|
|
|
|
|
|
|
|
Ihr habt boost als Modul in eurem Programm drin?
|
|
|
|
|
|
|
|
|
|
|
Ja, ist ne Multiplattform Geschichte. Und da wollten wir eigentlich nicht für jede Plattform eine Binary-Lib mit reinpacken sondern dachten uns: Lassen wir Boost doch um sich selbst kümmern und packen das als Modul rein.  Dachten wir uns...
Der Praktikant hat dann irgendwann auch gemeint, dass das wohl keine gute Idee ist, nach dem eben nur schon das Auschecken der kompletten Submodul-Hierarchie eeeeewig gedauert hat
Aber falls da jemand einen besseren kreativen Vorschlag hat, wie man sowas sauber löst und man die Anforderung "checke es auf einer Kiste mit GCC aus und baue es" erfüllt, immer her damit
// Das ganze soll z.B. nämlich im Continious Integration ständig gebaut werden oder auch mal automatisiert durch die statische CodeAnalyse etc. pp. Das ist es immer schlecht, wenn so eine Version im Git nur geht, wenn man die 5 Schritt im README gemacht hat...was als Entwickler schon nervig genug ist, wenns mal wieder heißt für den ausgefallenen Kollegen eben was zu erledigen...
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von GH@NDI am 21.07.2014 16:22]
|
|
|
|
|
|
|
|
|
|
Boost als Dependency vorrausetzen? Für C/C++ gibt es ja leider afaik keinen auch nur näherungsweise populären Package manager mit dem man sowas umgebungsunabhängig automatisieren kann...
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
Boost als Dependency vorrausetzen? Für C/C++ gibt es ja leider afaik keinen auch nur näherungsweise populären Package manager mit dem man sowas umgebungsunabhängig automatisieren kann...
| |
Dann bekommst du aber auch wieder Probleme, wenn du dich auf eine konkrete Version beziehst. Ist jetzt bei Boost kein sooo großes Thema, aber wir hatten hier lange hin und her Überlegungen. Wobei wir letztlich dann auch wieder zu fertigen Libs gegriffen haben, für Boost und OpenSSL war das einfach way too much 
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von TheRealHawk
gibt es irgendwas das Subversion kann aber Git nicht?
| |
es kann nach wie vor nicht gut mit vielen binärdateien umgehen.
solltet ihr aus irgendwelchen gründen viele binärdateien zusätzlich damit verwalten, dann sollte man sich die frage stellen, ob so ein dezentrales system wirklich besser ist. du musst bzw. wirst in dem fall immer sehr sehr viel zeugs mit in den repos liegen haben, die einfach nur redundant sind.
| | Zitat von GH@NDI
Aber falls da jemand einen besseren kreativen Vorschlag hat, wie man sowas sauber löst und man die Anforderung "checke es auf einer Kiste mit GCC aus und baue es" erfüllt, immer her damit
| |
den multiplatform teil löst man am saubersten ohne boost und mit entweder direkt mit interfaces und factories oder aber ganz sauber und cool in plain C mit sauberen schnittstellen, die dann je nach platform andere C sourcen nutzen.
(letzteres kann man mit C++ sourcen zwar auch machen, aber dann wirds es etwas unlustig PIMPL und co lassen grüssen.)
in aller regel ist die interface + factory sache recht sauber und nett, wenn man es richtig macht.
ansonsten: boost -> ha ha!
|
|
|
|
|
|
|
|
|
|
|
|
Und nach 2 Jahren fängt man dann an, sein Produkt zu programmieren.
|
|
|
|
|
|
|
|
|
|
|
|
Wollte grade sagen, der Kunde möchte nach Erteilung eines Auftrages auch irgendwann sein Produkt gerne erhalten
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von GH@NDI am 21.07.2014 20:26]
|
|
|
|
|
|
|
|
|
ich weiss ja nicht, was ihr da alles abstrahieren wollt, aber ich beschränke mich da auf die sachen, die ich tatsächlich brauche.
das kostet mich, selbst wenn ich es jedes mal neu schreibe ca. nen tag, wenn es viel ist.
|
|
|
|
|
|
|
|
|
|
|
Und da ich ja momentan bei einer Firma mit erstaunlich stark ausgeprängten not-invented-here Syndrom arbeite: Das garantiert noch ganz ganz ganz lange keine Codequalität. Und dann hat man dazu auch noch keine Doku und schon gar keine externe Hilfe.
Nopenopenope.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Traxer
| | Zitat von TheRealHawk
gibt es irgendwas das Subversion kann aber Git nicht?
| |
es kann nach wie vor nicht gut mit vielen binärdateien umgehen.
solltet ihr aus irgendwelchen gründen viele binärdateien zusätzlich damit verwalten, dann sollte man sich die frage stellen, ob so ein dezentrales system wirklich besser ist. du musst bzw. wirst in dem fall immer sehr sehr viel zeugs mit in den repos liegen haben, die einfach nur redundant sind.
| |
iirc ist der Unterschied geringer als man erwarte würde, im Schnitt braucht git nur so 50-60 % mehr Speicherplatz als SVN.
|
|
|
|
|
|
|
|
|
|
|
dann macht ihr was falsch, wenn das die probleme sind, die euch davon abhalten.
für solche fälle kann ich aber mal einfach das buch hier empfehlen: http://www.amazon.de/dp/0596802293/
hat nichts mit abstraktionen zu tun, aber mit dem anderen teil.
was dokumentation angeht, was genau brauchst du? eine MSDN für ein fopen oder für ein VirtualAlloc? da reicht was manpage mässiges und das ist recht schnell geschrieben.
nebenbei, würde so eine abstraktion in einer firma eh nicht alle nase lang neugeschrieben werden. die baut man einmal richtig und kann sie dann modular nutzen.
bekommt man letzteres nicht hin, dann sollte man dringend über seine ansätze zur softwareentwicklung nachdenken (ja, ich habe diese erfahrung selber gemacht).
|
|
|
|
|
|
|
|
|
|
|
Ich glaube wir reden hier von einer ganz anderen Skala. Ich rede hier von selbst-implementierten Datenbanken und sowas.
¤: Und je nach dem was du von Boost nutzt ist das auch nicht eben mal so schnell hingerotzt. Und ich glaube du überschätzt die Planungsfähigkeiten der meisten Firmen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von SwissBushIndian am 21.07.2014 20:38]
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
| | Zitat von Traxer
| | Zitat von TheRealHawk
gibt es irgendwas das Subversion kann aber Git nicht?
| |
es kann nach wie vor nicht gut mit vielen binärdateien umgehen.
solltet ihr aus irgendwelchen gründen viele binärdateien zusätzlich damit verwalten, dann sollte man sich die frage stellen, ob so ein dezentrales system wirklich besser ist. du musst bzw. wirst in dem fall immer sehr sehr viel zeugs mit in den repos liegen haben, die einfach nur redundant sind.
| |
iirc ist der Unterschied geringer als man erwarte würde, im Schnitt braucht git nur so 50-60 % mehr Speicherplatz als SVN.
| |
nunja, wenn ich da mehrere GB bei jedem sync sauben bzw. schieben muss und ich diese dann doppelt bzw. dreifach auf meinem dev system liegen habe (einmal im repo und einmal als nutzbare version), dann bin ich mir da nicht so sicher, wie ich das finden soll.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von SwissBushIndian
Ich glaube wir reden hier von einer ganz anderen Skala. Ich rede hier von selbst-implementierten Datenbanken und sowas.
| |
wo ist das problem?
gerade so eine software sollte recht wenig (high level) system kram verwenden. das zeugs muss keine GUI oder sonst irgendwas aus der ecke wegabstrahieren. die low level sachen und die sachen in richtung kernel bzw. memory system oder selbst FS sind in aller regel alle recht banane in der abstraktion.
bei GUI systemen wird das spassiger und da kann ich es verstehen das nicht selber bauen zu wollen, wenn es keinen absolut guten grund gibt.
der andere punkt, der mit gerade bei DBs und co einfällt, der absolut gegen boost sprechen würde ist einfach, dass boost ein absoluter performance killer ist. das gilt sowohl für die runtime performance als auch ganz besonders für die compile time performance (template galore anyone?).
|
|
|
|
|
|
|
|
|
|
|
Das Problem ist, dass weder du, noch ich, noch sonst jemand mit Hirnzellen die sich nicht mit atmen beschäftigen damit beauftragt wurde. Das Resultat davon kannst du dir ausmalen.
Und da ich das inzwischen an viel zu vielen Orten erlebt habe, bin ich immer maximal skeptisch wenn ich sowas höre oder sehe.
|
|
|
|
|
|
|
|
|
|
|
|
das buch kann ich übrigens auch unabhängig von der diskussion empfehlen. die comics dadrin sind gut.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"Visualisierung der Polizeiticker Meldungen der Leipziger Volkszeitung" ist ein toller Name für ein neues Projekt. Ich hab nur Sorge, daß der Name der App in der Anzeige auf mehrere Zeilen umgebrochen werden muss.
|
|
|
|
|
|
|
|
|
|
|
Ich möchte einen simplen VPN Server auf meinem Server haben, vor allem für meine Android-Geräte. Nichts kompliziertes, eigentlich nur nen Tunnel ins große Internetz. Wie mache ich das? 
|
|
|
|
|
|
|
|
|
|
Die Standardlösung ist da eigentlich OpenVPN. Das ist auch gar nicht so schwierig aufzusetzten.
iOS kann das, also sollte Android da ja auch mit klar kommen 
|
|
|
|
|
|
|
|
|
|
|
Nicht nativ, aber mit der entsprechenden App.
https://play.google.com/store/apps/details?id=de.blinkt.openvpn
Das schöne an OpenVPN ist, dass es wirklich einfach einzurichten ist und nur einen offenen Port braucht und nicht x Ports und irgendwelche fancy Protokolle (Hallo IPsec). Und wenn man sich das Howto auf der offiziellen Seite komplett durchliest lässt sich damit schon ein enorm hohes Sicherheitsniveau erreichen, wobei ich den Android Client nicht kenne und entsprechend nicht weiß, ob der alle Features unterstützt.
Ich würde es aber von Anfang an ordentlich mit einer CA und Zertifikaten machen, zusätzlich tls-auth verwenden, die Key Size in den easy-rsa Scripten auf 2048 setzen und die verwendeten Algorithmen ändern wenn der Client sie unterstützt, welche es gibt kann man sich mit openvpn --show-ciphers, --show-digests und --show-tls anzeigen lassen, z.B.
auth SHA512
cipher AES-256-CBC
tls-cipher DHE-RSA-AES256-SHA
Siehe auch https://community.openvpn.net/openvpn/wiki/Hardening
und
https://bettercrypto.org
Das Rumgemurkse mit statischen Keys ist bei einem Client Quick & Easy aber nervt später nur noch. Wenn man sich ans Howto hält ist die andere Lösung auch nur mit minimal mehr Aufwand verbunden.
|
|
|
|
|
|
|
|
|
|
|
So, OpenVPN läuft, nun muss es nur noch was sinnvolles tun. Das Routing klappt noch nicht.
Server:
In der server.conf:
| |
| Code: |
push "redirect-gateway def1" |
|
In der Shell:
| |
| Code: |
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp4s0 -j MASQUERADE |
|
Es kommt kein Routing... *click*
Hier die logs:
server
| |
| Code: |
Tue Jul 22 11:23:08 2014 OpenVPN 2.3.4 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 3 2014
Tue Jul 22 11:23:08 2014 library versions: OpenSSL 1.0.1h 5 Jun 2014, LZO 2.08
Tue Jul 22 11:23:08 2014 Diffie-Hellman initialized with 2048 bit key
Tue Jul 22 11:23:08 2014 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Tue Jul 22 11:23:08 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:08 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:08 2014 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Jul 22 11:23:08 2014 ROUTE_GATEWAY 176.9.41.97/255.255.255.0 IFACE=br0 HWADDR=14:da:e9:b3:98:d0
Tue Jul 22 11:23:08 2014 TUN/TAP device tun0 opened
Tue Jul 22 11:23:08 2014 TUN/TAP TX queue length set to 100
Tue Jul 22 11:23:08 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Jul 22 11:23:08 2014 /usr/bin/ip link set dev tun0 up mtu 1500
Tue Jul 22 11:23:08 2014 /usr/bin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Tue Jul 22 11:23:08 2014 /usr/bin/ip route add 10.8.0.0/24 via 10.8.0.2
Tue Jul 22 11:23:08 2014 GID set to nobody
Tue Jul 22 11:23:08 2014 UID set to nobody
Tue Jul 22 11:23:08 2014 UDPv4 link local (bound): [undef]
Tue Jul 22 11:23:08 2014 UDPv4 link remote: [undef]
Tue Jul 22 11:23:08 2014 MULTI: multi_init called, r=256 v=256
Tue Jul 22 11:23:08 2014 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Tue Jul 22 11:23:08 2014 ifconfig_pool_read(), in='powerdax,10.8.0.4', TODO: IPv6
Tue Jul 22 11:23:08 2014 succeeded -> ifconfig_pool_set()
Tue Jul 22 11:23:08 2014 IFCONFIG POOL LIST
Tue Jul 22 11:23:08 2014 powerdax,10.8.0.4
Tue Jul 22 11:23:08 2014 Initialization Sequence Completed
Tue Jul 22 11:23:22 2014 84.190.91.5:45146 TLS: Initial packet from [AF_INET]84.190.91.5:45146, sid=6f922924 d838ec58
Tue Jul 22 11:23:22 2014 84.190.91.5:45146 VERIFY OK: depth=1, C=DE, ST=Niedersachsen, L=Hannover, O=Private, OU=Private, CN=Private CA, name=EasyRSA, emailAddress=vpndax@daxbau.net
Tue Jul 22 11:23:22 2014 84.190.91.5:45146 VERIFY OK: depth=0, C=DE, ST=Niedersachsen, L=Hannover, O=Private, OU=Private, CN=powerdax, name=EasyRSA, emailAddress=vpndax@daxbau.net
Tue Jul 22 11:23:23 2014 84.190.91.5:45146 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 22 11:23:23 2014 84.190.91.5:45146 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:23 2014 84.190.91.5:45146 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 22 11:23:23 2014 84.190.91.5:45146 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:23 2014 84.190.91.5:45146 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jul 22 11:23:23 2014 84.190.91.5:45146 [powerdax] Peer Connection Initiated with [AF_INET]84.190.91.5:45146
Tue Jul 22 11:23:23 2014 powerdax/84.190.91.5:45146 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Tue Jul 22 11:23:23 2014 powerdax/84.190.91.5:45146 MULTI: Learn: 10.8.0.6 -> powerdax/84.190.91.5:45146
Tue Jul 22 11:23:23 2014 powerdax/84.190.91.5:45146 MULTI: primary virtual IP for powerdax/84.190.91.5:45146: 10.8.0.6
Tue Jul 22 11:23:25 2014 powerdax/84.190.91.5:45146 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jul 22 11:23:25 2014 powerdax/84.190.91.5:45146 send_push_reply(): safe_cap=940
Tue Jul 22 11:23:25 2014 powerdax/84.190.91.5:45146 SENT CONTROL [powerdax]: 'PUSH_REPLY,redirect-gateway def1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
|
|
client
| |
| Code: |
Tue Jul 22 11:23:35 2014 OpenVPN 2.3.4 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 3 2014
Tue Jul 22 11:23:35 2014 library versions: OpenSSL 1.0.1h 5 Jun 2014, LZO 2.08
Tue Jul 22 11:23:35 2014 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Tue Jul 22 11:23:35 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:35 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:35 2014 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Jul 22 11:23:35 2014 UDPv4 link local: [undef]
Tue Jul 22 11:23:35 2014 UDPv4 link remote: [AF_INET]176.9.41.115:1194
Tue Jul 22 11:23:35 2014 TLS: Initial packet from [AF_INET]176.9.41.115:1194, sid=496ed4c9 764ab7d3
Tue Jul 22 11:23:35 2014 VERIFY OK: depth=1, C=DE, ST=Niedersachsen, L=Hannover, O=Private, OU=Private, CN=Private CA, name=EasyRSA, emailAddress=vpndax@daxbau.net
Tue Jul 22 11:23:35 2014 VERIFY OK: nsCertType=SERVER
Tue Jul 22 11:23:35 2014 VERIFY OK: depth=0, C=DE, ST=Niedersachsen, L=Hannover, O=Private, OU=Private, CN=daxbau, name=EasyRSA, emailAddress=vpndax@daxbau.net
Tue Jul 22 11:23:35 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 22 11:23:35 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:35 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 22 11:23:35 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 22 11:23:35 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jul 22 11:23:35 2014 [daxbau] Peer Connection Initiated with [AF_INET]176.9.41.115:1194
Tue Jul 22 11:23:38 2014 SENT CONTROL [daxbau]: 'PUSH_REQUEST' (status=1)
Tue Jul 22 11:23:38 2014 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Tue Jul 22 11:23:38 2014 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jul 22 11:23:38 2014 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jul 22 11:23:38 2014 OPTIONS IMPORT: route options modified
Tue Jul 22 11:23:38 2014 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=enp6s0 HWADDR=00:25:22:eb:01:c7
Tue Jul 22 11:23:38 2014 TUN/TAP device tun0 opened
Tue Jul 22 11:23:38 2014 TUN/TAP TX queue length set to 100
Tue Jul 22 11:23:38 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Jul 22 11:23:38 2014 /usr/bin/ip link set dev tun0 up mtu 1500
Tue Jul 22 11:23:38 2014 /usr/bin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Tue Jul 22 11:23:38 2014 /usr/bin/ip route add 176.9.41.115/32 via 192.168.1.1
Tue Jul 22 11:23:38 2014 /usr/bin/ip route add 0.0.0.0/1 via 10.8.0.5
Tue Jul 22 11:23:38 2014 /usr/bin/ip route add 128.0.0.0/1 via 10.8.0.5
Tue Jul 22 11:23:38 2014 /usr/bin/ip route add 10.8.0.1/32 via 10.8.0.5
Tue Jul 22 11:23:38 2014 Initialization Sequence Completed
|
|
client config
| |
| Code: |
client
dev tun
proto udp
remote daxbau.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/powerdax.crt
key /etc/openvpn/powerdax.key
ns-cert-type server
tls-auth /etc/openvpn/ta.key 1
comp-lzo
verb 3
|
|
server config
| |
| Code: |
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/daxbau.crt
key /etc/openvpn/daxbau.key
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0 # This file is secret
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
push "redirect-gateway def1"
|
|
|
|
|
|
|
|
|
|
|
|
|
Jah, damit hab ich mich auch ewig rumgeschlagen. Ich habe keine Ahnung davon und das nur durch wildes ausprobieren rausgefunden, aber bei mir geht es damit:
| |
| Code: |
# OpenVPN
iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
# Allow TUN interface connections to OpenVPN server
iptables -A INPUT -i tun+ -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
# NAT the VPN client traffic to the internet
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
|
|
Vielleicht hilft dir das ja 
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von theromi am 22.07.2014 11:36]
|
|
|
|
|
|
|
|
|
Kennt sich hier jemand mit ISO 27001 aus? Ist das SoA ein öffentliches Dokument oder rein intern?
/e: office:/home/smb# find . -name '._*' | wc -l
2483
Ich hasse Apple  Alles was mit ._ anfängt kommt jetzt in veto files...
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von TheRealHawk am 22.07.2014 12:42]
|
|
|
|
|
|
|
|
|
| | Zitat von theromi
Jah, damit hab ich mich auch ewig rumgeschlagen. Ich habe keine Ahnung davon und das nur durch wildes ausprobieren rausgefunden, aber bei mir geht es damit:
| |
| Code: |
# OpenVPN
iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
# Allow TUN interface connections to OpenVPN server
iptables -A INPUT -i tun+ -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
# NAT the VPN client traffic to the internet
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
|
|
Vielleicht hilft dir das ja
| |
Klappt
Die iptables Regeln kann ich ja schlecht normal persistieren, weil das Interface ja erst spät erscheint, oder? Wo packe ich die denn hin? In ein startup-script von openvpn oder so?
|
|
|
|
|
|
|
|
|
|
|
Also bei mir stehen die in einem Skript, dass bei jedem Boot ausgeführt wird
/e: Ich nix Grammatik heute.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von theromi am 22.07.2014 16:18]
|
|
|
|
|
|
|
|
|
Wahoow, mein Tablet hat VPN
¤dit:
Ich hab die Regeln jetzt in den Arch Linux iptables rules die per systemd geladen werden. Das wird schon passen
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von audax am 22.07.2014 16:29]
|
|
|
|
|
|
|
|
|
|
Du kannst auch einfach definieren welche externen Skripte beim Connect ausgeführt werden. Kann ich heute abend nochmal nachschauen.
|
|
|
|
|
|
|
|
|
|
|
Jup, hab ich gefunden. Ich schau mal, ob es auch so schon klappt, ansonsten packe ich die rules in nen Script und führe sie beim openvpn-up aus.
Ich bin erst mal froh, dass es überhaupt geht
|
|
|
|
|
|
|
|
|
|
|
Weil ich's gerade selber falsch gemacht und ne Weile nicht gefunden habe:
| |
| Code: |
$ ag "memset\([^\)]*,\s*0\);" |
|
Findet natürlich nich alles, aber typische Nutzung...
/e: Cppcheck findet das auch (mit --enable=all), noch besser. (warning) memset() called to fill 0 bytes of 'iobuf'.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von csde_rats am 22.07.2014 17:47]
|
|
|
|
|
|
| Thema: 100 gute Gründe für Linux ( v0.30 gute Gründe für systemd ) |
