szia
# (ip-cim szerint) mely gepek milyen szolgaltatasokat # erhetnek el a tuzfalon keresztul?
A zonak beallitasain keresztul, mint a hagyomanyos ip zonak azaz (jatek a netmask-al): a.b.c.d/32 a zona definicioban kizarolag az a.b.c.d gepet jelenti Ami fontos, hogy a 0.6-osban a zonak feldolgozasa meg soros volt, ezert az alzonakat elobb kell kijelolni. (07.11-ben mar nem kell igy)
Ez a konfig melyik # zorp verzioval mukodik stabilan? Ugyanis ugy lattam, # hogy a 0.7.11-es verzional mar mas a konfig.
Ugy tunik semelyikkel sem. A zonadefinicio meg a 0.6-bol jon, a szolgaltatas osztaly mar uj. Ez arra utal, hogy 0.7.8-at hasznalsz, ami a fejlesztoi sorozat elejerol szarmazik ezert meg vannak benne bugok. tehat lepned kell. A legjobb az lenne ha atirnad a policy-t 0.7.11-nek megfelelore. Ha ez nem szimpatikus, akkor allj vissza 0.6-ra.
#---------------------------------------------------------# # A belso halorol az internet elerese http-n keresztul class BIHttp(Http.HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 # self.request["POST"] = (Http.HTTP_DROP)
def init(name): BIHttp_service = \ Service("BIHttp", InbandChainer(), BIHttp)
# A kesobbiekben szeretnek egy proxyt is kesziteni a belso # halozatra, de egyelore direktben szeretnem kiengedni a # usereket. Erdemes-e beletenni a "-s 192.168.0.0/24" reszt?
"Mag fele paranoia " (Sasa) eseten erdemes, hogy mindent tobbretuen lekezelj. A zona definicio es amiatt, hogy a megfelelo interface-n listenel a zorp is megfogja.
# ipchains -A input -i eth2 -d 0/0 80 -j REDIRECT 3128
Listener(SockAddrInet("192.168.0.250", 3128), BIHttp_service)
# Ha kesz lesz a proxy-szerver (squid), akkor csak az # atiranyitast kell megvaltoztatnom? Ahogy en gondolom: # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 80 -j REDIRECT 3128 # Es ekkor a proxyn nem kell semmit beallitani, ugye?
Ez is egy jo megoldas. Lehet csak zonadefinicioval csinalni (squid kulon zona ahonnan csak a HTTP megy, mashonnan meg minden mas) es akkor a zorp dont. Gusztus dolga. (Mag szerint ugye legjobb mindent specifikalni)
#---------------------------------------------------------#
#---------------------------------------------------------# # A belso halorol az internet elerese ftp-n keresztul class BIFtp(FtpProxyAllow): def config(self): FtpProxy.config(self) self.fw_server_data.ip_s="100.100.100.100" self.fw_client_data.ip_s="192.168.0.250" NAT = 1
A 0.7.11 ben mar nem kell fw_server_data.ip_s es client valtozokat hasznalni, anelkul is transzparens lesz. 0.7.8-ban meg kell, de NAT valtozo mar ott sincs. (ha lenne is helyesen self.NAT = 1 )
Service("BIPop", TransparentChainer(), BIPop)
# ipchains -A input -i eth2 -d 0/0 110 -j REDIRECT 2110 Listener(SockAddrInet("192.168.0.250", 2110), BIPop_service) # Ha korlatozni szeretnem, hogy mely gepek mehetnek ki ezen # a szolgaltatason keresztul, akkor azt hogyan kell # beallitani?
Lasd. squid.proxy.ip
Ha azt is korlatozni szeretnem, hogy mely # gepeket erhetik el a neten pop3-mal (pl. matav, elender), # akkor kulon kell bontanom a matavos es elenderes elerest, # es az ipchains-szel iranyitani a megfelelo porton figyelo # service-hez?
Lasd zona definicio. (a popszervereket felveszed szinten kulon zonaba, oda engedsz pop service-t mashova nem)
def init(name): IDPop_service = \ Service("IDPop", TransparentChainer(), IDPop)
# ipchains -A input -i eth0 -d 192.168.1.3 110 -j REDIRECT 4110 Listener(SockAddrInet("100.100.100.100", 4110), BIPop_service) # Ezt inkabb DirectedChainer-rel kellene megoldani?
mivel a dmzben levo szrverednek nem valos ip-je van, nem is tudod maskent elerni mint directed-el, mivel kifele csak a tuzfal ipje latszik.
#---------------------------------------------------------# # Az internetrol a DMZ elerese http-n keresztul class IDHttp(HttpProxy): def config(self): self.transparent_mode = 0
^^^^^^^^^^ Befele webszerver fele meno kereseknel epp az a lenyeg, hogy kintrol ne latszon, a szerver nem a valos ip-n van es megis oda csapodjon be (a directed chainer miatt) A fenti beallitas szerint az internetrol jovo klienseknek be kell allitaniuk proxykent a tuzfaladat, ahhoz, hogy lassak a weblapodat. kozben mar harman valaszoltak, de nem baj... udvozletel -- Györkő Zoltán BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu