On Thu, Nov 08, 2001 at 01:31:02PM +0100, Narancs v1 wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Következő kérdéseim merültek fel:
1. érdemes minden 1es szolgáltatást külön instance-ként, külön policy-ből futtatni? pro-kontra?
altalaban zonankent csinalunk egy peldanyt, de mindegyik peldany ugyanazt a policy-t hasznalja.
2. minden új session-nél forkol a zorp? lehet állítani hogy mikor?
minden session-nel uj threadet indit.
3. terveztek irc proxy-t? (transzparens-et, mint a tircproxy a la freshmeat) - mondjuk én nem irczek, de a userek felvetették :-)
tervezunk, de van elotte mas protokoll a listaban (pl SMTP)
4. Hiába mondom azt hogy /etc/init.d/zorp stop, az összes process, de legalább 1, a Listener megmarad és csak -9-el lehet kilőni. Ez a 088-asnál is így volt.
szerintem 2.2-es libc-d van. ott mar tudunk a hibarol, bar eddig nem neztuk meg mi okozza. 2.1-es libcnel nincs ez, es mi egyenlore azon fejlesztunk.
5. az ftp-nél van protokoll loggolás, pl. GET, PUT loggolása?
van, csak be kell kapcsolnod a logolasat. javaslom a -T kapcsolot (kiirja az egyes uzenetek kategoriajat), es a --log-spec-et, amivel meg tudod adni melyik kategoriaban milyen szintu uzenetek latszodjanak.
6. hol van leírás, hogy melyik parancsokat hogy lehet lekorlátozni? az ftp-nél láttam, hogy vannak jó kis előredefiniált profilok, ami nagyon tetszik, van http-re is hasonló lehetőség? a header-filter nagyon tetszik, pl. cookie-k kidobása
http-re kevesebb elore definialt profil letezik, leven egyszerubb protokoll. minden protokoll elemre definialhatsz callbacket, ami aztan utasithatja a proxyk motorjat, hogy mit csinaljon. a protokollokrol pedig a kapcsolodo rfc-ben olvashatsz.
7. ugye nem akartok csinálni jávás, vindosos GUI config felületet a zorp-hoz? :-)
javasat nem, vindozosat igen. de jo lesz :) a terv az, hogy olyan gui-t csinaljunk, amit meg en is hasznalnek.
8. ha transzparens módón összefűzöm squid-del a zorp-ot http-re és a web-cache nem a neten van, hanem benn a localneten, akkor DMZbe?
marmint, hogy a squid dmz-ben vagy intraneten legyen? ez leginkabb izles kerdese, esetleg egy kulon zonaban, keresztkabellel osszekotve a tuzfallal.
9. és olyat, hogy a squid cache-elte a https-es objektumokat (embedded izé), mondjuk ez a userek szemponjából elég durva lenne :-)
ez tenyleg durva lenne, de nem is nagyon lehet osszehozni.
10. az 1.4-esben láttam valami conection tracking-ot, ez a linux2.4-el 1ütt , vagy ez más? és mire jó és hogyan kell haszn?
ez mas. sot stock 2.4-es kernelen nem is mukodik. ez az UDP alapu protokollok rendes proxyzasat teszi lehetove. Tehat pl. ketiranyu udp-s plugot igy tudsz csinalni: Service("dns", PlugProxy) Receiver(SockAddrInet('192.168.0.1', 53), "dns") (A Listener helyett Receiver kell) a commercialban erre alapozva mar van egy app level radius proxy. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1