Re: [zorp-hu] [ANN] Zorp GPL APT repositoryk

9 Jun 2012

      Sziasztok,

1) Annyira nem mukodik jol a kzorp ebben nekem. Sima userpsace proxy-s
Service-ket nem indit, csak PFService-ket. A jelenseg az, hogy
latszolag a kzorp elnyeli a csomagot logolas nelkul, zorp processt
stracelve nem latom, hogy megkapna, netfilter mangle prerouting KZORP
target utan nyoma vesz a SYN csomagoknak. Ez a setup amugy mukodik ha
az NDimensionDispatchet PFServicet hivogat. Ez a helyet csak ipv4
eseteben van igy, ipv6-nal megamugy nem tortenik semmi (packet loss
log nelkul, akar Service, akar PFService), bar lehet, hogy az ipv4-es
directed router dest_addr miatt van ez (ipv6->ipv4 atjarhatosag? sima
nontransparent listenerrel mukodik).

2) Meg erdekesseg, hogy directedrouter SockAddrInet6 tipusu dest_addr
eseteben nem mukodik, 'kzorp -s' is dob egy szep tracet, mert
valoszinoleg v4 cimet varna a kzorptol.

3) iptables-save is bugos, egybeirja a KZORP targetet annak parameterevel:

"-A POSTROUTING -j KZORP--tproxy-mark 0x80000000/0x80000000"

a tesztkonfigom eleg egyszeru:

--------
from Zorp.Core import *
from Zorp.Proxy import *

from Zorp.Plug import *
from Zorp.Dispatch import NDimensionDispatcher

InetZone("internet", [
        "0.0.0.0/0",
        "::/0",
    ],
    inbound_services=["*"],
    outbound_services=["*"]
)

InetZone("internet.end.re", [
        "88.151.99.232/32",
        "2a01:270:91e8:fd:195f:db38:31c9:c9ec/32"
    ],
    admin_parent="internet",
    inbound_services=["*"],
    outbound_services=["*"]
)
InetZone("inside", [
        "44.128.156.0/24",
        "2a01:368:e001:0::/64"
    ],
    inbound_services=["*"],
    outbound_services=["*"]
)
def MAIL():
    Service(
        name="inside_IMAP_internet.end.re",
        router=DirectedRouter(dest_addr=(SockAddrInet('44.128.156.1',
143)), forge_addr=FALSE),
        proxy_class=PlugProxy,
    )
    PFService(
        name="PF_inside_IMAP_internet.end.re",
        router=DirectedRouter(dest_addr=(SockAddrInet('44.128.156.1',
143)), forge_addr=FALSE),
    )
    NDimensionDispatcher(
        bindto=DBSockAddr(
            SockAddrInet6(
                '::1',
                50143
            ),
            ZD_PROTO_TCP
        ),
        transparent=TRUE,
        rules=(
            {
                'dst_port' : 143,
                'src_zone': ('inside',),
                #'iface': ('eth0'),
                #'dst_zone': ('internet.end.re',),
                'service': 'PF_inside_IMAP_internet.end.re'
            }
        )
    )
--------

kzorp bucijaban latszolag rendben vannak a dolgok (felteve ha nem
sockaddrinet6 a DR dest_addr-ja):

# kzorp -d
Dispatcher name='SA(proto=1,addr=AF_INET6(::1:50143))' flags='transparent'
        proxy_port='50143', num_rules='1'
        rule_id='1', service='PF_inside_IMAP_internet.end.re'
           dst_port=[(143, 143)]
           src_zone=['inside']

# kzorp -s
Service name='inside_IMAP_internet.end.re', flags='', type='Service',
session_cnt='0'
Service name='PF_inside_IMAP_internet.end.re', flags='',
type='PFService', session_cnt='1'
        router_dst='44.128.156.1:143'

# kzorp -z
Zone unique_name='internet.end.re-#2', visible_name='internet.end.re',
admin_parent='internet.end.re',
        flags '', range '2a01:270::/ffff:ffff::'
Zone unique_name='internet.end.re-#1', visible_name='internet.end.re',
admin_parent='internet.end.re',
        flags '', range '88.151.99.232/255.255.255.255'
Zone unique_name='internet.end.re', visible_name='internet.end.re',
admin_parent='internet',
        flags ''
        Inbound service: : '*'
        Outbound service: : '*'
Zone unique_name='internet-#2', visible_name='internet',
admin_parent='internet',
        flags '', range '::/::'
Zone unique_name='internet-#1', visible_name='internet',
admin_parent='internet',
        flags '', range '0.0.0.0/0.0.0.0'
Zone unique_name='internet', visible_name='internet', admin_parent='None',
        flags ''
        Inbound service: : '*'
        Outbound service: : '*'
Zone unique_name='inside-#2', visible_name='inside', admin_parent='inside',
        flags '', range '2a01:368:e001::/ffff:ffff:ffff:ffff::'
Zone unique_name='inside-#1', visible_name='inside', admin_parent='inside',
        flags '', range '44.128.156.0/255.255.255.0'
Zone unique_name='inside', visible_name='inside', admin_parent='None',
        flags ''
        Inbound service: : '*'
        Outbound service: : '*'

# dpkg -l | grep -E '(mhp|zorp)'
ii  firmware-linux-free                 2.6.32-45+kzorp1
ii  iptables                            1.4.13-1.1+mhp1~squeeze
ii  libzorp3.9                          3.9.5-4+mhp3~squeeze
ii  libzorpll3.9-1                      3.9.1.3-1+mhp1~squeeze
ii  linux-base                          2.6.32-45+kzorp1
ii  linux-image-2.6.32-5+kzorp-amd64    2.6.32-45+kzorp1
ii  python-kzorp                        3.9.5-4+mhp3~squeeze
ii  zorp                                3.9.5-4+mhp3~squeeze
ii  zorp-modules                        3.9.5-4+mhp3~squeeze

udv, Endre

2012/6/8 Gergely Nagy <algernon@balabit.hu>:
...
Tiszteletem!
Eltartott egy ideig, jopar dologgal meg kellett kuzdeni (idohiannyal
fokent), de orommel jelentem, hogy elerheto a Zorp GPL APT repository,
benne a kovetkezok:
 - zorp 3.9.5
 - libzorpll 3.9.1.3
 - iptables 1.4.13
 - linux 2.6.32, kzorpos dolgokkal patchelve!
A zorp es libzorpll csomagok nagyjabol megegyeznek azzal, ami Debian
unstable-ben van, apro valtoztatasokkal csak (changelogban korrektul
dokumentalva). Az iptables szinten unstable alapu, kzorpos patchekkel
fuszerezve. A kernel squeeze-bol jon, ottani config + kzorp & kapcsolodo
opciokkal.
Elerhetoseg:
 deb  http://packages.madhouse-project.org/$DIST $RELEASE zorp
 deb  http://packages.madhouse-project.org/zorp-kernel kernel 2.6
Ahol $DIST debian vagy ubuntu, a $RELEASE pedig squeeze, wheezy vagy
unstable, illetve ubuntu eseten lucid, natty, oneiric, precise vagy
quantal. Mindket distro eseten elerhetoek a csomagok i386 es amd64
architekturara is.
A Release fileok gpg-vel ala vannak irva, a kulcs elerheto itt:
 http://packages.madhouse-project.org/debian/archive-key.txt
A tervek szerint a csomagok kovetni fogjak a Debian unstable-beli
parjukat, es minden egyes platformra elerhetove teszem oket, amig az
adott platform supportalt. Ha pedig jon ki uj Debian/Ubuntu release,
akkor az is bekerul majd a repoba. Igy mindenkihez eljut a friss es
ropogos zorp!
A kernel resze a dolognak egy kicsit kemenyebb dio, jelenleg csak
2.6.32-es kernelhez van mukodo patchem (de elobb-utobb lesz 3.x-hez is,
remelem), igy csak ehhez van jelenleg repo. A kerneles repobol az alabbi
kernel imagek erhetoek el:
 - amd64: linux-image-2.6.32-5+kzorp-amd64
 - i386: linux-image-2.6.32-5+kzorp-amd64, linux-image-2.6.32-5+kzorp-486
(linux-headers, es egyeb csomagok is vannak meg ott, akit erdekel,
biztosan meg tudja talalni)
A csomagokat minimalis tesztelesnek vetettuk ala (aminek mamutreszet
Balazs Tibor vegezte, ezer koszonet erte!), es mukodes latszatat
keltettek, de konnyen lehet, hogy maradt meg bennuk aprobb-cseprobb
bugocska.
Az esetleges hibakat erre a listara kernem jelenteni, ha a csomagolasban
van, akkor azt relative gyorsan meg tudom oldani.
--
|8]
_______________________________________________
zorp-hu mailing list
zorp-hu@lists.balabit.hu
https://lists.balabit.hu/mailman/listinfo/zorp-hu

Re: [zorp-hu] [ANN] Zorp GPL APT repositoryk

Endre Szabo