[Fli4l_dev] Informationen zum Weekly-Tarball vom 5.4.2013 [26894]

Fr Apr 5 10:02:02 CEST 2013

im Weekly-Tarball von heute, dem 5.4.2013 [26894] gibt es zum Tarball 
vom 29.3.2013 [26732] die folgenden Änderungen (Feedback erwünscht):

Fertiggestellt:
---------------
FFL-298: Anpassung von iptables-Regeln für neue Kernel
FFL-414: Support für Floppy entfernen
FFL-446: Angleichung und Überarbeitung des IPv4- und IPv6-Firewall-Codes und 
Einbau von IPv6-NAT
FFL-447: Unterstützung für die OUTPUT-Kette fehlt im Paketfilter
FFL-461: OPT_OW soll Kernel_3_8 ohne Meldung akzeptieren

In Arbeit:
----------
FFL-84: Überarbeitung der englischen Dokumentation für fli4l 4.0
FFL-266: Einbau von ocf-linux.
FFL-276: Überarbeitung der deutschen Dokumentation für fli4l 4.0
FFL-277: Überarbeitung der französischen Dokumentation für fli4l 4.0
FFL-304: Typokorrektur
FFL-312: conntrack flushen wenn ein "Netzwerkereignis" aufgetreten ist
FFL-329: Package RRDTOOL3 - Weiterentwicklung
FFL-442: neues Package DSL-Tool
FFL-452: Der Paketfilter sollte mit echten Hostnamen umgehen können
FFL-459: pcmcia crashed bei reboot, Beim Boot werden keine Speicherbereiche 
zugewiesen.
FFL-462: DSL-Tool bringt keine Daten mehr ins Webinterface
FFL-465: IPv6-Dialup via PPPoE

Die "FFL-<Nummer>"-Angaben sind Tickets. Sie können unter
http://bugs.fli4l.de/ eingesehen werden.

Zusätzliche Informationen:
--------------------------
* Zu FFL-298: Eine nötige Umstellung der Conntrack-Konfiguration (früher 
"Masquerading" genannt), da die alte Herangehensweise nicht mehr lange 
unterstützt wird. Siehe Abschnitt 3.10.9 in der Dokumentation. Generell 
gilt, dass MASQ_MODULE_N/% veraltet ist und nicht mehr genutzt werden soll. 
Stattdessen sollen die neuen Ketten PF6?_PREROUTING_CT_% und 
PF6?_OUTPUT_CT_%  verwendet werden.

* Zu FFL-312: Nötig, um Anomalitäten beim Abbau und Aufbau einer 
Einwahlverbindung im Linux-Paketfiltersystem zu umgehen. Dieses Feature ist 
noch nicht so "fertig" wie man es gerne hätte, aber es funktioniert 
zumindest rudimentär.

* Zu FFL-447: Die Linux-Firewall erlaubt das Ansetzen des Paketfilters bei 
auf dem Router generierten Paketen, und jetzt ist das auch konfigurierbar.

* Zu FFL-446: Die Paketfilter für IPv4 und IPv6 sind jetzt gleich mächtig, 
insbesondere kann man jetzt IPv6-NAT betreiben (wenn man unbedingt will).

* Zu FFL-465: Bei der DSL-Einwahl werden bei IPv6-Fähigkeit ein IPv6-Präfix 
per DHCPv6 geholt und der Router sowie das LAN/die LANs dahinter (bei 
entsprechender Konfiguration) damit konfiguriert. Die Konfiguration 
geschieht wie die bisherige Tunnelkonfiguration, nur mit Tunneltyp "ppp". 
Die Dokumentation steht leider noch aus :-( Ein zusätzliches Problem ist, 
dass ich keinen kombinierten IPv4+IPv6-DSL-Zugang testen kann, sondern 
jeweils nur IPv4-only oder IPv6-only einzeln. Hat jemand einen kombinierten 
Zugang zum Testen?

* Zu FFL-452: In Paketfilterregeln kann man nun z.B. schreiben: 
PF_FORWARD_x='any @google.de REJECT'. Dabei wird im Hintergrund für alle 
Hostnamen, die nicht in HOST_% drin sind, eine transparente Umleitung aller 
DNS-Pakete (Port 53), die den Router "kreuzen", an den lokalen dnsmasq 
eingerichtet, damit der dnsmasq alle Auflösungen mitbekommt (andernfalls 
könnte man den Paketfilter durch Auflösen von Namen über andere DNS-Server 
umgehen).

Ach ja: Die Gesamtdokumentation wurde in diesem Tarball auf Grund eines 
Versehens nicht gebaut. Das wird im nächsten Tarball korrigiert.

Viele Grüße und viel Spaß/Erfolg beim Testen,
-- 
Christoph Schulz
[fli4l-Team]