1.4.11 prète

[Franck78]

Enfin, elle sort !

C'est la rc1, que l'on espère finale d'ici le 23...

Il y a 5 images disponibles pour installation cdrom classique mais aussi clé usb et PXE.

Trois formats disponibles pour les clé USB, selon les possibilité de boot de votre bios:
- fdd image usb sans partition (bios récents)
- hdd image usb avec schéma partition d'un disque dur (bios plus anciens)
- zip format lecteur zip

- pxe (instructions dans le package) pour installation réseau.


To copy an usb image to an usb key (minimal size 64 MB), under linux, read
what letter the system give to that key ( cat /proc/partitions | grep sd )
and copy to that device with zcat (the-file) >/dev/sd(letter) without a
partition number. Don't forget the '>' or the output will go to the console.

Sous linux, déterminer le nom attribué à votre clé usb (/dev/sda, /dev/sdb, ...)
et copier avec zcat l'image appropriée:

Code: Tout sélectionner

zcat 'usb-image.gz > /dev/sda

Bien prendre le device entier et pas une partition (sda1) ! Evidement tout sera effacé sur la clé usb...

Sous Windows:
Décompressez et copier avec winimage (shareware).

md5 des fichiers sur SOURCEFORGE:

2860f1e73478e6ea7705163f8ac9df65 ipcop-install-cd-1.4.11rc1.i386.iso
52309e4690a3d66771f59b51b689ecaa ipcop-install-pxe-1.4.11rc1.i386.tgz
14ac74eddfe9a5cd26c3ea5aac0eb1fe ipcop-install-usb-fdd-1.4.11rc1.i386.img.gz
467fbeac86a627749ebc98081ffd4379 ipcop-install-usb-hdd-1.4.11rc1.i386.img.gz
be7e784e3bb6b42d489494f708ceacdc ipcop-install-usb-zip-1.4.11rc1.i386.img.gz


6917a2ea164956fe7a9d2ad5134650e1 ipcop-fcdsl-1.4.11rc1.i386.tgz
3b678ff71044a95b4b02f97d4eba3f4f ipcop-update-1.4.11rc1.i386.tgz.gpg
dc31b38ac28de61b1285374d01734c15 ipcop-sources-1.4.11rc1.tgz

https://sourceforge.net/project/showfil ... p_id=40604

Franck

[dsbsystem]

Bonjour Franck, merci de cette information.

Si j'ai bien saisi, cette 1.4.11 nous permet donc de booter sur une clé USB : il n'y aurait donc plus du tout besoin d'un HDD pourvu que la capacité de la clé soit suffisante ??

Merci

[micjack]

Salut,

Je pense quand même qu'un disque dur reste le meilleur compromis en rapport du nombre d'ecritures, Squid par exemple.. Même si certaines cle USB sont données pour 100 000 cycles d'écriture elle va vite etre HS en rapport du cache et des logs.

Le seul avantage de la clé, c'est de ne plus entendre le croustillement du disque dur, mais ...

Je pense que c'est une trés bonne idée si elle est utilisée uniquement pour faire booter.. Mais à utiliser uniquement pour faire Firewall, comme par exemple, Iptables travaillant exclusivement en ram.

Si y'a d'autres suggestions ....

[psykolivier]

Et en arrêtant tous les services de journalisation, ce serait peut-être mieux, ou cela reste un gain minime selon toi ? Faudrait voir... mais toujours sans squid évidemment

[Franck78]

Booter pour l'install seulement. Ca veut dire plus besoin de griller un CD. Le fonctionnement sur flash-card se fait facilement depuis longtemps (script dans tools).

[micjack]

Booter pour l'install seulement

Ah ok, effectivement, la réponse est déja dans ton post plus haut...

[guiguid]

effectivement, depuis longtemps, ipcop supporte les disques flash.

Cela fonctionne (grossierement) comme cela :
tout est ecrit en RAM, puis toutes les heures (ou reboot) une seule ecriture est effectuée sur le disque.

J'ai des ipcop qui tournent sur du flash depuis ... 1 an et demi (les premieres RC 1.4.0)

[napoleon]

Bonjour, où peut-on trouver la liste des nouveautes ? corretifs ?

