Beiträge von bertol

So habe endlich Zeit gehabt, ein Image zu erstellen und das ausgiebig zu testen. Mindest Größe des USB-Sticks 300 MB.

Ihr findet es hier:

http://www.bertol.de/tiki-index.php?page=Endian+Firewall+Serial+Console+%28COM1%29&structure=Inhalt

Es fällt sicher auf, dass ich die Seite mit etwas Werbung versehen habe. Die benötige ich um die Seite zu finanzieren :roll:

foresthus

Das ist nur das Installations-Medium. Ein Fertiges Image für die Firewall halte ich für nicht richtig. Daher bitte das Installatinsmedium benutzen!

Zwar schon ein älterer Beitrag, jedoch möchte ich kurz berichten, dass ich ein USB-Stick erstellen konnte, von dem ich gerade ein endian firewall community 2.5.1 (EFC) OHNE Grafikkarte (also über COM1 Port) installiert habe.

Wie bin ich vorgegangen:
1. Vorbereitung
1. Original ISO von EFC besorgt.
2. UNetbootin installiert (http://unetbootin.sourceforge.net/, bzw. in meinem Fall yum install unetboootin)
3. mit UNetbootin USB-Stick erstellt.
4. auf dem Stick im root-Verzeichnis die Datei syslinux.cfg wie folgt ändern

serial 0 38400
default menu.c32
prompt 0
menu title UNetbootin
timeout 100


label unetbootindefault
menu label Default
kernel /ubnkern
append initrd=/ubninit root=/dev/ram0 rw console=tty0 console=ttyS0,38400n8


label ubnentry0
menu label unattended
kernel /boot/isolinux/vmlinuz
append initrd=/boot/isolinux/instroot.gz root=/dev/ram0 rw unattended  console=tty0 console=ttyS0,38400n8


label ubnentry1
menu label nopcmcia
kernel /boot/isolinux/vmlinuz
append initrd=/boot/isolinux/instroot.gz ide=nodma  root=/dev/ram0 rw nopcmcia  console=tty0 console=ttyS0,38400n8


label ubnentry2
menu label nousb
kernel /boot/isolinux/vmlinuz
append initrd=/boot/isolinux/instroot.gz ide=nodma  root=/dev/ram0 rw nousb  console=tty0 console=ttyS0,38400n8


label ubnentry3
menu label nousborpcmcia
kernel /boot/isolinux/vmlinuz
append initrd=/boot/isolinux/instroot.gz ide=nodma  root=/dev/ram0 rw nousb nopcmcia  console=tty0 console=ttyS0,38400n8


label ubnentry4
menu label dma
kernel /boot/isolinux/vmlinuz
append initrd=/boot/isolinux/instroot.gz root=/dev/ram0 rw  console=tty0 console=ttyS0,38400n8

5. ubninit inhalt anpassen
mittels gunzip ubninit entpacken und mit mount -o loop einbinden. Folgende Dateien sind zu ändern:
/etc/inittab

# System initialization.
::sysinit:/etc/rc


# Run gettys in standard runlevels
ttyS0::respawn:/bin/iowrap /dev/ttyS0 /bin/sh --login 
#-c "/bin/installer /dev/ttyS0"
#tty3::respawn:/bin/iowrap /dev/tty3 /bin/sh --login
#tty5::respawn:/bin/iowrap /dev/tty5 /bin/sh --login


# Stuff to do before rebooting
::ctrlaltdel:/etc/halt
::shutdown:/etc/halt

umount und gzip
6. Booten, da ich den installer deactiviert habe haben wir sofortigen Zugriff auf die shell
7. USB-Module laden und USB-Stick mounten
modprobe ehci-hcd
mount /dev/sda1 -t vfat /cdrom
9. installer starten
/sbin/installer /dev/tty2

Das soll es gewesen sein. Wer möchte kann dann noch unter GRUB console=tty0 console=ttyS0,38400n8 eintragen, um den bootvorgang zu beobachten.

Wer will darf mir hier gerne ein Feedback geben, evtl stelle ich das Image auch zum Download bereit, je nachdem wie die Anfragen sind.

Kleiner Zwischenbericht:

noch kein Ausfall

Zitat von "Sabine"

Da hängen bis zu 300 Rechner dran

Respekt bei mir sinds gerade mal 30 wobei davon höchstens 2 surfen. Dafür aber ein paar per VPN reinkommen.

Zitat von "Sabine"

Ich bin sowieso kein Freund von Virtualisierung von Firewalls, erstens kann man die Software die unter der Firewall läuft angreifen
und zweitens hat man noch eine Fehlerquelle.

Dessen bin ich mir auch bewusst und lasse auch auf dem Wirt rkhunter laufen und die WAN-Verbindung läuft über eine nicht virtualisierte Netzwerkkarte, sprich die PCI-Karte wird 1:1 an den Gast durchgereicht und der Wirt ist von Ihr 100% isoliert. Aber ich denke der RAM wirds gewsen sein, habe noch mal die /var/log/* durchforstet und hatte dann auch low-mem-Alerts.

Nachtrag: ... out memory kill process ID xyz (havp) ...
Nachtrag2: Der Speicher "Verlust" kam gegen 1:45 ... der Letzte Ausfall war auch ein Dienstag auf Mittwoch auch gegen 1:45 .... Bin ja mal auf nächste Woche gespannt ....

Zitat von "Sabine"

Moin,
bei mir läuft die 2.4.1 mit allen verfügbaren Updates seit ca. 9 Monaten ohne Ausfälle !

Gruß Sabine

Im Blech (also reale Hardware) oder VM und wiviel RAM?

Zitat von "Grenzwert"

Bei mir läufts mit 2GB Ram.

Hm gerade noch mal geistig registriert. Versuche erst mal die VM mit 2GB laufen zu lassen. mal sehen was dann passiert....

Ja heute nacht ist es wieder stehen geblieben :nerv:
Werde mal eine installation mit efw2.3 aufsetzen und den kernel vom wirt nutzen (PVM). mal schauen obs dann besser läuft

Zitat von "Grenzwert"

Wieviel Arbeitsspeicher hast du der Endian denn zugeteilt?

1GB

Zitat von "Grenzwert"

Und wie definierst du "Hänger"?

- Kein Routing
- kein Proxy
- kein Webzugriff
- kein SSH-Zugriff
- Console nimmt tastatur eingaben entgegen, aber ausführen tut's nix :nerv:
... also Totalausfall

Zitat von "Grenzwert"

Ich finde diesen wiederholten Teilausfall einzelner Endian-Bausteine recht speziell.
Aber wenn ich mich recht erinnere war das die 2.4.1 Version mit einem beta-update über upgradefunktion.
Jetzt läufts nur noch in der Produktivversion und blieb ohne update.

Ja ein Update hatte ich vor 5 Wochen eingespielt. Da war auch meine Installation. und das ist auch der 1. Kontakt mit EFW. Vorher hatte ich eigene FW-Regelen mit Porxy etc über debian mit Squid, Dansguardian, clamav und shorewall am rennen. Die Wartung war mir jetzt dann zu aufwendig und so habe ich nach einer Komplettlösung gesucht.

Verstehe ich dich richtig? Du hast EFW neu installiert und keine Updates mehr eingpielt?

Sehr seltsam... ich habe das gleiche Problem vor ungefähr 3 Wochen der 1. Hänger und heute nacht der 2. In den logs-konnte ich dann auch nichts finden???

Edit: EFW läuft als Gast unter XEN (HVM). somit schließe ich mal Hardwarefehler aus, da die anderen VM's keine Fehler bringen. Das einzige was die anderen VM's nicht teilen ist eine separate Netzwerkkarte, die für den Internetzugang isoliert ist.