Hello! A kliensek 3-as zorp mogul erik el a netet. Figyel egy zorp http proxy az 50080-as porton, es egy https proxy az 50443-as porton. A csomagszuro iranyitja (--dport alapjan) a megfelelo proxy-hoz a forgalmat. Akadt egy olyan oldal, amely a 80-as porton van (emiatt a http proxy-hoz kerul), de menet kozben atvalt https-re ugy, hogy se a portszam, se az IP cim nem valtozik. A valtaskor persze a zorp becsukja a kapcsolatot (hiszen ott ssl-es dolgok nem mehetnek a konfig szerint). Megoldasnak latszott, hogy ezt az egy IP cimet beirom a csomagszurobe, es siman atiranyitom a https proxy-hoz. Igy viszont nem mukodik, mert eloszor csak http forgalom van... Kaptam javaslatot, hogy a CSZoneListener segitsegevel meg lehetne oldani a problemat (bar lehet, hogy akkor rosszul tettem fel a kerdest), de a talalt (minimalis) leiras alapjan nem vagyok biztos benne. Ezert megerositesre lenne szuksegem, hogy a CSZoneListener valoban megoldast jelent (es ha igen, akkor egy peldakonfigra, mert a google - mondhatni - semmit sem talalt), illetve ha nem az a megoldas, akkor valami otlet jol jonne :) -- Udvozlettel Zsiga
On Thu, Feb 09, 2006 at 09:22:36AM +0100, Kosa Attila wrote:
forgalmat. Akadt egy olyan oldal, amely a 80-as porton van (emiatt a http proxy-hoz kerul), de menet kozben atvalt https-re ugy, hogy se a portszam, se az IP cim nem valtozik. A valtaskor persze a zorp becsukja a kapcsolatot (hiszen ott ssl-es dolgok nem mehetnek a konfig szerint). Megoldasnak latszott, hogy ezt az egy IP cimet beirom a csomagszurobe, es siman atiranyitom a https proxy-hoz. Igy viszont nem mukodik, mert eloszor csak http forgalom van...
Kaptam javaslatot, hogy a CSZoneListener segitsegevel meg lehetne oldani a problemat (bar lehet, hogy akkor rosszul tettem fel a kerdest), de a talalt (minimalis) leiras alapjan nem vagyok biztos benne.
Ha a forrás és a cél IP is megegyezik a http és https forgalom esetén is, akkor a CSZoneListener nem megoldás. Nekem van egy olyan classom, ami lekezeli a http és https együttes forgalmát, de ez csak akkor működik, amikor nem transzparensen használod, hanem a böngészőben is beállítod, hogy proxyn keresztül böngészel. -- Friczy 'Death is not a bug, it's a feature'
Szia Esetleg ezt az egy szervert vidd ki egy zónába (parent az Internet) és vegyél fel egy ZoneListener-t (estleg CSZoneListenert) és erre az egy szerverrre (zóbnába) indíts plugot. További lehetőség a szigroításra: autentikáció, DNAT/DirectedRouter. És akkor transzparens is marad. Szerintem a Listener doksija ne kevés. Szerinted mit kellene még leírni? Ja így kell megoldani amit mondtam: CSZoneListener(SockAddrInet("192.168.192.168", 50080), {("*", "alzona"): "intranet_PLUG_hulyeszerver", ("*","*"): "intra_HTTP"}) Üdv, Höltzl Péter -- BalaBit IT Bizt. Kft | Tel: +36 1 371-0540 | GnuPG Fingerprint: holtzl.peter@balabit.hu | Mobil: +36 20 366-9667 | 796B C9D3 E492 B006 C8B2 http://www.balabit.hu/ | Fax: +36 1 208-0875 | 4D1F 5320 28E3 9A1B 3FC6
On Thu, Feb 09, 2006 at 10:10:19AM +0100, HÖLTZL Péter wrote:
Esetleg ezt az egy szervert vidd ki egy zónába (parent az Internet) és vegyél fel egy ZoneListener-t (estleg CSZoneListenert) és erre az egy szerverrre (zóbnába) indíts plugot. További lehetőség a szigroításra: autentikáció, DNAT/DirectedRouter. És akkor transzparens is marad.
Tudom, hogy pluggal meg lehet csinalni, de elvileg ez szabalyos http es https forgalom, ezert szerettem volna nem pluggal megoldani.
Szerintem a Listener doksija ne kevés. Szerinted mit kellene még leírni?
A CSZoneListener-rol mindossze annyi szerepel a doksikban (amelyeket talaltam), hogy hogyan kell a ZMC-ben kattingatva beallitani.
Ja így kell megoldani amit mondtam:
CSZoneListener(SockAddrInet("192.168.192.168", 50080), {("*", "alzona"): "intranet_PLUG_hulyeszerver", ("*","*"): "intra_HTTP"})
Koszi. -- Udvozlettel Zsiga
On Thu, 2006-02-09 at 11:15 +0100, Kosa Attila wrote:
A CSZoneListener-rol mindossze annyi szerepel a doksikban (amelyeket talaltam), hogy hogyan kell a ZMC-ben kattingatva beallitani.
FYI: A Dispatcher osztály doksiáj itt találod: /usr/share/zorp/pylib/Zorp/Dispatcher.py valamint a Listener doksia ez: /usr/share/zorp/pylib/Zorp/Listener.py természetesen a Receivernek is van dokumentációja, itt: /usr/share/zorp/pylib/Zorp/Receiver.py üdv, Péter -- BalaBit IT Bizt. Kft | Tel: +36 1 371-0540 | GnuPG Fingerprint: holtzl.peter@balabit.hu | Mobil: +36 20 366-9667 | 796B C9D3 E492 B006 C8B2 http://www.balabit.hu/ | Fax: +36 1 208-0875 | 4D1F 5320 28E3 9A1B 3FC6
hi, A CSZoneListenerrel beállítható, hogy melyik zónából melyik zónába irányuló forgalom valid. A Listener egy kapcsolatot mindenképpen eflogad, ha kérés érkezik rá, max a döntési rétegben majd eldobódik. Itt nem indul be semmi, - erősen sarkítottam - ha nem a megfelelő zónákból/ba mész/jössz. Ezenkívül megvan az előnye, hogy a Service az kliens/szerver zóna alapon választódik ki. (micsoda szép magyaros mondat volt...) üdv, Ago
On Thu, Feb 09, 2006 at 10:10:19AM +0100, HÖLTZL Péter wrote:
Esetleg ezt az egy szervert vidd ki egy zónába (parent az Internet) és vegyél fel egy ZoneListener-t (estleg CSZoneListenert) és erre az egy szerverrre (zóbnába) indíts plugot. További lehetőség a szigroításra: autentikáció, DNAT/DirectedRouter. És akkor transzparens is marad.
Tudom, hogy pluggal meg lehet csinalni, de elvileg ez szabalyos http es https forgalom, ezert szerettem volna nem pluggal megoldani.
Szerintem a Listener doksija ne kevés. Szerinted mit kellene még leírni?
A CSZoneListener-rol mindossze annyi szerepel a doksikban (amelyeket talaltam), hogy hogyan kell a ZMC-ben kattingatva beallitani.
Ja így kell megoldani amit mondtam:
CSZoneListener(SockAddrInet("192.168.192.168", 50080), {("*", "alzona"): "intranet_PLUG_hulyeszerver", ("*","*"): "intra_HTTP"})
Koszi.
-- Udvozlettel Zsiga _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On Thu, Feb 09, 2006 at 09:49:03AM +0100, Nemeth Gyorgy wrote:
Ha a forrás és a cél IP is megegyezik a http és https forgalom esetén is, akkor a CSZoneListener nem megoldás.
Koszi, igy gondoltam en is.
Nekem van egy olyan classom, ami lekezeli a http és https együttes forgalmát, de ez csak akkor működik, amikor nem transzparensen használod, hanem a böngészőben is beállítod, hogy proxyn keresztül böngészel.
Nem tudom, hogy ez megoldhato-e, mert egyebkent is csak proxy-n keresztul lehet netezni, es nem tudom, hogy IE alatt be lehet-e allitani, hogy bizonyos site-okhoz masik proxy-t hasznaljon. Vagy esetleg a squid-ban megmondani, hogy bizonyos site-ok eseten a zorphoz mint proxy-hoz forduljon? Ugy remlik, hogy ezt meg lehet oldani, szoval kerlek, hogy kuldd el maganban a class-t. -- Udvozlettel Zsiga
Hi All, On Thu, 2006-02-09 at 09:22 +0100, Kosa Attila wrote:
Akadt egy olyan oldal, amely a 80-as porton van (emiatt a http proxy-hoz kerul), de menet kozben atvalt https-re ugy, hogy se a portszam, se az IP cim nem valtozik. A valtaskor persze a zorp becsukja a kapcsolatot (hiszen ott ssl-es dolgok nem mehetnek a konfig szerint). Megoldasnak latszott, hogy ezt az egy IP cimet beirom a csomagszurobe, es siman atiranyitom a https proxy-hoz. Igy viszont nem mukodik, mert eloszor csak http forgalom van...
CSZoneListener ezt nem oldja meg. Max ugy, ha az arra a gepre meno forgalmat Plug-ra rakod at. Egyebkent engem (maganben) erdekelne az az oldal. Van ugyanis egy rfc, ami kb. ezt irja le, de meg nem talalkoztam olyan oldallal, ami ezt hasznositotta volna is. (Ellenorizni ugy lehet, hogy van-e Upgrade header a keresben vagy a valaszban, esetleg 101-es valasz jo-e?) -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
participants (5)
-
Deim Ágoston
-
HÖLTZL Péter
-
Kosa Attila
-
Nemeth Gyorgy
-
Szalay Attila