On Wed, May 11, 2005 at 08:17:59AM +0200, Nemeth Gyorgy wrote:
Ezt a listára kellett volna küldened, feltehetőleg nálam szakavatottabb válaszolna. De ha már személyesen nekem küldted, megpróbálkozom a
En onnan kaptam :)
Ha jól értem, te azt szeretnéd, hogy a tűzfalad külső IP-jét címezzék meg, és ott figyeljen a http proxy, ami aztán beküldi a kérést a webserveredre.
En is igy ertettem.
Ez esetben nem transzparens működésre lesz szükséged. Úgy kell
Lehet transzparens imho.
beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a tűzfalszabály, ami a tproxyt hívja meg.
Jobb az, ha elotte van egy csomagszuro is... Regebben peldaul egy nmap-tol rettenetesen elhasalt a zorp, ha azonnal o kapta a kapcsolatot. Ezert en igy csinalnam: intra -v5 -T -p /etc/zorp/policy.py --autobind-ip 192.168.11.128 A dummy interfesz cime nem egyezhet meg a kulso lab cimevel! Es nem a dummy interfeszre kell bind-olni a proxy-t, hanem a kulso cimre! zorp:~# cat /etc/zorp/policy-http.py from Zorp.Core import * from Zorp.Http import * # internet zona InetZone("internet", "0.0.0.0/0", inbound_services=[], outbound_services=["http"]) # belso zona InetZone("intranet", "10.10.10.0/24", inbound_services=["http"], outbound_services=[]) class IDHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 def zorp_http(): Service("id_http", IDHttp, DirectedRouter(SockAddrInet("10.10.10.2", 8080), forge_addr = TRUE)) Listener(SockAddrInet("kulso.ip.cim", 50080), "id_http") A csomagkezeloben pedig ennyit kell allitani: iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080 Ha irnal subjectet, akkor konnyebb lenne az archivumban keresgelok dolga... Ez persze a thread kezdojenek szol :) -- Udvozlettel Zsiga