Sziasztok! Az emelkedett szakmai tartalom mellett nekem egy nagyon egyszeru kerdesem lenne csak: "allitolag" (nyoma is van :) a Zorp elerheto Solarison is, ahol a csomagszurovel kapcsolatos dolgok Darren Reed IPF-evel kerultek megvalositasra. A Debian tukrokrol elerheto forraskodban azonban nagyon ugy tunik, hogy ebbol a lehetosegbol vajmi keves van valojaban ott (ertsd: semmi). A kerdes: elerheto valamilyen modon ez az IPF-es kapcsolodast is tartalmazo kod, vagy felejtsem el, az nem GPL-es? Bonusz kerdes: mennyire Solaris specifikus ez a kod? (engem peldaul FreeBSD-n erdekelne a dolog :) Koszi! ----------[ Free Software ISOs - http://www.fsn.hu/?f=download ]---------- Attila Nagy e-mail: Attila.Nagy@fsn.hu Free Software Network (FSN.HU) phone @work: +361 210 1415 (194) cell.: +3630 306 6758
A levelezőm azt hiszi, hogy Attila Nagy a következőeket írta: [csak pletykálok]
A kerdes: elerheto valamilyen modon ez az IPF-es kapcsolodast is tartalmazo kod, vagy felejtsem el, az nem GPL-es?
Csak annyira, amennyire egy kereskedelmi szoftver bináris patch-e GPL-es lehet. Meg az IPF-hez sem volt sok köze:)
Bonusz kerdes: mennyire Solaris specifikus ez a kod? (engem peldaul FreeBSD-n erdekelne a dolog :)
Ahhoz először kellene egy használható csomagszűrő FreeBSD-re... Az sem lenne hátrány ha nem pont Darren billentyűzetéből. -- GNU GPL: csak tiszta forrásból
Magosányi Árpád <mag@bunuel.tii.matav.hu> irta:
A kerdes: elerheto valamilyen modon ez az IPF-es kapcsolodast is tartalmazo kod, vagy felejtsem el, az nem GPL-es? Csak annyira, amennyire egy kereskedelmi szoftver bináris patch-e GPL-es lehet. Meg az IPF-hez sem volt sok köze:)
Látom már Mag is válaszolt :-) üdv, Ago
Hello,
Csak annyira, amennyire egy kereskedelmi szoftver bináris patch-e GPL-es lehet. Meg az IPF-hez sem volt sok köze:) Jo, felejtsuk el a Solarist, beszeljunk az IPF-rol. Az INSTALL-ban ez szerepel: ipfilter -- assumed on non-Linux platforms (your OS might not be supported, as ipfilter needs to be patched as well) Currently only Solaris is fully supported, otherwise you will not be able to forge the source address of firewall initiated connections. (webserver in the DMZ)
Ha jol sejtem a masodik mondat azt jelenti, hogy "Jelenleg csak a Solaris tamogatott teljesen, egyeb esetekben a tuzfal altal kezdemenyezett kapcsolatok forrascime nem hamisithato". Jo, ne legyen hamisithato. Ettol fuggetlenul azonban az osszes tobbi funkcionak mukodnie kene? Ilyen esetben (peldaul egy nem Solaris, de nem is Linux OS-en) --disable-tproxy-val kene a configure-t futtatni, hogy jo is legyen nekem? (egyelore csak elmeletben probalkozom :) Amit egyebkent eredetileg felvetettem, az az, hogy az ENABLE_IPFILTER_TPROXY eset kezelese gyakorlatilag hianyzik a kodbol (zorp-2.0rc3). Gondolom ehhez semmi koze annak, hogy a Solarist patchelni kell... Na ennek fenyeben nem teljesen ertem, hogy mi az a reszleges TPROXY tamogatas, amelyet a Zorp nem Solaris rendszereken nyujtani tud. (lasd fenti szoveg) De az is lehet, hogy tulsagosan belegabalyodtam ;)
Ahhoz először kellene egy használható csomagszűrő FreeBSD-re... Valoban, az IPF tenyleg nem a vilag legjobb csomagszuroje, bar erdekes, hogy Harald Weltenek (Netfilter core team tag) mas velemenye van errol: http://lists.netfilter.org/pipermail/netfilter-devel/2002-June/008187.html (1 piros pont annak, aki rajon, hogy miert talaltam ra erre a levelre :)
A hasznalhatosagrol nem nyilatkozom, az IPF-fel voltak gondjaim, de miota OpenBSD PF-et hasznalok ezek valahogy megszuntek.
Az sem lenne hátrány ha nem pont Darren billentyűzetéből. Azert megiscsak o volt az egyetlen, aki egy mukodokepes, multiplatform csomagszurot tudott irni. :)
ui: egy meglehetosen bugyuta kerdes kovetkezik, nyilvan trivialis ra a valasz: miben ter el a Zorp es mondjuk a Squid altal vegzett cimhamisitas? ----------[ Free Software ISOs - http://www.fsn.hu/?f=download ]---------- Attila Nagy e-mail: Attila.Nagy@fsn.hu Free Software Network (FSN.HU) phone @work: +361 210 1415 (194) cell.: +3630 306 6758
On Wed, Jan 29, 2003 at 11:10:47AM +0100, Attila Nagy wrote:
Hello,
Csak annyira, amennyire egy kereskedelmi szoftver bináris patch-e GPL-es lehet. Meg az IPF-hez sem volt sok köze:) Jo, felejtsuk el a Solarist, beszeljunk az IPF-rol. Az INSTALL-ban ez szerepel: ipfilter -- assumed on non-Linux platforms (your OS might not be supported, as ipfilter needs to be patched as well) Currently only Solaris is fully supported, otherwise you will not be able to forge the source address of firewall initiated connections. (webserver in the DMZ)
Ha jol sejtem a masodik mondat azt jelenti, hogy "Jelenleg csak a Solaris tamogatott teljesen, egyeb esetekben a tuzfal altal kezdemenyezett kapcsolatok forrascime nem hamisithato".
Jo, ne legyen hamisithato. Ettol fuggetlenul azonban az osszes tobbi funkcionak mukodnie kene? Ilyen esetben (peldaul egy nem Solaris, de nem is Linux OS-en) --disable-tproxy-val kene a configure-t futtatni, hogy jo is legyen nekem? (egyelore csak elmeletben probalkozom :)
Amit egyebkent eredetileg felvetettem, az az, hogy az ENABLE_IPFILTER_TPROXY eset kezelese gyakorlatilag hianyzik a kodbol (zorp-2.0rc3). Gondolom ehhez semmi koze annak, hogy a Solarist patchelni kell... Na ennek fenyeben nem teljesen ertem, hogy mi az a reszleges TPROXY tamogatas, amelyet a Zorp nem Solaris rendszereken nyujtani tud. (lasd fenti szoveg)
De az is lehet, hogy tulsagosan belegabalyodtam ;)
az --enable-ipfilter kapcsolo 1.4-es maradvany, jelenleg nem mukodik.
Ahhoz először kellene egy használható csomagszűrő FreeBSD-re... Valoban, az IPF tenyleg nem a vilag legjobb csomagszuroje, bar erdekes, hogy Harald Weltenek (Netfilter core team tag) mas velemenye van errol: http://lists.netfilter.org/pipermail/netfilter-devel/2002-June/008187.html (1 piros pont annak, aki rajon, hogy miert talaltam ra erre a levelre :)
nezd meg a valaszomat, majd az arra erkezett valaszt. az ipf felhasznaloi szempontbol nem feltetlenul rossz, de a kodja eleg ronda. Ezzel mar Harald sem vitatkozott.
ui: egy meglehetosen bugyuta kerdes kovetkezik, nyilvan trivialis ra a valasz: miben ter el a Zorp es mondjuk a Squid altal vegzett cimhamisitas?
ipf-ben lehet teljesen specifikalt tuple-t tenni az allapottablaba userspace-bol. (valami PUT-os setsockopt), annak idejen ezt neztem, de voltak vele problemak. pl. teljesen specifikalt tuple-t kell neki atadni, ami routing dontes nelkul nehez, a routing dontes pedig onmagaban nincs kivezetve. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Attila Nagy <bra@fsn.hu> irta:
A kerdes: elerheto valamilyen modon ez az IPF-es kapcsolodast is tartalmazo kod, vagy felejtsem el, az nem GPL-es? Solaris = kereskedelmi rendszer, ezért nem igazán lehet GPL-es sem a patch. Márpedig Solarisnál kernel szinten kell patchelni. Szerintem keress egy kereskedőt a Balabitnál, biztos tudnak ajánlani neked opciót.
Bonusz kerdes: mennyire Solaris specifikus ez a kod? (engem peldaul FreeBSD-n erdekelne a dolog :) Ha jól tudom a transzparencia hiánya volt itt a gond, ugyanaz a réteg hiányzott(ik), mint a 2.4-es kernelnél hiányzott a linuxban. De mivel Solarist eddig csak home gépen használtam úgy igazán, ezért erről nem sokat tudnék mondani, mivel első dolgom az volt, hogy felrakjam a GNU cuccokat és otthonosabb lett a környezet. FreeBSD-n kernelét illetve a doksit kellene megnézned. üdv, Ago
Hello,
Solaris = kereskedelmi rendszer, ezért nem igazán lehet GPL-es sem a patch. Lehet, hogy felreerthetoen fogalmaztam. Engem nem a Solarishoz keszult patch erdekel. A Solarist azert kevertem bele, mert a Zorp fut azon es IPF-et hasznal. Az IPF pedig elerheto mas, szabad OS-ekre is.
Szerintem keress egy kereskedőt a Balabitnál, biztos tudnak ajánlani neked opciót. Egyelore csak erdeklodes szintjen megy a dolog, de lehet, hogy itt kotunk majd ki :)
----------[ Free Software ISOs - http://www.fsn.hu/?f=download ]---------- Attila Nagy e-mail: Attila.Nagy@fsn.hu Free Software Network (FSN.HU) phone @work: +361 210 1415 (194) cell.: +3630 306 6758
Sziasztok! En is valaszolok, talan egy kicsit jobban tudom a technikai hatteret ;) On Tue, Jan 28, 2003 at 05:37:57PM +0100, Attila Nagy wrote:
Sziasztok!
Az emelkedett szakmai tartalom mellett nekem egy nagyon egyszeru kerdesem lenne csak: "allitolag" (nyoma is van :) a Zorp elerheto Solarison is, ahol a csomagszurovel kapcsolatos dolgok Darren Reed IPF-evel kerultek megvalositasra. A Debian tukrokrol elerheto forraskodban azonban nagyon ugy tunik, hogy ebbol a lehetosegbol vajmi keves van valojaban ott (ertsd: semmi).
A kerdes: elerheto valamilyen modon ez az IPF-es kapcsolodast is tartalmazo kod, vagy felejtsem el, az nem GPL-es?
Bonusz kerdes: mennyire Solaris specifikus ez a kod? (engem peldaul FreeBSD-n erdekelne a dolog :)
A Solaris tamogatas ket reszbol all: 1) egy patch a Darren fele ipfilter-hez, ez nagyon rovid, leginkabb egy hook meghivasa 2) egy kernel modul, ami hasznalja a fenti hook-ot, es az ipfilter-t hasznalva implicit NAT szabalyokat vesz fel a Linux-os tproxy-hez hasonloan A userspace API megegyezik a Linux-os megvalositassal, es mar legalabb egyszer a mukodes jeleit is mutatta. ;) A Zorp-os valtoztatasok egy resze meg nincs merge-lve a fo forrasfaval, illetve a megvalositas egyenlore nem tamogatja az UDP-t. Az ipfilter patch termeszetesen portabilis, a kernelmodul viszont teljes mertekben Solaris specifikus, ugyanis STREAMS-et hasznal. A kod maga egyenlore itt pihen a CVS-unkben, nem lett release-elve az UDP tamogatas hianya miatt, es mivel felkesz ezert nem szuletett dontes liszenszeleserol. Igazsag szerint nem tudom mekkora melo lenne a Solaris-os modult kicserelni BSD-sre, a jelenlegi fokepp arra epit, hogy viszonylag konnyu egy socket-hez allapotot rendelni, ha ez megvalosithato, akkor a port valoszinuleg egyszeru. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Wed, Jan 29, 2003 at 10:29:37AM +0100, Balazs Scheidler wrote:
A kod maga egyenlore itt pihen a CVS-unkben, nem lett release-elve az UDP tamogatas hianya miatt, es mivel felkesz ezert nem szuletett dontes liszenszeleserol.
Meg annyit ide hozzatennek, hogy a liszenszhez a hozzaallasunk a kovetkezo: * BSD alatt lehetne free (BSD-like peldaul, esetleg GPL ha azt lehet) * Solaris alatt valoszinuleg kereskedelmi maradna Mivel a Solaris valtozat van nagyjabol keszen, a BSD valtozatot segitene ha azt kiadnank. Viszont nem adhatjuk ki, mert kereskedelmi termeket szeretnenk belole kialakitani. Ha viszont akad valaki, aki vallalja a portolast, annak eljuttatnak a Solaris-os valtozatot azzal a feltetellel, hogy nem publikalja. Igy meglenne a BSD es megmaradna a Solaris verzio zartsaga. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Hello,
1) egy patch a Darren fele ipfilter-hez, ez nagyon rovid, leginkabb egy hook meghivasa 2) egy kernel modul, ami hasznalja a fenti hook-ot, es az ipfilter-t hasznalva implicit NAT szabalyokat vesz fel a Linux-os tproxy-hez hasonloan Tehat gyakorlatilag arrol van szo, hogy a NAT tablahoz ad hozza uj bejegyzeseket, illetve torlol belole? Ha igen, nem teljesen ertem, hiszen ezt meg lehet valositani userspace-bol is, ugyanugy, ahogy az ipnat -f nat.conf paranccsal fajlbol beolvasom a szabalyokat.
Valamit nagyon felreerthetek...
A userspace API megegyezik a Linux-os megvalositassal, es mar legalabb egyszer a mukodes jeleit is mutatta. ;) Akkor meg nem vennenk meg a Zorpot az uj Sun Fire 15k-ra ;)
A Zorp-os valtoztatasok egy resze meg nincs merge-lve a fo forrasfaval, illetve a megvalositas egyenlore nem tamogatja az UDP-t. Tehat ezert nem latszik a forraskodban a tamogatas.
----------[ Free Software ISOs - http://www.fsn.hu/?f=download ]---------- Attila Nagy e-mail: Attila.Nagy@fsn.hu Free Software Network (FSN.HU) phone @work: +361 210 1415 (194) cell.: +3630 306 6758
On Wed, Jan 29, 2003 at 11:28:56AM +0100, Attila Nagy wrote:
Hello,
1) egy patch a Darren fele ipfilter-hez, ez nagyon rovid, leginkabb egy hook meghivasa 2) egy kernel modul, ami hasznalja a fenti hook-ot, es az ipfilter-t hasznalva implicit NAT szabalyokat vesz fel a Linux-os tproxy-hez hasonloan Tehat gyakorlatilag arrol van szo, hogy a NAT tablahoz ad hozza uj bejegyzeseket, illetve torlol belole? Ha igen, nem teljesen ertem, hiszen ezt meg lehet valositani userspace-bol is, ugyanugy, ahogy az ipnat -f nat.conf paranccsal fajlbol beolvasom a szabalyokat.
Valamit nagyon felreerthetek...
a NAT szabalyokat ugy veszi fel, hogy nem rakja bele a NAT tablaba, hiszen az ott utkozne az adminisztrator sajat szabalyaival. A TPROXY belso NAT-jai fuggetlen helyen tarolodnak, illetve tovabbi jellegzetesseg, hogy socket-hez kotodnek, azaz, ha a Zorp lezarja a kapcsolatot, akkor a NAT mapping is torlodik.
A Zorp-os valtoztatasok egy resze meg nincs merge-lve a fo forrasfaval, illetve a megvalositas egyenlore nem tamogatja az UDP-t. Tehat ezert nem latszik a forraskodban a tamogatas.
igen. az 1.4-ben amugy meg benne van, es ha gondolod a tproxy nelkuli ipf tamogatast betehetem a 2.0-ba is. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
participants (4)
-
Attila Nagy
-
Balazs Scheidler
-
Deim Agoston
-
mag@bunuel.tii.matav.hu