Sziasztok! Péternek válaszolva: írtad:
Szia!
On Wed, 2010-09-22 at 08:44 +0200, Kzoli wrote:
A Zorp modulban van egy intra instance-ünk, amelyben többek között van egy intra_HTTPS_inter szolgáltatás, amelyik a belső hálózat 443-as portján figyel. Ezt kiegészítettem azzal, hogy figyeljen a 8080-as porton is, és küldje tovább a Tproxy 58080 -as portjára a csomagot.
Kérdés: mindkét porton (443 és 8080) HTTPS protokol van, mert különben nem fog menni! Akkor kell 2 külön Service kell!
Lehet, hogy nem értettem a kérdést. A https://neo.itcorp.hu:8080 honlapra szeretnénk kijutni. Ez a honlap HTTPS-sel komunikál. Az általatok beállított konfigban volt egy intra_HTTPS_inter service beállítva, amelyiknek a listener-je a 443-as porton figyelt, és továbbította a csomagot a tproxy 50443 portra. A listeners fülön felvettem mégegy intra_HTTPS_inter service-t, amelyik a 8080-as porton figyel, és a csomagot a tproxy 58080 portra továbbítja. Ha most visszakapcsolok a services fülre és kiválasztom az intra_HTTPS_inter szolgáltatást, akkor a jobb oldalon alul a listener ablakban az látható, hogy mind a 443, mind a 8080 porton figyel
A csomagszűrőben beállítottam, hogy ha a belső lábról 8080 portról érkezik csomag, az kerüljön a Tproxyhoz. Ezt a Tproxy tábla Prerouting szekciójában állítottam be. Uploaddal feltöltöttem a szerverre, restarttal újraindítottam a szolgáltatást.
És a 8080-as portot továbbra is lenyeli.
tcpdumppal ráhallgatva a belső lábra, néhány csomag látszik, amíg felépül a kapcsolat, azután megszakad. A /var/log/syslogban nem látszik semmi ebből, és a /var/log/messages-ben sem jelenik meg a 8080-as porttal kapcsolatban semmi.
Kellene lennie egy olyan lognak, hogy "Starting proxy instance", abban az esetben, ha a kapcsolat eljutott a Listener-ig. Ha egyáltalán nem látsz ilyet, akkor még a csomagszűrő nyelte le ezt a kapcsolatot. Ezt az "iptables -L -n -v -t prerouting" parancsal lehet megnézni. Fontos lenne kideríteni, h mi nyelte le a kapcsolatot. A PF vagy a Zorp. Ez csak a logokból derül ki (/var/log/messages).
Megnéztem a /var/log/messages állományt, természetesen egy csomó "Starting proxy instance" üzenet van benne,de egy sincs, amely a 8080-as portra lenne találat. A 8080-as port a messages-ben egyáltalán nem jelenik meg.
A /etc/zorp/policy.py - ban nem jelennek meg a változtatások. Ennek az állománynak a dátuma 2009 novemberi keltezésű. Nem ebbe kellene a ZMS-nek generálni a beállításokat?
Ha jól értem ez még 3.0 vagy 3.1. Csináltál mindkét komponensre (Packet Filter és Zorp) commit/upload/restart-ot?
Természetesen mind a packet filterre, mind a zorp modulra megléptem a commit/upload/restart-ot. A futó Zorp az alábbi: Zorp 3.0.14d Revision: devel@balabit.hu--zorp-1/zorp-core--mainline--3.0--patch-480 Compile-Date: Nov 6 2007 12:01:32 Config-Date: 2007/11/06 Trace: off Debug: off IPOptions: off IPFilter-Tproxy: off Netfilter-Tproxy: on Netfilter-Linux22-Fallback: on Linux22-Tproxy: off Conntrack: on Zorplib 3.0.6.9 Revision: devel@balabit.hu--zorp-1/zorp-lib--mainline--3.0--patch-145 Compile-Date: Jan 18 2007 17:28:18 Trace: off MemTrace: off Caps: on Debug: off StackDump: on Nekem az a furcsa, hogy a ZMC-ben a view current configuration menüpont által megjelenített tartalom első két sora: Component 'Zorp' will have these files on host 'ZMS_Host': File '/etc/zorp/instances.conf': a fenti állomány -linuxon megnézve- létrejöttének dátuma viszont 2006. májusi keltezésű, és a ZMC-ben találhatókhoz képest szinte semmi nincs benne. Ezek elbeszélnek egymás mellett?
Üdv,
Légyszi a listát válaszolj!
Péter
előre is köszi a válaszokat Kováts Zoli -- Üdvözlettel, Kzoli mailto:kovats.zoltan@adu-csepel.hu