[Fli4l_dev] Informationen zu den wöchentlichen 4.0-Archiven vom 29.1.2016 (r44338)

Sa Jan 30 11:17:41 CET 2016

Hallo,

leider bin ich in den letzten Wochen nicht zu den gewohnten Ankündigungen  
gekommen -- sorry dafür! Diesmal gibt es deshalb eine kombinierte Übersicht 
über die letzten drei Wochen. Im Vergleich zu den Archiven vom 8.1.2016 
(r43834) gibt es die folgenden Änderungen:

----------------------------
Fertiggestellt am 15.1.2016:
----------------------------

FFL-1230: muninnode: Unterstützung für ALIX defekt
* MUNINNODE_ALIX='yes' funktioniert wieder.

FFL-1588: DHCPDUMP in Paket Tools integrieren
*  Das Programm "dhcpdump" steht nun im tools-Paket zur Verfügung. Es kann  
übers Netzwerk versandte/ermpfangene DHCP-Pakete aufschlüsseln, was bei  
DHCP-Problemen hilfreich sein kann.

FFL-1593: mkfli4l.sh: Option --batch bei --hdinstallpath ohne Effekt
* Jetzt wird die batch-Option berücksichtigt.

FFL-1594: lspci: kein Dekodierung der ID's
* Dies funktioniert jetzt wieder -- es war ein einmaliges Problem beim Bauen 
der nötigen Dateien für den letzten Kernel.

FFL-1600: linux-firmware Upgrade auf 
73b07a93ed6c0cdb2f96dae8387b04cbb7b75643
* Siehe Betreff!

FFL-1602: FBR-Bau schlägt bei Dateien mit Nicht-ASCII-Namen fehl
* Jetzt nicht mehr :-)

FFL-1603: FBR: Symlink-Behandlung verbessern
* Umwandlungen im SVN-Repository von Dateien in Symlinks oder umgekehrt 
werden nun vom fbr-make-Skript unterstützt.

----------------------------
Fertiggestellt am 22.1.2016:
----------------------------

FFL-1604: FBR: check-host-rpath ist nicht ausführbar
* Jetzt schon :-)

----------------------------
Fertiggestellt am 29.1.2016:
----------------------------

FFL-1605: Linux-Kernel 4.1.16 wurde veröffentlicht
* Bitte KERNEL_VERSION entsprechend anpassen!

FFL-1615: OpenSSL-Update auf Version 1.0.2f
* Dieses Update behebt drei Sicherheitslücken (CVE-2016-0701, CVE-2015-3197 
und CVE-2015-4000).

----------
In Arbeit:
----------

FFL-357: Refactoring von mkfli4l
* mkfli4l versteht nun eine neue Syntax für Konfigurationsdateien. Diese 
Syntax ist noch nicht dokumentiert und auch noch nicht in Stein gemeißelt, 
will heißen, sie kann sich noch ändern. Das Ziel dieser Syntax ist es, 
Redundanzen zu vermeiden (damit man nicht immer wieder dasselbe schreiben 
muss) und Array-Indizes automatisch von mkfli4l berechnen zu lassen. 
Beispiele:

1) Circuit-Definitionen:

CIRC {
        [] {
                .NAME='LAN'
                .TYPE='net'
                .ENABLED='yes'
                .UP='yes'
                .NET {
                        .IF='eth0'
                        .ADDRESS {
                                .IPV4='192.168.12.254/24'
                                .IPV6='2001:6f8:13da:2::1/64'
                        }
                }
        }
        [] {
                .NAME='ppp-swing1'
                .TYPE='ppp'
                .ENABLED='yes'
                .UP='no'
                .DEBUG='yes'
                .NETS {
                        .IPV4 {
                                []='192.168.15.0/24'
                        }
                        .IPV6 {
                                []='2001:6f8:13da:5::/64'
                        }
                }
                .PPP {
                        .TYPE='bundle'
                        .PEER_AUTH='yes'
                        .USERID='client1'
                        .PASSWORD='client1pass'
                        .VJ='yes'
                        .VJCCOMP='yes'
                        .FILTER='yes'
                }
                .CLASS {
                        []='swing'
                }
        }
}

2) Firewall:

PF {
    .INPUT {
        .POLICY='REJECT'
        .ACCEPT.DEF='yes'
        .LOG='no' {
            .LIMIT='3/minute:5'
        }
        .REJ.LIMIT='1/second:5'
        .UDP.REJ.LIMIT='1/second:5'
        []='tmpl:samba DROP NOLOG' {
            .COMMENT='no samba traffic allowed'
        }
        []='{LAN} ACCEPT'
        #[]='IP_NET_3 ACCEPT'
        []='{tunnel-fence} ACCEPT'
        []='192.168.11.0/24 ACCEPT'
        []='if:{tunnel-fence}:any ACCEPT'
    }
    .FORWARD {
        .POLICY='REJECT'
        .ACCEPT_DEF='yes'
        .LOG='no' {
            .LIMIT='3/minute:5'
        }
        .REJ_LIMIT='1/second:5'
        .UDP_REJ_LIMIT='1/second:5'
        []='tmpl:samba DROP'
        []='{LAN} {dhcp-swing} ACCEPT'
        #[]='IP_NET_3 ACCEPT'
        []='{tunnel-fence} ACCEPT'
        []='192.168.11.0/24 ACCEPT'
    }
}

Grundlegende Änderungen:
* "." statt "_"
* [] statt "_%"
* keine Indizes nötig, werden automatisch berechnet
* mit <Präfix> { ... } kann ein Teil des Variablennamens "herausgezogen 
werden", damit man ihn nicht immer und immer wieder hinschreiben muss. Dies 
ist insbesondere dann nützlich, wenn ein Array-Index für mehr als eine 
Variable verwendet werden muss.

Voraussetzungen:
* Kein <Array>_N='...' in der Konfigurationsdatei! Neue Einträge würden 
_hinter_ diese maximale Anzahl gehängt und somit ignoriert. mkfli4l ist in 
der Lage, die Anzahl der tatsächlich benutzten Array-Einträge selbständig zu 
ermitteln.
* Auto-Indizes sind  nur sinnvoll, wenn man sie nicht woanders braucht. Im 
Falle von IP_NET_% ist das also nur bedingt hilfreich, weil man in der 
Firewall IP_NET_x, IP_NET_x_DEV etc. mit _konkreten_ Indizes braucht.

FFL-1570: neues Paket mailsend
* Dieses Paket soll eine vom Team gepflegte Basis für alle OPTs werden, die 
per E-Mail kommunizieren wollen/müssen. Es basiert auf dem OPT_MSMTP von 
Christoph Fritsch.

------------------

Die "FFL-<Nummer>"-Angaben sind Tickets. Sie können unter
http://bugs.fli4l.de/ eingesehen werden.

Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]