[leso]

D apres la mailling list :

Code: Tout sélectionner

Here is the summary of the changes from 1.4.10 to 1.4.11rc1

Web interface
backup.cgi
- new backup supporting usb key, unencrypted backup removed for security
reason
- export of backup.key
key is crypted wit a 'backup' password needed for reinstall,
hostname is include in the exported key file
- backup .dat
now include hostname and the timestamp of the backup
before to reinstall, remove timestamp to the file name you want to use to
restore
a comment field is available for each backup
the comment will be restored on backup upload (if available)
- floppy backup
display used sized,
check that backup is not too big
directly display errors if any (bad floppy)

ddns
- fix typo in local IP network address to fetch real public IP (sf1369617)
- fix GET string during fetch real public IP (sf1396470) and use proxy
settings
- add cjb.net, everydns.net providers and remove hn.org
- move freedns and regfish to https exchanges
- change URL for zoneedit

connections.cgi
- Fix icmp bug (sf1373594)
- add sorting & filtering of the table
- fix minor xhtml compliance issues

dhcp.cgi
- change duplicate dhcp fixed lease detection (Tapani suggestion)
- highlight duplicate MACs
- new option need to be created no space 'code nnn=xyz'
- allow more char in rootpath/filename options (sf1365534)

gui.cgi
- fix minor xhtml compliance issues

portfw.cgi
- fix destination range check (sf1226089)

password.cgi
- have an uniform policy in setup and web GUI
  space, ' and " are not allowed
  6 characters password is the minimal length in both interfaces

pppsetup.cgi
- fix minor xhtml compliance issues

proxy.cgi
- use the proxy port number set in web interface
- support squid extension_methods
- add an option to repair the cache
- fix 'flush cache' option

shutdown.cgi
- allow a programmed shutdown/reboot

update.cgi
- include version number in update log message

VPN
- fix minor xhtml compliance issues
- fix CRL dir and filename
- move randfile and cakey.pem out of /var/ipcop/ca to remove warnings (need
to include in upgrade)
- add leftid/rightid parameters to extend interoperability with other peers
- remove 'raw' debug option, not usable (too much data)
- add overridemtu option
- allow %defaultroute as local name for this side of VPN (sf1418529)
- correctly enable creation of Roadwarriors (sf1436828)
- add subjectAltName (rfe sf1365911)
- add a pkcs12 import while creating a connection
- allow use of DN,FQDN,IP for authentication (sf #1418533)
- compression+vhost can work together: disable check
- set compression off by default for better compatibilty
- Fix unneeded test preventing using more than once a cert (sf1171139)
- add aggressive mode option (rfe sf1359865)
- PFS advanced option was not cleared when saving params in basic GUI
- Integrate vpn-watch from Daniel Berlin (used for net-to-net only)
- Fix certificate export with IE and Opera, now the box to register to disk
really open
- Check the subjectaltname field and filter error output
With access on vpn configuration page controlled by admin password, it
was possible to include html code in this field
html code was executed because of error display without filtering of
subjectaltname.


Connection
- fix reconnection done even in manual and pure RED setting
- fix Ping disable option only working correctly with RED interface up (SF
1373822)
- restart squid during rc.updatered (should fix sf1077113)
- allow selection of only pap or only chap with fritzdsl to be effective

Various
- fix 'single' mode booting used for password recovery (sf1349440)
- fix kernel displaying inexistant partitions with unpartionned fat device
(integrated in 2.4.33)
- fix syslogd and klogd users and start now syslogd as syslogd uid

Building
- support build from precompiled toolchain package
- to work with very old or brand new distribution
- to spare build time
You can upload a prebuild toolchain with ./make.sh gettoolchain
If you want to build your own package, do ./make.sh clean && ./make.sh
toolchain
- supply a collection of all needed packages used to build in an .iso (only
for the final version, not rc)
- split compilation log in differents stages log files
- strip from chrooted /tool/strip
- initrd is rebuild every time the installer is more recent
- disable ipsec.secrets generation to workaround with a kernel >2.6.11.x on
the running machine for a potential empty entropy pool problem
- at the end, move .iso and *.tgz from build/install to root dir instead of
coyping to save place on disk

Support Latin-2 for rrdtool
Upgrade
- dhcp-3.0.4,
- dnsmasq-2.33 and remove ipv6 support we don't use,
- gnupg-1.4.5 and trim unused features,
- hdparm-6.6 (mainly support ATA7 detection),
- iana-etc 2.10,
- iptables-1.3.5,(pool extension no more available,string extension is
reverted to code in v1.3.3)
- ipac-ng-1.31,
- libpng-1.2.12,
- squid-2.5.STABLE14,
- openswan-1.0.10,
- vlan.1.9. (cosmetic)
Fix openssl compiled previously for 486 (sf bug #1363150)

Add Afrikaans,Gujarati,Japanese,Persian (Farsi),Slovak langages to web
interface and install

Installation
- support installation from usb key
- support restoration from usb key and network (http/ftp)
- display version on first screen message
- no more need of scsi floppy to support scsi cdrom/disk when not booting
from floppy
- explain 'no echo for password' message
- use syslinux-3.11
- fill URL bow with http:// as it may not easy to type : on unmapped
keyboard
- keep the URL in case the file is not found (easier to understand what was
previously wrong)
- Fix SiS965L chipset detection
- Fix mptscsih configuration during install

