Szia! On Wed, 2010-09-22 at 08:44 +0200, Kzoli wrote:
A Zorp modulban van egy intra instance-ünk, amelyben többek között van egy intra_HTTPS_inter szolgáltatás, amelyik a belső hálózat 443-as portján figyel. Ezt kiegészítettem azzal, hogy figyeljen a 8080-as porton is, és küldje tovább a Tproxy 58080 -as portjára a csomagot.
Kérdés: mindkét porton (443 és 8080) HTTPS protokol van, mert különben nem fog menni! Akkor kell 2 külön Service kell!
A csomagszűrőben beállítottam, hogy ha a belső lábról 8080 portról érkezik csomag, az kerüljön a Tproxyhoz. Ezt a Tproxy tábla Prerouting szekciójában állítottam be. Uploaddal feltöltöttem a szerverre, restarttal újraindítottam a szolgáltatást.
És a 8080-as portot továbbra is lenyeli.
tcpdumppal ráhallgatva a belső lábra, néhány csomag látszik, amíg felépül a kapcsolat, azután megszakad. A /var/log/syslogban nem látszik semmi ebből, és a /var/log/messages-ben sem jelenik meg a 8080-as porttal kapcsolatban semmi.
Kellene lennie egy olyan lognak, hogy "Starting proxy instance", abban az esetben, ha a kapcsolat eljutott a Listener-ig. Ha egyáltalán nem látsz ilyet, akkor még a csomagszűrő nyelte le ezt a kapcsolatot. Ezt az "iptables -L -n -v -t prerouting" parancsal lehet megnézni. Fontos lenne kideríteni, h mi nyelte le a kapcsolatot. A PF vagy a Zorp. Ez csak a logokból derül ki (/var/log/messages).
A /etc/zorp/policy.py - ban nem jelennek meg a változtatások. Ennek az állománynak a dátuma 2009 novemberi keltezésű. Nem ebbe kellene a ZMS-nek generálni a beállításokat?
Ha jól értem ez még 3.0 vagy 3.1. Csináltál mindkét komponensre (Packet Filter és Zorp) commit/upload/restart-ot? Üdv, Légyszi a listát válaszolj! Péter -- Höltzl Péter CISA, IT biztonsági tanácsadó holtzl.peter@balabit.hu +36 20 366 966 http://peter.blogs.balabit.hu/ BalaBit IT Security 1115 Budapest XI. Bártfai u. 54. Tel +36 1 371 0540 Fax +36 1 208 0875 Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstől védett. Az üzenetet kizárólag a címzett, illetve az általa meghatalmazottak használhatják fel. Ha Ön nem az üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse erről az üzenet küldőjét és törölje az üzenetet, valamint annak összes csatolt mellékletét a rendszeréből. Ha Ön nem az üzenet címzettje, abban az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal visszaélnie.