Köszönöm mindenkinek a segítséget. A gond az indító shell scriptben volt. Mint korábban írtam, ez volt benne: ... ${iptables} -t mangle -N DIVERT ${iptables} -t mangle -A PREROUTING -p tcp -m socket -j DIVERT ${iptables} -t mangle -A DIVERT -j MARK --set-mark 1 ${iptables} -t mangle -A DIVERT -j ACCEPT iptables-restore < /etc/zorp/iptables.conf ... mivel az iptables.conf-ban nem szerepelt a DIVERT chain, ezert az elozoleg letrehozot DIVERT lancot egybol le is torolte az iptables-restore..... igy jar aki maganak faragja a scripteket.. Még egyszer köszönök minden segítséget, Gábor On Wed, 2013-06-12 at 10:43 +0200, Kovács Bálint wrote:
Szia,
On 06/12/2013 09:52 AM, tusi wrote:
Szia,
köszönöm a választ,
már a linux listán is próbáltam válaszolni, de mivel nem vagyok tag, ezért az admin majd egyszer kiengedi A konfigok első ránézésre jónak tűnnek, gyorsan összedobtam egy ilyet egy kéznél lévő 3.9.5-ös GPL zorp tesztgépre, igaz ez debian wheezy, de rendben megy. Hogyan tetted fel a zorp-ot, milyen kernel van a gépen? Algernon repositoryjából, itt van hozzá a sources.list bejegyzés:
#zorp repo deb http://packages.madhouse-project.org/debian/ wheezy zorp deb-src http://packages.madhouse-project.org/debian/ wheezy zorp
Zorp 3.9 (3.9.5) Revision: ssh+git://hidden@git.balabit//var/scm/git/zorp/zorp-core--mainline--4.0#master#e027ddb760607ae05caf8ac3526415a43669eeb3 Compile-Date: Jun 6 2012 17:30:01 Config-Date: 2012/06/06 Trace: off Debug: off IPOptions: off libzorpll 3.9.1.3 Revision: Compile-Date: Jun 1 2012 09:52:52 Trace: off MemTrace: off Caps: on Debug: off StackDump: off
A kernel szintén 3.2, a stock debian wheezy-s.
Linux hostname 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2+deb7u2 x86_64 GNU/Linux
A policy.py-ban gyakorlatilag ugyanaz van, mint Nálad:
def zorp_ssh(): Service(name="inter_SSH_intra", proxy_class=PlugProxy, router=DirectedRouter(dest_addr=(SockAddrInet('<szerver címe>', 22),), forge_addr=TRUE)) Dispatcher(transparent=FALSE, bindto=DBIface(protocol=ZD_PROTO_TCP, port=2224, iface="eth0", family=2), rule_port="2224", service="inter_SSH_intra")
Ez nekem így nem működik, egyből visszautasítja a kapcsolatot. Nem lehet, hogy a port=2224 helyett port=22 kellene )a 2224-es port amúgy engedélyezve van)? port=22-vel ugyanaz a jelenség áll elő, ami az eredeti probléma: befelé kiépül a kapcsolat, a visszajövő csomag viszont eltűnik valahol, majd timeouttal bontja a kapcsolatot.
Ha Te is egy másik portra teszed, akkor Nálad is működik?
Olyan érzésem van, mintha a válaszcsomagok routingja körül lenne a probléma. Szerintem érdemes lenne tenni egy log targetet a DIVERT láncba a mark utánra, hogy látsszon, valóban rákerült-e a válaszcsomagra a MARK, illetve érdemes lenne bekapcsolni a martian és az invalid csomagok loggolását is (/proc/sys/net/netfilter/nf_conntrack_log_invalid, /proc/sys/net/ipv4/netfilter/ip_conntrack_log_invalid, /proc/sys/net/ipv4/conf/all/log_martians), hogy nem ezek fogják-e meg. ezeket bekapcsoltam, nem jelent meg semmi a logban. A DIVERT láncba felvetted a log sort? Megjelent ott a válaszcsomag?
Milyen kernel verziót használsz? Az ubuntu saját kernelét: 3.2.0-45-generic Ez nagyon hasonló az enyémhez, szerintem TPROXY változás ennek a környékén nem volt.
Balint
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu