Sziasztok Számomra a Zorp teljesen új dolog. Egy webszervert szeretnék vele védeni egyenlőre teszt jelleggel (HTTP, FTP, SSH, SMTP, POP3). Amin a Zorp lenne az van az Interneten, és csak azon keresztül lenne elérhető a webszervert. Inet--(IP: xxx.xxx.xxx.xxx)Zorpos(GNU)(IP: 10.10.10.1)---(IP: 10.10.10.2)webszervert Egy Deb sarge-ra felraktan apt-vel a zorp-gpl-os 3.0-át, frissitettem a rendszert, felraktam a zorp csomagot, kernel tartalmazza a TPROXY modult. Hogyan kezdjem el a konfigurálást, a leírás amit találtam sajna angolnyelvű, Angol pedig elég gyengén megy. Segítséget előre köszönöm Zoli
On Sat, 2005-05-07 at 09:02 +0200, iceman@gds.hu wrote:
Sziasztok
Számomra a Zorp teljesen új dolog. Egy webszervert szeretnék vele védeni egyenlőre teszt jelleggel (HTTP, FTP, SSH, SMTP, POP3). Amin a Zorp lenne az van az Interneten, és csak azon keresztül lenne elérhető a webszervert.
Inet--(IP: xxx.xxx.xxx.xxx)Zorpos(GNU)(IP: 10.10.10.1)---(IP: 10.10.10.2)webszervert
Egy Deb sarge-ra felraktan apt-vel a zorp-gpl-os 3.0-át, frissitettem a rendszert, felraktam a zorp csomagot, kernel tartalmazza a TPROXY modult.
roviden: * letre kell hoznod egy policy-t, amit az /etc/zorp/policy.py fileba kell tenned, es nagyjabol igy nez ki: ####################################### from Zorp.Core import * from Zorp.Http import * # internet zona InetZone('internet', '0.0.0.0/0', inbound_services=['http'], outbound_services=[]) # belso zona InetZone('intranet', '192.168.0.0/24', inbound_services=[], outbound_services=['http']) # a fenti ket zona egy intranet->internet iranyu 'http' nevu # szolgaltatast enged # intra peldany def intra(): Service('http', HttpProxy) Listener(SockAddrInet('192.168.0.254', 50080), 'http') ### END ### A fenti konfig egy darab HTTP-t fog atengedni, hogy hasznalni is tudd, modositani kell benne a cimtartomanyokat, hogy illeszkedjen a sajat halozatodra, illetve letre kell hoznod egy '/etc/zorp/instances.conf' nevu allomanyt, ami a zorpctl hasznalatahoz kell: ############ intra -v3 -T -p /etc/zorp/policy.py ### END ### Ezek utan "zorpctl start" utan elindul az intra nevu Zorp peldanyod, ezt nezd meg a logban, ott mindenfele startup uzenetet kell latnod. A Zorp konfiguralasa mellett letre kell hozni egy szabalyrendszert is, az angol Tutorial-ban van erre reszletes pelda, a lenyeg: iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080 -- Bazsi
Szia, A ha jól értettem a következő megoldás nekem jó: from Zorp.Core import * from Zorp.Http import * # internet zona InetZone('internet', '0.0.0.0/0', inbound_services=['http'], outbound_services=[]) # belso zona InetZone('intranet', '10.10.10.0/24', inbound_services=[], outbound_services=['http']) # a fenti ket zona egy intranet->internet iranyu 'http' nevu # szolgaltatast enged # intra peldany def intra(): Service('http', HttpProxy) Listener(SockAddrInet('10.10.10.1', 50080), 'http') intra -v3 -T -p /etc/zorp/policy.py iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080 Szépen elindul nem látok hibát ps ax jelzi hogy fut. a netstat -a val viszont nem látom hogy 50080-as porton lisenelne valami. Másik kérdés az lenne hogy tudom a tűzfalas gépnek megmondani hogy a webszerver 10.10.10.10-es gép Köszönettel Zoli.