Gilles


-------------------------------------------------------------------------
Using Tomcat but need to do more? Need to support web services, security?
Get stuff done quickly with pre-integrated technology to make your job easier
Download IBM WebSphere Application Server v.1.0.1 based on Apache Geronimo
http://sel.as-us.falkag.net/sel?cmd=lnk&kid=120709&bid=263057&dat=121642
_______________________________________________
IPCop-devel mailing list
IPCop-devel@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/ipcop-devel




[Franck78]

Et bien voila, elle est livrée la 1.4.11 !
Nhésitez pas à appliquer le patch malgré sa taille. En deux secondes c'est réglè.

Redémarrage sugéré, si vous utilisé le kernel 2.4.29 car il est supprimé! Gilles préconise 'après' la fin de la maj. Moi je dirais avant application du patch pour être sur du fonctionnement du k 2.4.31 et pas de reboot si déjà sur le k 2.4.31.

Sans doute un oubli (ou un pb chez moi) mais grub présente encore les entrées pour k 2.4.29. Pas de raison de s'encombrer inutilement: supprimez la fin du fichier /boot/grub/grub.conf !


Bye

[Gesp]

Redémarrage sugéré, si vous utilisé le kernel 2.4.29 car il est supprimé! Gilles préconise 'après' la fin de la maj. Moi je dirais avant application du patch pour être sur du fonctionnement du k 2.4.31 et pas de reboot si déjà sur le k 2.4.31.

Non surtout pas. Appliquez strictement ce qui est dit dans l'information.
Il faut déjà tourner sur le noyau 2.4.31 sinon la mise à jour ne s'applique pas.
Il faut obligatoirement redémarrer après l'application de la mise à jour (dnsmasq est arrété et vu que le reboot est demandé, je n'ai pas prévu de le redémarrer).
Le reboot est obligatoire vu que la partie non modulaire du noyau est mise à jour.

Sans doute un oubli (ou un pb chez moi) mais grub présente encore les entrées pour k 2.4.29. Pas de raison de s'encombrer inutilement: supprimez la fin du fichier /boot/grub/grub.conf !

Oui j'ai laissé trainé cela mais c'est à moitié intentionnel.
Pas besoin de le supprimer, ce sera mis à jour dans j'espère une semaine.

[m2nis]

Bravo pour cette mise à jour qui semble prometteuse, notamment au niveau du vpn. Un premier retour d'expérience après seulement... quelques minutes de recul.

Installation sans soucis. Visiblement, tout semble se passer pour le mieux. Le Vpn remonte doucement. La version française présente juste deux "RVP" au lieu de "RPV" (vert et orange).

Extensions:
-BOT 2.3 build 3 semble tout à fait compatible. Mise à jour en 2.3.1 build 2 tout de même et toujours pas de soucis. Quelques tests semble montrer un comportement tout à fait conforme.
-Urlfilter 1.6.0 n'est pas compatible. Passage en 1.7.0 et retour de l'affichage "qui va bien". Tous les paramètres semblent retrouvés à l'exception peut-être de la mise à jour automatique de la blackliste, et le message pour les pages bloquées ne supporte toujours pas les accents.

Good !

[kinkey]

Cool, j'attend avec impatience des retours avec OpenVPN, à mon grand regret mon serve est en prod donc je ne peux pas faire de test

[Mister-Magoo]

Mis à jour ce matin et utilisé depuis avec Zerina (OpenVPN), rien de spécial à signaler.
A suivre donc ...

[shwing]

Bonjour IpCopain,

En ayant installé la dernière mise à jour, je lis dans /var/log/fail2ban.log ceci :

Code: Tout sélectionner

2006-08-24 15:32:34,089 WARNING: Restoring firewall rules...
2006-08-24 15:32:34,271 ERROR: 'iptables -D CUSTOMINPUT -p tcp -m multiport --dport 81,445 -j FAIL2BAN-HTTP
iptables -F FAIL2BAN-HTTP
iptables -X FAIL2BAN-HTTP' returned 256
2006-08-24 15:32:34,348 ERROR: 'iptables -D CUSTOMINPUT -p tcp -m multiport --dport 222 -j FAIL2BAN-SSH
iptables -F FAIL2BAN-SSH
iptables -X FAIL2BAN-SSH' returned 256

le WARNING: Restoring firewall rules... me fait un peu soucis.


En ayant testé fail2ban, il semblerai qu'il ne fonctionne plus. Pas bien grave.