Berkeley, Kernelpatsche und Qualität...

PMc

Well-Known Member
Also, das ding mit dem IPv6 lokalen Routing hab ich jetzt mit einem neuen Kernelpatch gelöst.

Dann gab es aber noch zwei weitere Probleme:
1. dass net.inet.ip.fw.dyn_keep_states die Pakete wegschmeißt anstatt sie weiterzubearbeiten.
2. dass divert nicht (richtig) mit IPv6 funktioniert.

ad 1. Das braucht man für NPTv6, weil man damit die alten Rules nicht einfach in einen ungenutzten und inaktiven Set verschieben kann (weil dann der ntpv6 mit dem dortigen ntpv6 kollidiert). Damit also die aktiven dynamischen Verbindungen (zB die, mit der man eingeloggt ist) beim neuladen der Rules nicht wegfliegen, sollte man ersatzweise das dyn_keep_states einschalten können. Klappt aber nur mit Allow/Deny/Forward rules, alles andere wird -by design- auf die defaultrule umgeleitet, d,h, weggeschmissen.
Wenn man die wegschmeißzeile aus dem code entfernt, scheint es so zu funktionieren wie es soll.

ad 2. wenn man IPv6 Pakete durch divert schickt, dann kriegen sie keine TCP- oder UDP-checksum, gehen also mit bogus Checksums auf die Leitung, und werden dann konsequenterweise an der destination weggeschmissen. Divert scheint irgendwie kein IPv6 zu unterstützen.
Es fehlen da aber nur vier Zeilen; und wenn man die reinbaut scheint es zu gehen.

Das sind also drei Kernelpatsche nur um meinen Firewall auf IPv6 zu erweitern. Und nun frage ich mich langsam wie das mit der Qualität aussieht. Traditionell hat Freebsd ja den Ruf, in der Netzwerktechnik führend zu sein. (Und in diesem Licht ist es auch nur konsequent, dass ich bei den handelsüblichen Plastikroutern -praktisch alles vom Telefon bis zum IoT-Gadget, das i.W. ein Linux eingebaut hat- immer gleich in dutzende von Bugs laufe.)
Wenn aber dieser level jetzt die Vorderfront der Technologie darstellt, und gleichzeitig die ganze Welt sich abhängig vom Netzwerk macht und das m.o.w als Lebensgrundbedarf anzusehen beginnt, dann sehe ich da etwas schwarz...
 
Und nun frage ich mich langsam wie das mit der Qualität aussieht.
Frage ich mich manchmal auch, toleriere diesen Zustand aber mittlerweile. Das zieht sich auch quer durch die ganze Software-Landschaft. Beim Apache Webserver wurde neulich in 2.4.49 ein Path-Traversal-Bug eingefüht. Es hat zwei Patchlevel (2.4.50 und 2.4.51) gebraucht um den zu korrigieren. Dort scheint die Qualitätskontrolle ein wenig gelitten zu haben.
Zu Bugs bei FreeBSD empfehle ich grundsätzlich einen Bugreport zu schreiben, die Mailinglisten sind da nicht für geeignet.

Rob
 
Zurück
Oben