On Sat, 2005-05-07 at 09:02 +0200, iceman@gds.hu wrote:
Sziasztok
Számomra a Zorp teljesen új dolog. Egy webszervert szeretnék vele védeni egyenlőre teszt jelleggel (HTTP, FTP, SSH, SMTP, POP3). Amin a Zorp lenne az van az Interneten, és csak azon keresztül lenne elérhető a webszervert.
Inet--(IP: xxx.xxx.xxx.xxx)Zorpos(GNU)(IP: 10.10.10.1)---(IP: 10.10.10.2)webszervert
Egy Deb sarge-ra felraktan apt-vel a zorp-gpl-os 3.0-át, frissitettem a rendszert, felraktam a zorp csomagot, kernel tartalmazza a TPROXY modult.
roviden:
* letre kell hoznod egy policy-t, amit az /etc/zorp/policy.py fileba kell tenned, es nagyjabol igy nez ki:
####################################### from Zorp.Core import * from Zorp.Http import *
# internet zona InetZone('internet', '0.0.0.0/0', inbound_services=['http'], outbound_services=[])
# belso zona InetZone('intranet', '192.168.0.0/24', inbound_services=[], outbound_services=['http'])
# a fenti ket zona egy intranet->internet iranyu 'http' nevu # szolgaltatast enged
# intra peldany def intra(): Service('http', HttpProxy) Listener(SockAddrInet('192.168.0.254', 50080), 'http')
### END ###
A fenti konfig egy darab HTTP-t fog atengedni, hogy hasznalni is tudd, modositani kell benne a cimtartomanyokat, hogy illeszkedjen a sajat halozatodra, illetve letre kell hoznod egy '/etc/zorp/instances.conf' nevu allomanyt, ami a zorpctl hasznalatahoz kell:
############ intra -v3 -T -p /etc/zorp/policy.py ### END ###
Ezek utan "zorpctl start" utan elindul az intra nevu Zorp peldanyod, ezt nezd meg a logban, ott mindenfele startup uzenetet kell latnod.
A Zorp konfiguralasa mellett letre kell hozni egy szabalyrendszert is, az angol Tutorial-ban van erre reszletes pelda, a lenyeg:
iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080
-- Bazsi
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On Tue, May 10, 2005 at 06:59:44AM +0200, iceman@gds.hu wrote:
Másik kérdés az lenne hogy tudom a tűzfalas gépnek megmondani hogy a webszerver 10.10.10.10-es gép
A Service sor módosításával: Service ('http', HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80))) -- Friczy 'Death is not a bug, it's a feature'
Nemeth Gyorgy wrote:
On Tue, May 10, 2005 at 06:59:44AM +0200, iceman@gds.hu wrote:
Másik kérdés az lenne hogy tudom a tűzfalas gépnek megmondani hogy a webszerver 10.10.10.10-es gép
A Service sor módosításával: Service ('http', HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80)))
Service(name="inter_HTTP_dmz", proxy_class=HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80), overrideable=FALSE, forge_addr=FALSE), snat=ForgeClientSourceNAT()) SNAT-tal kiegeszitve, pedig a belso webszerver logjaban nem a tuzfal labat latod kliens ip-kent, hanem az eredeti ip cimeket, ez jol jon pl statisztika keszitesnel...kicsit mashogy nez ki bocsanat, mert nem kezzel keszult, hanem zmc generalta, de a lenyeg ertheto... -- Zelei Tamas ELGI.HU NETWORK ADMINISTRATOR Magyar Allami Eotvos Lorand Geofizikai Intezet 1145. Budapest, Kolumbusz u. 17-23. Tel:252-4999/137,290. Fax:363-7256 E-mail: zelei@elgi.hu
On Tue, 2005-05-10 at 10:18 +0200, Zelei Tamas wrote:
Service(name="inter_HTTP_dmz", proxy_class=HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80), overrideable=FALSE, forge_addr=FALSE), snat=ForgeClientSourceNAT())
SNAT-tal kiegeszitve, pedig a belso webszerver logjaban nem a tuzfal labat latod kliens ip-kent, hanem az eredeti ip cimeket, ez jol jon pl statisztika keszitesnel...
