Sziasztok! Koszonom a valaszokat! A HTTPS-es dologgal amit irtal utananeztem (nem talaltam a listaban kereses funkciot ezert google), de vagy nem mukodo vagy regi peldakat talaltam. Pliiz kuldj egy linket ha van ra pelda. Hogy egyszerubb legyen bemasolom a jelenlegi teszt configot: ... # Reverse HTTP Proxy class ReverseHostHttpProxy(HttpProxy): def config(self): HttpProxy.config(self) # Reverse HTTPS Proxy class ReverseHostHttpsProxy(PsslProxy): def config(self): PsslProxy.config(self); self.copy_to_server = TRUE; self.copy_to_client = TRUE; self.client_need_ssl = TRUE; self.server_need_ssl = TRUE; self.shutdown_soft = TRUE; self.client_verify_type = SSL_VERIFY_NONE; self.server_verify_type = SSL_VERIFY_NONE; self.client_cert = "/etc/zorp/certs/test.crt"; self.client_key = "/etc/zorp/keys/test.key"; self.stack_proxy = ReverseHostHttpProxy; # Instance definition def reverse_http(): Service( "http", ReverseHostHttpProxy, router=InbandRouter(forge_addr=TRUE), resolver=DNSResolver() ) Service( "https", ReverseHostHttpsProxy, router=InbandRouter(forge_addr=TRUE), chainer=SideStackChainer(ReverseHostHttpProxy) ) Listener(SockAddrInet('10.3.6.253', 1200), "http") Listener(SockAddrInet('10.3.6.253', 1201), "https") A cel: transparent http/http zorp proxy beallitasa oly modon, hogy ha https protokollon kerdezik o is https-en csatlakozzon a DNS alapjan meghatarozott cimhez. Jelenlegi allapot: A http igy megy, a https ezt dobja (kliens oldalon timeoutol): reverse_http[10227]: (reverse_http@zorp@test/https): Starting service; name='https' reverse_http[10227]: (reverse_http@zorp@test/https:1): Starting proxy instance; client_fd='18', client_address='AF_INET(10.3.6.55:43362)', client_zone='Zone(internet, 0.0.0.0/0)', client_local='AF_INET(10.3.6.253:443)', client_protocol='TCP' reverse_http[10227]: (reverse_http@zorp@test/https:1/pssl): Proxy starting; class='ReverseHostHttpsProxy', module='pssl' reverse_http[11660]: (reverse_http@zorp@test/https:1/pssl): Side-stacking proxy instance; server_fd='21', client_fd='22', proxy_class='ReverseHostHttpProxy' reverse_http[11660]: (reverse_http@zorp@test/https:1/http): Proxy starting; class='ReverseHostHttpProxy', module='http' reverse_http[11661]: (reverse_http@zorp@test/https:1/http): Invalid line, embedded NUL character found; buffer='|' reverse_http[11661]: (reverse_http@zorp@test/https:1/http): Proxy ending; class='ReverseHostHttpProxy', module='http' reverse_http[11660]: (reverse_http@zorp@test/https:1/pssl): SSL handshake failed on the server side; error='error:00000000:(null):lib(0):(null):func(0):(null):reason(0)' reverse_http[11660]: (reverse_http@zorp@test/https:1/pssl): Proxy ending; class='ReverseHostHttpsProxy', module='pssl' reverse_http[11660]: (reverse_http@zorp@test/https:1): Ending proxy instance; reverse_http[11660]: (reverse_http@zorp@test/https:1/pssl/client): accounting info; type='stream', duration='0', sent='918', received='309' Kerdeseim: - mi a problema a https resszel? - van-e felesleges kod? - amennyiben mukodo konfig lesz belole mit celszeru meg rogziteni a configban biztonsagi es teljesitmeny szempontbol (amire idaig gondoltam ezek)? - hany zorp proces futhat - mennyi ramot ehet osszesen - halozati zonak definialasa es ez alapjan a szolgaltatas engedelyezese vagy tiltasa - hogyan definialhatok hibauzeneteket a zorp-ban vagy hogyan vaghatom felul mas html oldallal az altala generalt uzeneteket? udv, Lenard ago@lsc.hu wrote:
szia,
Pontositok, mert asszem eleg nagy butasagot kerdeztem... :(
nem kérdeztél butaságot. Amit leírsz egy élő dolog.
Szoval adott 1 fw ahol a Zorp csucsul, mogotte n darab webszerver. A szerverek mas-mas domaineket szolgalnak ki.
A megoldás nem az amit leírsz, hanem az, hogy vagy a tűzfal /etc/hosts fileban legyen benne az a belső címe a www.domain1.hu stb. gépeknek és akkor a zorp a névfeloldás alapján tudja majd, hogy merre irányítsa a csomagot. Sima HTTP-val működik, mindenfajta különösebb varázslat nélkül (bár egy ideje már csak copyzom az ilyen beállításokat, egyszer kell vele "megszenvedni"). "Gond" ott lesz, ha HTTPS-t is akarsz, azt is meg lehet oldani, de akkor egymás mellék kell stackelni a proxykat, a SideStackChainer-rel. A listaarchívumban volt már bőven hivatkozás rá.
hanem DNS alapjan visszaadott IP-t hasznalja?
na most ,ez alapján van DNS. Akkor viszont nem privát címeken vannak a webszerverek? Teszem azt a .129-es gép a tűzfal, ami routerként funciónál a .130,.131 astb. végű gépek előtt? Vagy egy belső DNS-ed van? Mert akkor a resolv.conf-ban kellene elsődleges névkiszolgálónak azt beállítanod. Vagy a fentebb említett /etc/hosts fájl is megoldás, ha kevés szerver van. 100%-ig korrekt persze a DNS.
üdv, Ago
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu