- zorp-hu - lists.balabit.hu

/private csak ssl-lel, http/1.1
by Daniel VASARHELYI 15 Sep '03

15 Sep '03

Hello mindenki, valtozatos feladatokat szereztem, es kis segitsege kellene... azt kene megcsinalni, hogy minden domain /private konyvtarat csak ssl-lel lehessen elerni. Fel is huztam egy zorpot, megcsinaltam az ssl-t, az ide vonatkozo konfig reszek: class VirtualHttp(HttpProxy): def config(self): HttpProxy.config(self) self.request["GET"] = (HTTP_REQ_POLICY, self.filterURL) self.request["POST"] = (HTTP_REQ_POLICY, self.filterURL) def filterURL(self, method, url, version): log("http.info", 3, "GET: \"%s\" \"%s\"" % (self.session.session_id, url)) if re.search("http://[^/]+/private.*", url): self.error_info = "This page (/private/) is not accessible in non-secure mode." log("http.info", 3, "GET: private") return HTTP_REQ_REJECT; return HTTP_REQ_ACCEPT; class VirtualHttpS(PsslProxy): def config(self): PsslProxy.config(self) self.stack_proxy = VirtualHttp Az a bajom, hogy ennek felig-meddig ganyolas szaga van, trukkos esetben elofordulhat, hogy http keresnel is https van a "url" valtozoban. Van erre ennel jobb megoldas? Pl valami valtozo beallitasa lehetne, de a VirtualHttpS.stack_proxy-ja egy memoriaban valo hivatkozas (ugysejtem), hogyan lehetne abban az objektumban egy valtozot (client_using_ssl, pl) beallitani, ha a VirtualHttp felett a VirtualHttpS van es nem a Listener... asd -- Daniel VASARHELYI

2 3

ftp proxy gond
by Gabor Halasz 11 Sep '03

11 Sep '03

6.770262 194.88.54.xxx -> 194.88.54.yyy FTP Request: USER anonymous 6.777091 194.88.54.yyy -> 194.88.54.xxx FTP Response: 230 Anonymous user logged in 6.777537 194.88.54.xxx -> 194.88.54.yyy FTP Request: PASS apt_get_ftp_2.1(a)debian.linux.user 6.779392 194.88.54.yyy -> 194.88.54.xxx FTP Response: 503 Login with USER first. Asszem egyértelmű, az ftp serverem anon user esetén nem vár a passwordre, ha mégis kap egyet, akkor nem figyel rá, viszont a zorp kidobja, amiben nem vagyok teljesen biztos, hogy jogosan teszi, hiszen 230-at küldött már a kliensnek, akkor tudnia kellene, hogy már authentikálta. Ez azt is jelenti, hogy ha egy aktív sessionban küldök egy extra pass parancsot, akkor kidob? A konfig idevágó része: class Ftp_C(FtpProxyAnonRO): def config(self): FtpProxyAnonRO.config(self) self.transparent_mode = 1 firewall:~# dpkg -l | grep zorp ii debconf 1.0.32-1zorpos Debian configuration management system ii iptables 1.2.8-zorpos3 IP packet filter administration tools for 2. ii libssl0.9.6 0.9.6j-1zorpos SSL shared libraries ii pptpd 1.1.2-1.4zorpo PoPToP Point to Point Tunneling Server ii zorp 1.4.3-1 An advanced stateful proxy firewall ii zorp-doc 2.0.3.4-1 Zorp documentation. ii zorp-lib 1.4.3-1 Low level library for zorp ii zorp-modules 1.4.3-1 Proxy modules shipped with Zorp -- Gabor HALASZ <halasz.g(a)freemail.hu>

2 1

syslog proxy
by narancs 11 Sep '03

11 Sep '03

Sziasztok! a dilemma a következő: tűzfal mögötti eszközök szeretnének loggolni egy loggyűjtő gépre. Lehetőségek: - syslog-ng van a tűzfalon és abban állítok be egy szabályt Előny: úgymond alkalmazás proxy, és a syslog-ng jól konfigolhatósága Hátrány: ha valamelyik gép DoS-eli a syslog démont a lokális loggolás is elpusztulhat. - zorp udp-plug Előny: nem kockáztatom a tűzfal logrendszerét Hátrány : nincs adatelemzés. Kérdés: 1. lehet-e syslog-ng-ből másik instance-t futtatni másik konfiggal? és nobody userként? 2. vagy tervezitek-e natív syslog proxy megírását a zorpba? köszönet