Annyi kiegeszites hozza, hogy snat helyett inkabb a forge_addr=TRUE-t javaslom a statisztikazashoz, vagyis: Service(name="inter_HTTP_dmz", proxy_class=HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80), overrideable=FALSE, forge_addr=TRUE)) -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
Köszönöm az eddigi válaszokat este tudom kiprobálni otthonról. Kérdésem az lenne hogy a következő sor kell-e a tűzfalba? iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080 Ha nem akkor mit kell a tűzfalba beállítani? Köszi
On Tue, 2005-05-10 at 10:18 +0200, Zelei Tamas wrote:
Service(name="inter_HTTP_dmz", proxy_class=HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80), overrideable=FALSE, forge_addr=FALSE), snat=ForgeClientSourceNAT())
SNAT-tal kiegeszitve, pedig a belso webszerver logjaban nem a tuzfal labat latod kliens ip-kent, hanem az eredeti ip cimeket, ez jol jon pl statisztika keszitesnel...
Annyi kiegeszites hozza, hogy snat helyett inkabb a forge_addr=TRUE-t javaslom a statisztikazashoz, vagyis:
Service(name="inter_HTTP_dmz", proxy_class=HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80), overrideable=FALSE, forge_addr=TRUE))
-- Szalay Attila BalaBit IT BiztonsĂĄgtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
jelenleg a következő konfiggal probálkoztam: telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx... telnet: Unable to connect to remote host: Connection refused intra -v5 -T -p /etc/zorp/policy.py --autobind-ip 192.168.11.128 zorp:~# cat /etc/zorp/policy.py from Zorp.Core import * from Zorp.Http import * # internet zona InetZone('internet', '0.0.0.0/0', inbound_services=['http'], outbound_services=[]) # outbound_services=['http']) # belso zona InetZone('intranet', '10.10.10.0/24', # inbound_services=['http'], inbound_services=[], outbound_services=['http']) # intra peldany def intra(): Service('http', HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.2', 8080))) # , # overrideable=FALSE, forge_addr=TRUE)) Listener(SockAddrInet('192.168.11.128', 50080), 'http') dummy0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:192.168.11.128 Bcast:192.168.11.255 Mask:255.255.255.255 UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) pkts bytes target prot opt in out source destination 10 600 TPROXY tcp -- any any anywhere anywhere tcp dpt:www TPROXY redirect 0.0.0.0:50080 mit kell még ezenkívül beállítani?
On Tue, May 10, 2005 at 06:59:44AM +0200, iceman@gds.hu wrote:
Másik kérdés az lenne hogy tudom a tűzfalas gépnek megmondani hogy a webszerver 10.10.10.10-es gép
A Service sor módosításával: Service ('http', HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.10', 80)))
-- Friczy 'Death is not a bug, it's a feature' _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On Tue, May 10, 2005 at 10:24:45PM +0200, iceman@gds.hu wrote:
jelenleg a következő konfiggal probálkoztam:
telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx... telnet: Unable to connect to remote host: Connection refused
intra -v5 -T -p /etc/zorp/policy.py --autobind-ip 192.168.11.128
zorp:~# cat /etc/zorp/policy.py from Zorp.Core import * from Zorp.Http import *
# internet zona InetZone('internet', '0.0.0.0/0', inbound_services=['http'], outbound_services=[]) # outbound_services=['http'])
# belso zona InetZone('intranet', '10.10.10.0/24', # inbound_services=['http'], inbound_services=[], outbound_services=['http'])
# intra peldany def intra(): Service('http', HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet('10.10.10.2', 8080))) # , # overrideable=FALSE, forge_addr=TRUE)) Listener(SockAddrInet('192.168.11.128', 50080), 'http')
dummy0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:192.168.11.128 Bcast:192.168.11.255 Mask:255.255.255.255 UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
pkts bytes target prot opt in out source destination 10 600 TPROXY tcp -- any any anywhere anywhere tcp dpt:www TPROXY redirect 0.0.0.0:50080
mit kell még ezenkívül beállítani?
Ezt a listára kellett volna küldened, feltehetőleg nálam szakavatottabb válaszolna. De ha már személyesen nekem küldted, megpróbálkozom a válasszal: Ha jól értem, te azt szeretnéd, hogy a tűzfalad külső IP-jét címezzék meg, és ott figyeljen a http proxy, ami aztán beküldi a kérést a webserveredre. Ez esetben nem transzparens működésre lesz szükséged. Úgy kell beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a tűzfalszabály, ami a tproxyt hívja meg. -- Friczy 'Death is not a bug, it's a feature'
On Wed, May 11, 2005 at 08:17:59AM +0200, Nemeth Gyorgy wrote:
Ezt a listára kellett volna küldened, feltehetőleg nálam szakavatottabb válaszolna. De ha már személyesen nekem küldted, megpróbálkozom a
En onnan kaptam :)
Ha jól értem, te azt szeretnéd, hogy a tűzfalad külső IP-jét címezzék meg, és ott figyeljen a http proxy, ami aztán beküldi a kérést a webserveredre.
En is igy ertettem.
Ez esetben nem transzparens működésre lesz szükséged. Úgy kell
Lehet transzparens imho.
beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a tűzfalszabály, ami a tproxyt hívja meg.
Jobb az, ha elotte van egy csomagszuro is... Regebben peldaul egy nmap-tol rettenetesen elhasalt a zorp, ha azonnal o kapta a kapcsolatot. Ezert en igy csinalnam: intra -v5 -T -p /etc/zorp/policy.py --autobind-ip 192.168.11.128 A dummy interfesz cime nem egyezhet meg a kulso lab cimevel! Es nem a dummy interfeszre kell bind-olni a proxy-t, hanem a kulso cimre! zorp:~# cat /etc/zorp/policy-http.py from Zorp.Core import * from Zorp.Http import * # internet zona InetZone("internet", "0.0.0.0/0", inbound_services=[], outbound_services=["http"]) # belso zona InetZone("intranet", "10.10.10.0/24", inbound_services=["http"], outbound_services=[]) class IDHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 def zorp_http(): Service("id_http", IDHttp, DirectedRouter(SockAddrInet("10.10.10.2", 8080), forge_addr = TRUE)) Listener(SockAddrInet("kulso.ip.cim", 50080), "id_http") A csomagkezeloben pedig ennyit kell allitani: iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080 Ha irnal subjectet, akkor konnyebb lenne az archivumban keresgelok dolga... Ez persze a thread kezdojenek szol :) -- Udvozlettel Zsiga
Ha irnal subjectet, akkor konnyebb lenne az archivumban keresgelok dolga... Ez persze a thread kezdojenek szol :) Jogos küldés után vettem észre. Most ismerkedem a Zorp-al ezert elnezest kerek az alap kerdesek miatt. Ha jól értem, te azt szeretnéd, hogy a tűzfalad külső IP-jét címezzék meg, és ott figyeljen a http proxy, ami aztán beküldi a kérést a webserveredre. igen így szeretném megcsinálni. kérdésem dummy0 interface akkor milyen IP-címet kapjon és mi szükségvan rá? Köszönettel Zoli
On Wed, May 11, 2005 at 08:17:59AM +0200, Nemeth Gyorgy wrote:
Ezt a listára kellett volna küldened, feltehetőleg nálam szakavatottabb válaszolna. De ha már személyesen nekem küldted, megpróbálkozom a
En onnan kaptam :)
Ha jól értem, te azt szeretnéd, hogy a tűzfalad külső IP-jét címezzék meg, és ott figyeljen a http proxy, ami aztán beküldi a kérést a webserveredre.
En is igy ertettem.
Ez esetben nem transzparens működésre lesz szükséged. Úgy kell
Lehet transzparens imho.
beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a tűzfalszabály, ami a tproxyt hívja meg.
Jobb az, ha elotte van egy csomagszuro is... Regebben peldaul egy nmap-tol rettenetesen elhasalt a zorp, ha azonnal o kapta a kapcsolatot.
-- Udvozlettel Zsiga _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On Wed, May 11, 2005 at 09:59:42AM +0200, Kosa Attila wrote:
En onnan kaptam :)
Ez esetben a procmailem döglött be mára, nem tudom miért, de majd nyomozok :) Bocs.
Lehet transzparens imho.
Csak teljesen felesleges.
beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a tűzfalszabály, ami a tproxyt hívja meg.
