HÖLTZL Péter wrote:
Szia!
On Fri, 2004-10-29 at 13:51, Gabor Halasz wrote:
InetZone("Wan", "0.0.0.0/0", inbound_services=["Ftp_S", "Http_S", "HttpS_S", "ImapS_S", "Neptun_S", "PopS_S", "Ssh_S", "Imap_S", "Pop_S"], outbound_services=["*"])
Az elso hiba, hogy itt minden visszaengedtel. Ez durvan azt jelenti, hogy ha a Http_S-t (is meg minden mast) visszaengedtel a Wan zonaba, akkor ne csodalkozz, hogy a Zorp kienged, ha ki akar menni!
Igen, mindent ki akarok engedni, amit a zorp generál, lévén ez a bordergw.
Service("Http_S", Http_C, InbandRouter())
InbandRouter-t csak akkor hasznalj, ha: * nem transzparens proxyd van
Nem transzparens proxy
* egy fix IP-n es porton figyel
Egy fix ip/porton figyel
* host header alapjan tobb szerver fele akarod tovabb kuldeni a kapcsolatot
host header alapján több szerver felé akarom tovább küldeni a kapcsolatot
Valamint az access controll miatt eleg valoszinutlen, hogy mondjuk valaki az internet iranybol becsatlakozzon egy zorpra, es utana az internet iranyaba vissza is csatlakozzon (legalabbis ertelmes konfigot feltetelezve)
Pont ezt rontottad el, mert az access controlban _megengedted_ ezt.
És? Hogyan tiltsam ki?
Es meg valami:
Meg lehetne oldani, hogy ellenorizzuk a celportot, de ez a konfig akkor is open proxy lenne, mert jol hasznalhato (a kliens szempontjebol) anonymizer-nek. Mivel barmit le tud kerni a te nevedben...
Nem a célportot kell ellenőrizni, hanem a dest addresst. -- Gabor HALASZ <halasz.g@freemail.hu>