3 5

befele megy, kifele nem
by Balla Szabolcs 09 Sep '03

09 Sep '03

Sziasztok! A kovetkezo problemam. Adott egy webserver amit egy zorp 2.0-as ved. Kulon gep, keresztkabellel osszekotve. Kintrol tokeletesen latszik a webserver, es megy is ra az ssh, de a webserverrol is kellene a web. (frissites, patch, stb). Mit rontottam el? a masik, van valami termeszetes oka, h nagyon lassan epul fel a kapcsolat? utana mar rendben muxik. Kernem a lista szives segitseget, mert lassan mar alig marad hajam... Mellekelten kuldenem a konfigokat. Bocsanat a level hosszusagaaert! Koszi! Szabek =====policy.py=========== from Zorp.Core import * from Zorp.Http import * from Zorp.Plug import * InetZone('internet', ['0.0.0.0/0'], inbound_services=[ "OutgoingRequest", "HTTP"], outbound_services=[ "HTTP", "sshTOweb"]) InetZone('Intranet', ['192.168.0.0/24'], inbound_services=[]) InetZone('Webserver', ['192.168.0.10/32'], inbound_services=[ "HTTP", "sshTOweb"], outbound_services=[ "OutgoingRequest", "HTTP"], admin_parent='Intranet') def HTTP() : Service(name="HTTP", proxy_class=HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('192.168.0. 10', 80), forge_addr=TRUE)) Listener(bindto=SockAddrInet('100.100.100.100', 80), service="HTTP", backlog=255) def outgoingRequest() : Service(name="OutgoingRequest", proxy_class=HttpProxy, router=TransparentRouter(forge_addr=TRUE)) Listener(bindto=SockAddrInet('192.168.0.5', 80), service="OutgoingRequest", backlog=255) def sshTOweb() : Service(name="sshTOweb", proxy_class=PlugProxy, router=DirectedRouter(dest_addr=SockAddrInet('192.16 8.0.10', 22), forge_addr=TRUE)) Listener(bindto=SockAddrInet('100.100.100.100', 2222), service="sshTOweb", backlog=255) ======================= instances.conf ======================= HTTP --autobind-ip 1.2.3.4 --policy /etc/zorp/policy.py outgoingRequest --autobind-ip 1.2.3.4 --policy /etc/zorp/policy.py sshTOweb --autobind-ip 1.2.3.4 --policy /etc/zorp/policy.py ============= iptables.in ============= -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 2222 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p tcp --syn --dport 22 -j ACCEPT -A INPUT -p tcp --syn --dport 1310:1320 -j ACCEPT

2 1

dep packages
by Szűcs Tibor 08 Sep '03

08 Sep '03

Üdv! A következő sort használom upgradre: deb http://apt.balabit.hu/zorp-gpl-os/ 2.0 zorp-os main zorp-common zorp-gpl zorp-os zorp-os-extra tegnap előtt telepítettem egy gépet és a /usr/share/zorp/pylib/Zorp/Cache.py file hiányzott a forrásban megvolt de a deb-ből hiányzott. A következő a gondom: Frissen installált gép Az iptables-t shorewall al kezelem, iptables -I INPUT -m tproxy -j ACCEPT sort a shorewall indulása után szúrom be Kernel : 2.4.20-zorpos-up zorp_intra --verbose=5 -autobind-ip='1.2.3.4' --policy /etc/zorp/szamtech.py Sep 4 15:06:31 fw zorp_intra[17490]: (noname/nosession): Verbosity level: 5 Sep 4 15:06:32 fw zorp_intra[17490]: (noname/nosession): Error autobinding transparent socket; fd='11', ip=''1.2.3.4'', error='Cannot assign requested address' Sep 4 15:06:32 fw zorp_intra[17490]: (noname/nosession): Binding to dummy interface failed, please create one and pass --autobind-ip parameter; autobind=''1.2.3.4'' Miért nem tud vajon bindelni? dummy van cím ok dummy0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:1.2.3.4 Bcast:255.255.255.255 Mask:255.255.255.192 UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Üdv Robit

4 5

problema az FtpProxyRO korul...
by Daniel VASARHELYI 04 Sep '03

04 Sep '03

Udv... Readonly ftp proxy konfigolas kozben fura jelensegre lettem figyelmes. Mikozben a konfigban ez allt: class INIntraFtp(FtpProxyRO): def config(self): FtpProxyRO.config(self) A logban a csatlakozasnal a kovetkezoket lehetett olvasni: zorp_ftp[2185]: (Log thread): FtpProxyRO.config(self) zorp_ftp[2185]: (Log thread): File "/usr/share/zorp/pylib/Zorp/Ftp.py", line 804, in config zorp_ftp[2185]: (Log thread): FtpProxy.loadAnswers(self) zorp_ftp[2185]: (Log thread): TypeError: unbound Python method must be called with FtpProxy 1st argument Korulnezve az emlitett helyen, ezt talaltam (kommentek kiszedve): class FtpProxyRO(AbstractFtpProxy): def config(self): AbstractFtpProxy.loadMinimalCommands(self) self.request["USER"] = (FTP_REQ_ACCEPT) self.request["*"] = (FTP_REQ_REJECT) FtpProxy.loadAnswers(self) # ez a 804-es sor self.response["*","*"] = (FTP_RSP_REJECT) self.permit_unknown_command = FALSE Miutan kicsereltem a kovetkezore: AbstractFtpProxy.loadMinimalCommands(self) self.request["USER"] = (FTP_REQ_ACCEPT) self.request["*"] = (FTP_REQ_REJECT) AbstractFtpProxy.loadAnswers(self) #FtpProxy.loadAnswers(self) self.response["*","*"] = (FTP_RSP_REJECT) self.permit_unknown_command = FALSE Megy... 2.0test gpl-es Zorp 2.0.5.10-1, libzorpll 2.0.26.21-1 Ez most mifele hiba? asd -- Daniel VASARHELYI

2 1

Re: [zorp-hu] picit off: zorp-os 2.0 és spam szűrés
by Major Csaba 03 Sep '03

03 Sep '03

On Wed, Sep 03, 2003 at 03:34:30PM +0200, Zelei Tamas wrote: > ugy hallottam, hogy a balabit meg a virusbuster erossen > kooperalnak...:)...szerintem abbol fog majd valami kisulni elobb utobb...:) > > narancs wrote: > > >Hi! > > > >a zorp-os a woody-n alapszik. kérdés, hogy kívánjátok-e bővíteni a > >szolgáltatásokat spam szűréssel is? > >jó lenne egy 2.0.x-es postfix + tls patch, spamassasin, razor, > >amavisd-new és persze víruskergetők is. > > > >van-e ilyen tervbe és ha igen mikorra, melyik release-ben? van a zorp-os-extra-ban spamassasin, de nem igazan szoktuk az ilyet tuzfalon csinalni, inkabb a mailserver dolga lenne ez. Egyebkent meg lesz viruskergeto, de ha a GPL-esre vonatkozik a kerdes, akkor _nem_ a valasz, csak kereskedelmiben lesz benne. MCS

1 0

picit off: zorp-os 2.0 és spam szűrés
by narancs 03 Sep '03

03 Sep '03

Hi! a zorp-os a woody-n alapszik. kérdés, hogy kívánjátok-e bővíteni a szolgáltatásokat spam szűréssel is? jó lenne egy 2.0.x-es postfix + tls patch, spamassasin, razor, amavisd-new és persze víruskergetők is. van-e ilyen tervbe és ha igen mikorra, melyik release-ben? köszönet

2 1

kliens cimet a http headerbe, hogyan?
by Daniel VASARHELYI 03 Sep '03

03 Sep '03

Udv! Az lenne a kerdes, hogy ha egy zorp egy http szervert ved nem transzparens modon (ugyanazon a gepen van van a tuzfal es a httpszerver is), akkor hogyan lehetne beleeroszakolni a zorp felol a szerver fele iranyulo http request-be hogyan lehetne belerakni egy X-Userhost: headert, benne a kliens gep ip cimevel? Koszi, asd -- Daniel VASARHELYI

5 12

TPROXY hibák ismét
by Czakó Krisztián 06 Aug '03

06 Aug '03

Hello, Ismét meggyűlt a bajom a TPROXY-val :( A múltkorihoz hasonló hibák, egy teljesen másik, vadonat új telepítésű rendszeren. A rendszer: Adamantix Linux, Zorp az Adamantix féle bináris (2.0.3.4, libzorpll 2.0.26.4). Kernel "gyári" 2.4.21 + rsbac + tproxy + pax + debian patch. Moduláris kernel, tproxy modulban. A tproxy patch a kb. 1 hete a www.balabit.hu-ról letölthető verzió. A Zorp --uid zorp --gid zorp paraméterekkel indul. Mindenhol publikus IP-k vannak (kívül/belül). Ennek megfelelően forged kliens címmel működik. Jelenség: Aug 4 12:58:48 firewall kernel: IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:79e5, sr->faddr=xxxxxxxx:7ae5, flags=90005 Aug 4 12:58:48 firewall intra_http[22304]: (firewall@firewall.hu/http:657/http): Error in setsockopt(SOL_IP, IP_TPROXY_ASSIGN), netfilter-tproxy support required; fd='16', error='Invalid argument' Alapvetően működik, a hiba csak néha jelentkezik. FTP-vel viszont szépen reprodukálható. Aktív FTP, nem anonymous. A szerver az ftp.elender.hu. Szépen be lehet lépni, és egy azaz egy db adatátvitelt is lehet csinálni. Pl egy dir parancs megy. De utána már egy ugyanott kiadott ugyanolyan dir parancs sem megy. Aug 4 11:53:58 firewall isa_ftp[20808]: (firewall@firewall.hu/ftp:0): Starting proxy instance; client_fd='14', client_address='AF_INET(1.1.1.1:46025)', client_zone='Zone(intra, 1.1.1.2/32)', client_local='AF_INET(212.108.200.74:21)' Aug 4 11:53:58 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Server connection established; server_fd='17', server_address='AF_INET(212.108.200.74:21)', server_zone='Zone(internet, 0.0.0.0/0)', server_local='AF_INET(1.1.2.1:57230)' Aug 4 11:54:00 firewall kernel: IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:92df, sr->faddr=xxxxxxx:93df, flags=90005 Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Error in setsockopt(SOL_IP, IP_TPROXY_ASSIGN), netfilter-tproxy support required; fd='18', error='Invalid argument' Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): bind() failed; error='Invalid argument' Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Error preparing server listen; Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Request Rejected; req='PORT' Bónusz kérdés: Ezt miért mondja amikor a Zorp elindul? Aug 4 11:41:34 firewall intra_ftp[20382]: (noname/nosession): bind() failed; error='No such file or directory' Slapic

4 8