Jobb az, ha elotte van egy csomagszuro is... Regebben peldaul egy nmap-tol rettenetesen elhasalt a zorp, ha azonnal o kapta a kapcsolatot.
Attól még van előtte csomagszűrő, csak épp a 80-as porton beengedi a kérést. A mostani eset ugyan nem ilyen, de ha a tűzfalad több IP címet szolgál ki, és mindegyik külön figyel valamelyik (esetünkben a 80-as) porton, csak épp IP-től függően más proxynak kell indulnia, akkor a tproxy határozottan rossz választás. -- Friczy 'Death is not a bug, it's a feature'
On Wed, 2005-05-11 at 11:08 +0200, Nemeth Gyorgy wrote:
On Wed, May 11, 2005 at 09:59:42AM +0200, Kosa Attila wrote:
beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a tűzfalszabály, ami a tproxyt hívja meg.
Jobb az, ha elotte van egy csomagszuro is... Regebben peldaul egy nmap-tol rettenetesen elhasalt a zorp, ha azonnal o kapta a kapcsolatot.
Attól még van előtte csomagszűrő, csak épp a 80-as porton beengedi a kérést. A mostani eset ugyan nem ilyen, de ha a tűzfalad több IP címet szolgál ki, és mindegyik külön figyel valamelyik (esetünkben a 80-as) porton, csak épp IP-től függően más proxynak kell indulnia, akkor a tproxy határozottan rossz választás.
persze tproxy-val is meg lehet oldani a helyzetet, szurhetsz a celcimre, es az alapjan teheted masik portra. illetve ha a masik IP masik interface-t is jelent, akkor a tproxy defaultbol a bejovo interface IP-jere teszi a forgalmat, az azzal is szet tudod valasztani, hogy a Zorpot melyik ip-re bindolod. -- Bazsi
On Wed, May 11, 2005 at 11:20:29AM +0200, Balazs Scheidler wrote:
persze tproxy-val is meg lehet oldani a helyzetet, szurhetsz a celcimre, es az alapjan teheted masik portra. illetve ha a masik IP masik interface-t is jelent, akkor a tproxy defaultbol a bejovo interface IP-jere teszi a forgalmat, az azzal is szet tudod valasztani, hogy a Zorpot melyik ip-re bindolod.
Nem, itt határozottan ip aliasra gondoltam, eth0:0, eth0:1 és társai. A célcímre szűrés persze megoldható, de te melyik megoldást választanád? -- Friczy 'Death is not a bug, it's a feature'
On Wed, 2005-05-11 at 11:38 +0200, Nemeth Gyorgy wrote:
On Wed, May 11, 2005 at 11:20:29AM +0200, Balazs Scheidler wrote:
persze tproxy-val is meg lehet oldani a helyzetet, szurhetsz a celcimre, es az alapjan teheted masik portra. illetve ha a masik IP masik interface-t is jelent, akkor a tproxy defaultbol a bejovo interface IP-jere teszi a forgalmat, az azzal is szet tudod valasztani, hogy a Zorpot melyik ip-re bindolod.
Nem, itt határozottan ip aliasra gondoltam, eth0:0, eth0:1 és társai. A célcímre szűrés persze megoldható, de te melyik megoldást választanád?
Konzisztencia/menedzsment szempontjabol azt, hogy legyen tproxy szabaly, mert amugy mindenhez van. Performance szempontjabol azt, hogy ne legyen, mert az egy elkerulheto NAT lepes, ami valamennyit lassithat, illetve a tproxy tabla is nagyobb lesz. Bar ez valoszinuleg nem tul jelent tul sokat. Szerintem a menedzsment resze erosebb, azaz a teljesitmeny nem esik annyit, hogy erzekelheto legyen. Ha az menedzsment szempontjabol nem okoz gondot, hogy az internet feloli forgalmat maskepp kell felvenni, mint a tobbit, akkor teljesen mindegy. -- Bazsi
participants (6)
-
Balazs Scheidler
-
iceman@gds.hu
-
Kosa Attila
-
Nemeth Gyorgy
-
SZALAY Attila
-
Zelei Tamas