mini-howto pour la mise à jour d'ipfilter sur OpenBSD

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
11
avr.
2001
OpenBSD
Suite à la publication sur Bugtraq (voir les archives de linuxfr) d'une faille de sécurité exploitable sur ipfilter, le firewall open source livré avec OpenBSD, j'ai mis en ligne la traduction française d'un mini-howto pour la mise à jour d'ipfilter sur OpenBSD pour faciliter les upgrades en version 3.4.17 (et ultérieur éventuellement) d'ipfilter.

Aller plus loin

  • # aie ...

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Tiens moi j'ai eu:

    bash-2.03$ sudo ./kinstall HARBOR
    Backing up existing kernel sources ...
    Installing ip_fil.c ip_fil.h fil.c ip_nat.c ip_nat.h ip_frag.c ip_frag.h ip_state.c ip_state.h ip_proxy.c ip_proxy.h ip_auth.c ip_auth.h ip_log.c ip_compat.h ipl.h ip_ftp_pxy.c ip_rcmd_pxy.c ip_raudio_pxy.c
    Patching /sys/conf/files ...
    Hmm... Looks like a new-style context diff to me...
    The text leading up to this was:
    --------------------------
    |*** files.FCS Thu May 1 06:21:14 1997
    |--- files Mon Oct 27 14:08:53 1997
    --------------------------
    Patching file files using Plan A...
    Hunk #1 failed at 299.
    1 out of 1 hunks failed--saving rejects to files.rej
    done
    Linking /sys/netinet/ip_compat.h to /sys/netinet/ip_fil_compat.h
    Kernel configuration to update [GENERIC] HARBOR
    Backing up HARBOR to .bak and adding IPFILTER options...
    You will now need to run "config" and build a new kernel.
    bash-2.03$


    Je crois que le patch a été rejeté, c'est grave ? (OpenBSD 2.8)

    • [^] # Re: aie ...

      Posté par  . Évalué à 0.

      Non, ce n'est pas sale, ton corps change ...

      Pour ta question : oui, c'est grave ... disons que c'est pas patché quoi ...

      Il a pas compris ton diff semble-t-il.

      • [^] # Re: aie ...

        Posté par  (site web personnel, Mastodon) . Évalué à 1.

        Ca j'avais compris :) Ce qui est bizarre c'est que le patch ajoute 3 lignes à la ligne 339, alors que ces lignes sont à 550 dans le fichier pour openbsd 2.8, et qu'elles sont déjà là.
        Je me demandais si c'était normal, alors que le truc est censé marcher avec openbsd2.8. Il faut croire que c'est un bug de ipfilter... (dans le packaging)

        • [^] # Re: aie ...

          Posté par  . Évalué à 1.

          aurais-tu par hasard synchronisé tes sources avec la -patch branch dernièrement (ou même le -current) ? car ils ont changé pas mal de trucs.

          Moi ça m'a donné la même erreur mais cela n'a pas empêché le kernel de compiler. Après reboot, tout se passe nickel.

          • [^] # Re: aie ...

            Posté par  (site web personnel, Mastodon) . Évalué à 1.

            Pareil j'ai rebooté, etc.

            Mes sources sont sync en OPENBSD_2_8 , c'est mal ? :-)

            • [^] # Re: aie ...

              Posté par  . Évalué à 1.

              non tout au contraire (OPENBSD_2_8 <=> patch branch) c ce qu'il faut faire. Donc c'est normal que tu aies de .rej. Si quand tu fais ipfilter -V tu vois 3.4.17, alors il es très probable que les .rej n'ont pas d'impact.

              • [^] # Re: aie ...

                Posté par  (site web personnel, Mastodon) . Évalué à 1.

                En fait bizarrement le fichier contenait déjà la modif, à des lignes différentes.

                Enfin ipf -V me donne ce qu'il faut, donc ca marche. Merci :)

                • [^] # Re: aie ...

                  Posté par  . Évalué à 1.

                  La version d'ip filter fournie avec le noyau OpenBSD n'est pas exactement une version «standard» d'ip filter.

                  Plutôt que de bidouiller et intégrer une distribution officielle d'ip filter, il est plus simple, et très largement préférable, d'utiliser le patch pour 2.7-STABLE et 2.8-STABLE.

                  Bon, évidemment, le patch n'est pas encore disponible à l'endroit officiel, fgsch@ l'a posté sur tech@ il y a quelques jours (cherchez les archives), en demandant que de bonnes âmes vérifient qu'il s'applique et fonctionne sans problèmes pour eux.

