Jak właśnie poinformował Bob Beck na grupie openbsd-misc (i chyba na openbsd-announce) wersja 4.7 systemu OpenBSD jest już dostępna.
Więcej informacji w oryginalnej wiadomości oraz stronie projektu.
Przy okazji – na CONFidence 2010 (już za niecały tydzień) z powodów osobistych nie będzie obecny Wim Vandeputte (objazdowy sklepik OpenBSD), ale Andrzej Targosz obiecał, że będą gadżety i każdy będzie mógł wesprzeć projekt.
Można już składać zamówienia na OpenBSD 4.7! Tym razem okładkę zdobi superryba.
Informacje o nowościach można znaleźć na stronie: OpenBSD 4.7 What’s new (jakby ktoś nie śledził list i zmian w stosunku do poprzedniego wydania).
Oficjanie wersja 4.7 ukaże się zgodnie z planem wydawniczym – w maju. W drugiej połowie maja. Dokładnie 19 maja ;-)
Kolejny wpis z cyklu ‘OpenBSD Following -current’ (oczywiście tylko działka, którą śledzę).
pflogd już nie ma opcji -p (do 4.6 była), więc poinformowanie go o rotowaniu plików przez newsyslog musi odbyć się inaczej. Opis zmiany tutaj: 2009/11/03 – pflogd(8) requires new method of logfile rotation
(więcej…)
Theo de Raadt poinformował, że OpenBSD 4.6 wydane zostanie jednak 1 listopada, a nie jak poprzednio ustalono – 1 października. Z powodu tego, że źródła są zamrożone już dość długo, wiele poprawek będzie dopiero w 4.7 (m. in. zmiany w pf).
Przy okazji – niedawno przeglądałem ‘Zapiski herszta bandy ruterowców’ (wcześniejszy blog) i znalazłem informację, że pierwszy raz produkcyjnie OpenBSD użyłem 21 maja 2003 r. (pierwsza instalacja dzień wcześniej :>; wersja 3.3). FreeBSD produkcyjnie ruszyło (chyba) 28 marca tego samego roku, a pierwsze gratulacje z okazji udanej instalacji wysłał ikt pod koniec listopada 2002 r.
1 września część społeczeństwa cofała się 70 lat w czasie, część paliła w toalecie z dawno nie widzianymi znajomymi, a Henning Brauer na grupie openbsd-misc opublikował informację na temat sporej zmiany w kodzie pf (3’000 linii różnic odchudza kod o 800 linii). Zmiana dotyczy składni translacji i przekierowania adresów – nie będę one osobnymi regułami, a akcjami na regułach match / pass / block. Więcej w oryginalnej wiadomości:
a także w dokumencie Following -current, gdzie znajduje się również informacja z następnego dnia o zmianie składni reguł z opcjami route-to, reply-to, dup-to and fastroute.
Osobiście uważam, że obie zmiany sprawią, że plik konfiguracyjny będzie bardziej czytelny. Zaczynam testowanie!
Wczoraj coś wspomniałem o nowej akcji match w pf, dziś nie mogę nie rozwinąć tematu. Tym bardziej, że nie znalazłem żadnych dodatkowych informacji ani na spryciarze.pl, ani na jaktosierobi.tv (a na tym drugim przejrzałem wszystkie filmy).
Fakty, które znamy (-release):
quick.Powyższe oznacza, że każdy pakiet przejdzie po kolei pełny zestaw reguł. Co w przypadku, gdy logujemy (log)? Niejako jest to powiązane z akcją, więc pakiet zalogowany będzie tylko raz. Poniżej przykład:
block log all
pass in log on $int_if inet proto tcp from any to ($int_if) port ssh flags S/SA modulate state
tcpdump pokaże nam:
07:30:44.227293 rule 3/(match) pass in on xl0: 192.168.1.131.61392 > 192.168.1.64.22: S 738501558:738501558(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK> (DF)
Nowa akcja match (-current) po prostu dopasowuje pakiet i może go zalogować lub oznakować (tag), ale nie zrobi z nim nic więcej (nie zaakceptuje i nie odrzuci). Zmieniony zestaw reguł:
block log all
match in log on $int_if inet proto tcp from any to ($int_if) port ssh
pass in log on $int_if inet proto tcp from any to ($int_if) port ssh flags S/SA modulate state
da następujące wyniki:
07:36:55.505154 rule 4/(match) pass in on xl0: 192.168.1.131.61403 > 192.168.1.64.22: S 3714164883:3714164883(0) win 8192 (DF)
07:36:55.505168 rule 3/(match) match in on xl0: 192.168.1.131.61403 > 192.168.1.64.22: S 3714164883:3714164883(0) win 8192 (DF)
Czyli jeden pakiet (patrz numer sekwencyjny) dwukrotnie zalogowany. Co ważne – w logach pierw mamy pass, a potem match (niezależnie jak reguły ułożymy).
Przydatne? Myślę, że tak. Wracamy do NetFlow (oczywiście z najeżkowatą w tle – pamiętać należy, że w Polsce nie wolno wprowadzać ich do obrotu).
peeper ~ # pfctl -nf /etc/pf.conf
/etc/pf.conf:7: syntax error
peeper ~ # head -n 7 /etc/pf.conf |tail -n 1
scrub in all
peeper ~ # uname -a
OpenBSD peeper.mbs.dmz 4.6 GENERIC#0 i386
Kto podąża za -current, powinien czytać też o zmianach. Czyli:
scrub w konkretnych regułach,match, która dopasowuje każdy pakiet nie reagując na niego (ani pass ani block; przydatne przy logowaniu, normalizowaniu, znakowaniu i co kto jeszcze sobie wymyśli),fragment reassembly domyślnie włączone (próba ustawienia wyrzuci nam błędy),