Release-Notes fli4l Version 2.1.9 =================== War in fli4l Version 2.1.8 die Neugestalltung des Bootprozesses wesentliches Merkmal der Änderungen, so stellt im Release 2.1.9 die Umstellung des Build-Prozesses die größte Veränderung da. Details sind dem folgenden Abschnitt "base" und der Dokumentation zu entnehmen. Neben den im folgenden aufgeführten Veränderung, sind weiterhin alle Bugfixes der Version 2.1.8 in die 2.1.9 eingeflossen. ----------------------------------------------------------------------- Hier nun die Liste der wesentlichen Änderungen: Kernel: ======= - Update auf Kernel Version 2.4.27 + netdev random Patch + ignore_ksoftirq Patch + ebtables Patch + advanced routing Patch Ein neuer Kernel hat leider zur Folge, daß externe Opt-Pakete, welche Kernel Module enthalten, nicht mehr lauffähig sind. Die Maintainer werden gebeten, die betroffenen Pakete entsprechend anzupassen. - APIC-Support im Kernel Ein APIC verringert die Latenzzeiten bei Unterbrechungsanforderungen (IRQ) wie sie von Netzwerk- oder ISDN-Karten gesendet werden und verringert auch viele mögliche Konflikte mit gemeinsam genutzten IRQ's. Da viele Mainboards diese Funktion fehlerhaft implementiert haben, ist dieses Feature per Default deaktiviert. Es kann durch eine Änderung in der Datei img/syslinux.tmpl aktiviert werden, indem in der Zeile mit 'APPEND' das Wort 'noapic' gelöscht wird: APPEND load_ramdisk=1 initrd=rootfs.tgz root=/dev/tmpfs TAG danach muß die Diskette/HD-Installation erneuert werden, um es zu aktivieren. Library: ======= - keine Änderung! Weiterhin sind alle Programme gegen die uClibC Version 0.9.26 compiliert. base: ===== - entfernte Scripts: mkfloppy.[sh|bat], mkopt.[sh|bat], mknetboot.sh, mkiso.sh - neue Scripts: mkfli4l.[sh|cmd], mkfli4l-win9x.bat "mkfloppy ist weg? Wie erzeuge ich denn da meine Bootdisk?" Der Build-Prozeß (= Erstellung der fli4l Bootmedien) wurde neu gestaltet. Für die Betriebssyteme Linux, Win9x (incl. ME) und NT (incl. W2k, WinXP) existiert jeweils nur noch ein Script zur Erstellung der fli4l Bootmedien. Mittels der Variable BOOT_TYPE aus der /base.txt wird gesteuert, welche Aktion das Script ausführt: - Erstellen einer Bootdisk - Erstellen eines bootfähigen ISO-Images - Erstellen der fli4l Dateien zwecks Remote-Update - und weitere ... Ebenso neu ist die Datei /mkfli4l.conf. Sie ist anlog zu den fli4l Konfigurationsdateien aufgebaut. Mit Hilfe dieser Datei kann das Build Script mkfli4l* gesteuert werden (z.B. alternative Verzeichnisse festlegen). Näheres ist bitte der Dokumentation zu entnehmen, Kapitel "Erstellen der fli4l Bootmedien". - Boot Problem mit 1680er Disketten korrigiert. - in der Prerouting-Liste muss nun angegeben werden, ob es sich bei dem Portforwarding um statisches oder ein dynamisches Portforwarding handelt. Diese Unterscheidung wurde früher anhand der Ziel-IP getroffen. Gab es eine, wurde das Portforwarding statisch eingerichtet, gab es keine, wurde es erst beim Dial-In eingerichtet. Da sich damit aber z.B. keine Regeln fuer einen transparenten proxy einrichten lassen, wurde diese Änderung eingefuehrt. - DMZ-Support -- 2.1.9 kommt mit einer ersten Version eines einfachen DMZ Support. advanced_networking: ================= - Der Bridgesupport nach 802.1D wurde in dieses Paket verlegt. Ausserdem wurden einige kleinere Dinge geändert und die Prüfungen der Bridge Parameter erweitert. http://bridge.sourceforge.net/ - VLAN Unterstützung nach 802.1Q. Bitte die Hinweise bezüglich einer eventuell notwendigen MTU Anpassung beachten!. http://www.candelatech.com/~greear/vlan.html - Bonding Unterstützung für das Zusammenschalten mehrerer Netzwerkkarten zu einer Verbindung. http://sourceforge.net/projects/bonding/ - Es wurde begonnnen EBTables Unterstützung einzubauen. Durch aktivieren von EBTables ist es möglich, einen transparenten Paketfilter aufzubauen. Aufgrund der Komplexität von EBTables gibt es aber (noch) keine fli4l typische einfache Konfiguration. Mit anderen Worten: EBTables ist nur etwas für absolute Profis. http://ebtables.sourceforge.net/ bridge: ======= - entfernt! Dieses Paket wurde mit in das neue Paket advanced_networking aufgenommen. chrony: ======= - neue Variable: CHRONY_TIMESERVICE Neben dem Protokoll NTP "spricht" das Paket CHRONY jetzt auch das TIME Protokoll gemäß RFC 868. Das Paket CHRONY kann somit alle Funktionen des Pakets TIME übernehmen. - CHRONY arbeitet nun auch mit reinen Ethernet Routern (also kein DSL, ISDN oder DHCP-Client Betrieb) zusammen. base_dhcp: ========== - neu (experimentel) Dieses Paket enthält die aktuelle Version des DNS-Server "dnsmasq". Dieser bringt von "Haus aus" einen integrierten DHCP-Server mit, die entsprechende Konfiguration ist selbsterklärend bzw. es wird auf die Dokumentation des DHCP-Paketes verwiesen. dsl: ==== - neuer Treiber für: FRITZ!Card DSL SL USB - PPPOE_TYPE hat neuen Standardwert: 'in_kernel' httpd: ===== - Das httpd Passwort wird nun bereits beim Erstellen der fli4l Bootmedien durch mkfli4l verschlüsselt. Auf dem Router ist die Funktion crypt nicht mehr verfügbar. sshd: ===== - Update auf dropbear 0.44 und Einführung von dbclient als ssh Client. isdn: ===== - neu: Unterstützung für cbcp lpdsrv: ======= - neu: Unterstützung für IRQ und DMA Modus - entfernte Variable: LPDSRV_PARPORT_x ersetzt durch: LPDSRV_PARPORT_x_IO tools: ====== +++++++++++++++++++++ Achtung +++++++++++++++++++++++++++++++++ Schwachstelle in wget erlaubt beliebige Dateien zu löschen oder anzulegen +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Das Programm wget, das für das nicht-interaktve herunterladen von Daten via HTTP, HTTPS und FTP z.B. in Skripten verwendet werden kann, besitzt eine Schwachstelle. Diese kann dazu führen, daß beliebige Dateien innerhalb des Dateibaumes an dessen Wurzel wget aufgerufen wird, neu erzeugt oder Dateien überschrieben werden. siehe: http://cert.uni-stuttgart.de/ticker/article.php?mid=1231 Dem Paket TOOLS liegt Version 1.5.3 von wget bei. Es ist davon auszugehen, daß hier ebenfalls mit der Schwachstelle zu rechnen ist. fli4l selber nutzt kein wget, eventuell aber externe Pakete! usb: ==== - neue Version des eagle-usb Treiber: 2.0.0 vpn: ==== - neue Version von OpenVPN: 2.0rc7 - Die Art, wie die Paketfilterregeln angelegt werden, wurde komplett geändert. Jede VPN Verbindung benutzt jetzt eine eigene Filterkette. Damit ist es auch möglich, das Mitschreiben von abgelehnten Datenpaketen pro VPN Tunnel zu steuern. - OpenVPN läuft wieder als Benutzer nobody in einem leeren chroot. - Die Standardeinstellungen für OPENVPN_x_LINK_MTU OPENVPN_x_MSSFIX OPENVPN_x_FRAGMENT wurden geändert. Dadurch kann es vorkommen, dass Verbindungen mit älteren OpenVPN Versionen nicht mehr möglich sind oder Verbindungsabbrüche auftreten. Weitere Informationen finden Sie im Kapitel "Zusammenarbeit unterschiedlicher OpenVPN Versionen". - Einige OpenVPN Konfigurationsoptionen wurden entfernt (wie z.B. OPENVPN_DEFAULT_PACKETFILTER) bzw. es sind einige neu hinzugekommen wie z.B: OPENVPN_DEFAULT_OPEN_OVPNPORT OPENVPN_DEFAULT_ALLOW_ICMPPING OPENVPN_DEFAULT_INPUT_LOG OPENVPN_DEFAULT_INPUT_POLICY OPENVPN_DEFAULT_FORWARD_LOG OPENVPN_DEFAULT_FORWARD_POLICY wlan: ===== - neue Version der Treiber hostap, hostapd und wpa_supplicant: 0.2.5 - neue Version des prism54 Treibers