                  Dès qu'il aura eu un peu de retour, ce patch sera «officialisé».

                  • [^] # Re: aie ...

                    Posté par  . Évalué à 0.

                    tu insinuerais que des lnuxiens devraient lire une ml openbsd ?
                    tss tss faut pas pousser meme dans les orties hein ;-)

                    mips

                  • [^] # Re: aie ...

                    Posté par  . Évalué à 1.

                    tout à fait d'accord mais en attendant que le patch soit officialisé, l'upgrade à partir des sources me permet de me protéger contre la vulnérabilité.

                    Et en effet, j'avais constaté que la version d'ipfilter sur OpenBSD est différente (par exemple, on peut spécifier des noms d'interface réseau genre fxp0/32 dans ipfilter.rules ce qui ne marche pas avec ipfilter standard).

    • [^] # Re: aie ...

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      Alors comme ça, Fabien, tu serais aussi un BSDiste en même temps qu'un Linuxien ??? Compte tenu des foudres que reçoivent les news *BSD en ce moment, il est courageux de ta part de montrer que tu as la double casquette ;-)

      • [^] # Re: aie ...

        Posté par  . Évalué à 0.

        Et alors pourquoi ce serait pas bien d'utiliser BSD ?
        OpenBSD est probablement la solution la plus logique pour un firewall. Qu'on me prouve le contraire!

        Et pour le reste domage qu'il lui manque des drivers (cartes isdn par exemple)

  • # tiens, ya plus de trolls ?

    Posté par  . Évalué à -1.

    On a pas encore eu droit au troll:
    BSD n'a pas sa place sur linuxfr.org !!
    Mettez des news solaris nom de nom !
    Les trolls seraient-ils partis en vacances ? ou bien y a-t-il eu purification trollique ?

  • # [OT] *BSD & Linux...

    Posté par  . Évalué à 0.

    Pardonnez mon ignorance et cette question qui pourrait vous paraître très c*nne, mais...

    Est-ce que *BSD et Linux peuvent cohabiter facilement sur un seul et même HDD ?

    Je pense que la réponse est oui (du moins je l'espère :) ). Comment ça marche ???

    Faut-il configurer LILO de manière particulière, ou utiliser autre chose que LILO. Bref, je voudrais essayer un BSD mais sans me débarasser de Linux...

    Si vous pouvez m'éclairer, merci d'avance...

    --
    TrappedUnderIce

    • [^] # Re: [OT] *BSD &amp; Linux...

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      En ce qui concerne FreeBSD, il n'y a aucun problème (et je pense qu'il en va de même avec les autres BSD). Pour le boot Manager, tu peux utiliser LILO dans ce cas, tu regardes le mini HOWTO sur Linux et FreeBSD. Sinon, tu peux utiliser le BootMgr fourni avec FreeBSD. Dans ce cas, tu dois, me semble-t-il, installer ton Lilo non dans le MBR mais sur le début de ta partition bootable Linux (le BootMGR se fout d'ailleurs complêtement que ce soit au-delà du cylindre 1024) . Dans ce cas, à l'installation du FreeBSD, si tu installes le BootMGR, il devrait détecter la partition Linux et te la proposer (En tout cas, ça marche très bien avec Window$). Si tu veux vérifier, tournes-toi vers le site http://www.freebsd-fr.org(...) où tu trouveras dans la rubrique FAQ et dans le Handbook tout ce qui concerne le boot.

      PS: Il faudrait quand même qq'un pour confirmer que je raconte pas que des conneries ;-)

      • [^] # Re: [OT] *BSD &amp;amp; Linux...

        Posté par  . Évalué à 2.

        c'est pas complètement faux.
        Le plus simple est de mettre un chargeur de boot sur chaque partition contenant un OS et lilo fait le jump sur la partition que tu veux démarrer, ainsi chaque OS a son chargeur (de toute manière, vu la tronche d'un slice BSD vaut mieux faire ça).

    • [^] # Re: [OT] *BSD &amp; Linux...

      Posté par  (site web personnel) . Évalué à 2.

      Une URL qui explique comment faire cohabiter Linux et OpenBSD : ftp://ftp.openbsd.org/pub/OpenBSD/2.8/i386/INSTALL.linux(...)

      Et ca marche bien...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.