproxy:
It is an implementation of SYNPROXY based on netfilter of Linux. An iptables raw
target SYNPROXY is implemented. In order to use it, you must get the newest
Linux kernel source code, and follow the following steps:
cd linux
patch -p1 < path-to-synproxy.diff
/* you need select raw table, ip_conntrack and syncookies */
make && make install modules_install && reboot
cd path-to-synproxy
make
cp libipt_SYNPROXY.so path-to-iptables-shared-module
insmod ipt_SYNPROXY.ko
If there isn't any error in the above steps, congratulations, and you can play
with it. For example, you want to protect the local HTTP server from the
SYN-flood attacks:
iptables -t raw -A PREROUTING -p tcp --dport 80 \
--tcp-flags SYN,ACK,RST,FIN SYN \
-m conntrack --ctstate INVALID -j SYNPROXY
If you run SYNPROXY on a gateway which does DNAT, you should move the DNAT rules
from PREROUTING to OUTPUT chain, because the second SYN to the server is sent
locally.

hat denn schon mal jemand bestätigt, ob der mit dem kernel der fritzbox funktioniert?
ist es denn auch mipsel?

es sei denn, man erklärt mir wie man die makefile "umbaut" dann würde ich es testen...

makefile....

ifneq ($(KERNELRELEASE),)
obj-m += ipt_SYNPROXY.o
else
KERNELDIR ?= /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)

all: ipt_SYNPROXY.ko libipt_SYNPROXY.so

ipt_SYNPROXY.ko: ipt_SYNPROXY.c
$(MAKE) -C $(KERNELDIR) M=$(PWD) modules

libipt_SYNPROXY.so: libipt_SYNPROXY.c
$(CC) -Wall -fPIC -shared -o $@ $^

clean:
$(MAKE) -C $(KERNELDIR) M=$(PWD) clean
$(RM) -f *.so *.o
endif

 

[RalfFriedl]

Ich habe es nicht verwendet, ich habe nur Google bemüht.

Das mit dem neuesten Kernel könnte schon das erste Problem sein, man kann nur den von AVM vorgegebenen Kernel verwenden, und der ist teilweise recht alt.

Es ist aber mit Sicherheit leichter, das zu portieren, als PF.

 

[MrTweek1987]

also es gibt leute, die sollen, nen ganzes OpenBsd-geportet haben zu mipsel...

das heist iman könnte OpenBSD cross compilen und dann den pf rausholen =)

schau hier -> Linksys (mipsel): http://openbsd.org/papers/mips32-openbsd.pdf

Der linksys ist doch auch MIPS jedoch ne andere cpu =(

The hardware

Linksys WRT54G
Broadcom BCM47xx SoC

MIPS32 4Kc CPU (BCM3302)
200 MHz
RAM: 32 MB (14MB)
2 FastEthernet interfaces
BCM43xx 802.11 interface
ADMtek ADM6996L switch

oder ist hier gerade nen denkfehler?

 

[MaxMuster]

das heist iman könnte OpenBSD cross compilen und dann den pf rausholen =)
...
oder ist hier gerade nen denkfehler?

Ja, denn ich denke das wäre so, als wenn du sagst:
Ich baue gerade mal ein Linux für x86 und dann kan ich die Programme "rausholen" und auf Windows laufen lassen, denn das ist ja auch x86 ;-)

Du könntest sicher versuchen, ein Mips(el) BSD auf der Box laufen zu lassen, aber das wäre dann ähnlich wie die Ports von OpenWRT: Du kannst dann nur das BS nutzen, alle AVM-Programme liefen nicht, also vermutlich zumindest alles, was irgendwie mit Telefonie zu tun hat...

 

[MrTweek1987]

Es gibt den PF für Debian Linux

Diese Version von PF wurde vom FreeBSD-Projekt nach FreeBSD und anschließend vom Debian-Projekt nach GNU/kFreeBSD portiert.

aber nur amd64 und i386 -.-


http://packages.debian.org/sid/pf = Debian-Variante

http://people.freebsd.org/~mlaier/ = Sources mit patches

dazu haben die nochwas was kompiliert

 

[RalfFriedl]

Wenn Du denkst, dass es so einfach ist, dann mach es selbst.
Wenn Du aber denkst, es ist zwar einfach, aber Du weißt trotzdem nicht, wie man es macht, dann weißt Du auch nicht genug, um zu beurteilen, ob es einfach ist oder nicht.