hali, On Fri, 2004-10-29 at 18:18, Gabor Halasz wrote:
HÖLTZL Péter wrote:
Szia!
On Fri, 2004-10-29 at 13:51, Gabor Halasz wrote:
InetZone("Wan", "0.0.0.0/0", inbound_services=["Ftp_S", "Http_S", "HttpS_S", "ImapS_S", "Neptun_S", "PopS_S", "Ssh_S", "Imap_S", "Pop_S"], outbound_services=["*"])
Service("Http_S", Http_C, InbandRouter())
InbandRouter-t csak akkor hasznalj, ha: * nem transzparens proxyd van
Nem transzparens proxy
* egy fix IP-n es porton figyel
Egy fix ip/porton figyel
* host header alapjan tobb szerver fele akarod tovabb kuldeni a kapcsolatot
host header alapján több szerver felé akarom tovább küldeni a kapcsolatot
hmm.. ez most kintrol jon befele, vagy bentrol megy kifele? ha bentol megy kifele, akkor TransparentRouter, ha kintrol megy befele akkor InbandRouter, de ne engedd vissza.
Valamint az access controll miatt eleg valoszinutlen, hogy mondjuk valaki az internet iranybol becsatlakozzon egy zorpra, es utana az internet iranyaba vissza is csatlakozzon (legalabbis ertelmes konfigot feltetelezve)
Pont ezt rontottad el, mert az access controlban _megengedted_ ezt.
És? Hogyan tiltsam ki?
ld lent.
Es meg valami:
Meg lehetne oldani, hogy ellenorizzuk a celportot, de ez a konfig akkor is open proxy lenne, mert jol hasznalhato (a kliens szempontjebol) anonymizer-nek. Mivel barmit le tud kerni a te nevedben...
Nem a célportot kell ellenőrizni, hanem a dest addresst.
az engedelyezett utvonalakat az access control-lal irod le. azaz a zonaidnal az inbound es outbound services tombokkel. te beengeded a wan iranybol a HTTP kereseket, majd visszaengeded ugyanezt a szolgaltatast, ezzel effektive engedelyezed a "pattintast". Vedd ki a '*'-ot a Wan zona inbound_services-ei kozul. a zorp kizarolag a zonakat hasznalja a "cim" ellenorzesre, amugy nincs arrol informacioja, hogy mi van kint, es mi van bent. A default policy-ban levo '*' mintakent szerepel, eles konfigban erosen ellenjavalt. A mintabol is kiveszem, a felreerteseket elkerulendo. -- Bazsi