1 Temat przez jacekalex (edytowany przez jacekalex 2023-05-01 00:58:46)

  • Zarejestrowany: 2019-03-11
  • Posty: 95

Temat: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Cześć Wszystkim

Mam pytanko:
OpenwRT 22.03 ma domyślnie nftables.

Doinstalowanie starego poczciwego iptables pociąga za sobą kompilację kernela z modułami do iptables, czy może odpowiednie moduły są w repo albo w kernelu od razu?

przy okazji,  ma ktoś wynik 

uname -a


z OpenWRT 22.03?

Pytam dlatego, że w kernelu około wersji 5.2 do 5.4 czy dłużej nftables był zupełnie nieużywalny wydajnościowo na swojej własnej maszynie wirtualnej, natomiast chodził całkiem dobrze na maszynie wirtualnej bpfilter portowanej chwilkę wcześniej z OpenBSD.
Potem bpfilter "zniknął z kernela" ale Nftables zaczął działać znośnie, co pozostawiam bez komentarza.

Pozdrawiam

2 Odpowiedź przez bulgar71

  • Skąd: WRO
  • Zarejestrowany: 2017-11-14
  • Posty: 879

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

próbowałem to zrobić na kernelu 5.10
wywala błędy po zmianie nftables na iptables

ASUS TUF AX 6000 <-> QNAP TS-473A <->Pihole<->

3 Odpowiedź przez jacekalex (edytowany przez jacekalex 2023-05-01 00:59:22)

  • Zarejestrowany: 2019-03-11
  • Posty: 95

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Te błędy wywalał brak modułów kernela czy brak gui iptables w UCI/LUCI?

Pytam, bo akurat w kompie mam jajo 5.10.179, które mój Linux zniósł osobiście, (nowsze kernele miewały problemy z moją GPU Intela albo z wybudzaniem z s2ram) oba firewalle mogę używać równocześnie, bo moduły do obu mam wbudowane na sztywno w kernel.

Pozdro

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,975

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Moduły kernela są kompilowane. Choć iptables to już przeszłość, więc cokolwiek byś nie robił odwrotu już od niego nie będzie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez jacekalex (edytowany przez jacekalex 2023-05-01 01:00:08)

  • Zarejestrowany: 2019-03-11
  • Posty: 95

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Iptables to przeszłość nie jest i długo jeszcze nie będzie.
Oficjalnie Nftables miał zastąpić Iptables w Linux-5.0, ale problemów z nim było tyle, że mamy już kernel 6.3, a Iptables dalej jest na serwerach standardem a Nftables egzotyką.
Sety nftables nie potrafią dorównać setom tworzonym przez ipseta, dodatkowo w nftables zrobili uniwersalne table ipv4/ipv6, i niby jedna reguła obejmuje oba protokoły, tymczasem ten warunek spełnia accept, drop i reject, ale już reguły dynamiczne jak meter czy sety dynamiczne nie.

Zanim ten bajzel w nftables zostanie opanowany, to zobaczymy pewnie linux-11.09, o ile Linus T. nie dostanie szału, i fachowców od Nftables nie wyglanuje
z kernela razem z ich wypocinami.

Miał być FW na miarę Pocket Filtera z OpenBSD, a na razie wyszły jaja a nie żaden standard.
Wystarczy z resztą na liście mailingowej nftables-dev zobaczyć problemy zgłoszone przez Morfika, nieznane wcześniej w podsystemie sieciowym Linuxa.
np ten wątek:
https://marc.info/?l=netfilter&m=15 … 11&w=2
i ze dwa inne.

EDIT:
poszły konie po betonie tongue

# OpenWRT ### d 23:23  Router : /tmp 

# root ~> sysupgrade -u openwrt-22.03-snapshot-r20090-c2331038b2-ath79-nand-netgear_wndr4300-squashfs-sysupgrade.bin 
Sun Apr 30 23:23:56 CEST 2023 upgrade: Saving config files...
Sun Apr 30 23:24:10 CEST 2023 upgrade: Commencing upgrade. Closing all shell sessions.
Connection to 192.168.9.1 closed by remote host.
Connection to 192.168.9.1 closed.

Pozdro

6 Odpowiedź przez jacekalex (edytowany przez jacekalex 2023-05-01 00:58:18)

  • Zarejestrowany: 2019-03-11
  • Posty: 95

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Już wszystko chodzi jak dawniej, choć geniuszom, którzy binarki iptables ponazywali iptables-zz-legacy i ip6tables-zz-legacy, do tego tak skopali zależności, że np instalacja 

iptables-mod-conntrack-extra - 1.8.7-7
iptables-mod-extra - 1.8.7-7
iptables-mod-hashlimit - 1.8.7-7

nie wciąga automatycznie binarki iptables,
a instalacja ipseta nie wciąga automatycznie kmod-ipt-ipset, chyba ktoś tu powinien kupić sobie blaszkę i się jeb... w czaszkę.

Pod tym względem wersja 22.03 jest absolutnie wyjątkowa.  wink

Pozdro

7 Odpowiedź przez bulgar71

  • Skąd: WRO
  • Zarejestrowany: 2017-11-14
  • Posty: 879

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Dlatego nie jestem przekonany do nftables i pozostaję z iptables.
Pozostaje jeszcze kwestia wersji kernela i co można osiągnąć po jego implementacji w obraz konkretnego wydania.

ASUS TUF AX 6000 <-> QNAP TS-473A <->Pihole<->

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,975

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

bulgar71 napisał/a:

Pozostaje jeszcze kwestia wersji kernela i co można osiągnąć po jego implementacji w obraz konkretnego wydania.

Nie rozumiem o co pytasz? Dokładnie to samo co miało openwrt przed wprowadzeniem nftables. Czyli zwykłego firewalla.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez bulgar71

  • Skąd: WRO
  • Zarejestrowany: 2017-11-14
  • Posty: 879

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

chodziło mi co wnosi zmiana kernela?
Jak czytałem na forum, wydania z kernelem np. 5.10 dają możliwość lepszego zarządzania "tuningu"
Użytkownicy korzystający z wydań openwrt decydują się na nie ze względu na lepsze zarządzanie, ustawienia, parametry
kosztem osiągów w stosunku do stockowego firmware.

ASUS TUF AX 6000 <-> QNAP TS-473A <->Pihole<->

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,975

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

To pytanie to raczej skieruj na np. lwn.net które opisuje jakie zmiany wprowadza każdy nowy kernel i do czego się może przysłużyć.

Bo o poprawkach bezpieczeństwa oczywiście nie muszę chyba pisać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez jacekalex (edytowany przez jacekalex 2023-05-02 20:23:44)

  • Zarejestrowany: 2019-03-11
  • Posty: 95

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Napiszę tutaj, ze niepotrzebnie nowego wątku nie robić.

OpenWRT 22.03 jest stabilny, czy to jest jakaś beta testowa?

Bo znalazłem dwa niezwykle dziwaczne błędy:
1:
na tej wersji wpad:

opkg list-installed | grep -e wpad
wpad-basic-wolfssl - 2022-01-16-cff80b4f-230330.44241.2

wifi działa, ale nie ma wpad-wolfssl i wpad-mesh, a na wersjach:

wpad-openssl - 2022-01-16-cff80b4f-16.2
wpad-wolfssl - 2022-01-16-cff80b4f-16.2

wifi nie działa w ogóle, karta nie jest dodawana do mostka br-lan, działa w trybie monitor.
Dotyczy to wlan0 i wlan1.

Drugi błąd dotyczy netfiltera tablica mangle-ipv6.
pakiety przekazywane znikają w łańcuchu mangle forward bez śladu.

Wiec się zastanawiam, orać router i wracać na 21.02 czy poczekać na aktualizację?

Oba błędy zauważyłem w tym wydaniu:

OpenWrt 22.03-SNAPSHOT, r20090-c2331038b2                                 
 Build time: 2023-04-01 11:15 CEST

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,975

Odp: [SOLVED]OpenWRT 22.03 i Iptables, moduły kernela?

Pierwsze - tak, działa, w sumie na dowolnym wpad'zie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona