On Thu, 2003-11-06 at 14:51, Makay Kalman wrote:
Kicsit másképp kérdezek az előző levélhez képest: HTTP_REQ_REJECT csak teljes sztringet kaphat, vagy lehet részleges is (partial match)? Úgy mint a response fejezteben leírt 404-es hibaüzenet lekezelésére írt példánál.
lehet ra matcher-t illeszteni. neked a file matcher kell ami file-ban regexp -eket tartalmaz (den es ignolre list)
Ha jol ertelmezem akkor az HttpProxyURIFilter erre alkamas. Mivel offline tanulom a Zorp konfigolasat - ergo nem tudok elesben tesztelni -, le tudnal irni egy szintaktikailag helyes talalat tiltast? Udvozlettel: Makay Kalman
On Thu, Nov 06, 2003 at 03:25:15PM +0100, Makay Kalman wrote:
Mivel offline tanulom a Zorp konfigolasat - ergo nem tudok elesben tesztelni -, le tudnal irni egy szintaktikailag helyes talalat tiltast?
class IDHttp(HttpProxyURIFilter): matcher=RegexpFileMatcher('/etc/zorp/http.black', '/etc/zorp/http.white') def config(self): HttpProxyURIFilter.config(self) self.transparent_mode = 1 A http.black fajl tartalma (peldaul): .*exe A http.white fajl tartalma (peldaul): ^http://www\.domain\.hu/download/.*exe$ -- Udvozlettel Zsiga
Hi! Ezt és néhány más FAQ-t megtaláltok a http://zorp-unoff.sourceforge.net/faq.html címen. Bármilyen hozzászólást szívesen veszek. A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
class IDHttp(HttpProxyURIFilter): []
-- GNU GPL: csak tiszta forrásból
On Mon, Nov 10, 2003 at 08:11:26PM +0000, Magosányi Árpád wrote:
http://zorp-unoff.sourceforge.net/faq.html címen.
Bármilyen hozzászólást szívesen veszek.
Az instances.conf sorainak nem igy kell kineznie? zorp_kifele --verbose=5 --threads=300 --policy /etc/zorp/policy-kifele.py --autobind-ip 192.168.200.254 -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Az instances.conf sorainak nem igy kell kineznie? zorp_kifele --verbose=5 --threads=300 --policy /etc/zorp/policy-kifele.py --autobind-ip 192.168.200.254
Tudtommal a --policy kivételével ezek mind opcionális paraméterek. Az a baj ezekkel a konfigokkal, hogy teszteletlenek. Valami olyasmin gondolkodom, amit egy nulla vagy egy hálókártyával ellátott gépen is lehet tesztelni. Úgy kéne megcsinálni, hogy ha valaki egy az egyben lehúzza az examples könyvtárat és átnevezi /etc/zorp-ra, akkor menjen. A dolog lényege némi redirect lenne a nat tábla output chainjéből, de még nem teljesen világos hogy hogyan gondolom. Ez a későbbiekben némi regressziós teszt alapja is lehet. Hiába tesztelnek a BalaBites srácok is, csak nyugodtabb lennék, ha tudnék rendes tesztet nyomatni mielőtt elengedek egy release-t. -- GNU GPL: csak tiszta forrásból
On Mon, Nov 10, 2003 at 08:51:45PM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Az instances.conf sorainak nem igy kell kineznie? zorp_kifele --verbose=5 --threads=300 --policy /etc/zorp/policy-kifele.py --autobind-ip 192.168.200.254
Tudtommal a --policy kivételével ezek mind opcionális paraméterek.
Igazabol a --autobind-ip reszre gondoltam. Nekem anelkul nem nagyon mukodott. A verbose es a threads valoban opcionalis (bar en mindig meg szoktam adni). -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
On Mon, Nov 10, 2003 at 08:51:45PM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Az instances.conf sorainak nem igy kell kineznie? zorp_kifele --verbose=5 --threads=300 --policy /etc/zorp/policy-kifele.py --autobind-ip 192.168.200.254
Tudtommal a --policy kivételével ezek mind opcionális paraméterek.
Igazabol a --autobind-ip reszre gondoltam. Nekem anelkul nem nagyon mukodott. A verbose es a threads valoban opcionalis (bar en mindig meg szoktam adni).
Abban igazad van, hogy érdemes megadni mindet, de az autobind is opcionális: tproxy patch nélkül értelmetlen, azzal meg gyakorlatilag muszály. A következő példákban adok meg értékeket. a --verbose helyett nem --log-spec és/vagy --log-tag használata illendő? -- GNU GPL: csak tiszta forrásból
On Tue, Nov 11, 2003 at 08:50:23PM +0000, Magosányi Árpád wrote:
Abban igazad van, hogy érdemes megadni mindet, de az autobind is opcionális: tproxy patch nélkül értelmetlen, azzal meg gyakorlatilag muszály. A következő példákban adok meg értékeket.
Tproxy patch nelkul mire lehet hasznalni a Zorpot? Hirtelen nem jut eszembe semmi...
a --verbose helyett nem --log-spec és/vagy --log-tag használata illendő?
En mindig a --verbose opciot hasznalom :) -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Tproxy patch nelkul mire lehet hasznalni a Zorpot? Hirtelen nem jut eszembe semmi...
A Zorp tproxy patch nélkül is tud transzparens lenni bizonyos körülmények között. Azon kívül van még aki 2.2-es kernelt használ, ahol még a linux natívból tudott transzparens proxy támogatást. (Vagy az a 2.0 volt?) Ezen kívül solarison ipfilterrel sem hiszem hogy van tproxy patch. Legalábbis az a tproxy patch nem ez a tproxy patch... -- GNU GPL: csak tiszta forrásból
On Tue, Nov 11, 2003 at 10:00:55PM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Tproxy patch nelkul mire lehet hasznalni a Zorpot? Hirtelen nem jut eszembe semmi...
A Zorp tproxy patch nélkül is tud transzparens lenni bizonyos
Milyen korulmenyekre gondolsz? Mindig szivesen tanulok...
körülmények között. Azon kívül van még aki 2.2-es kernelt használ, ahol még a linux natívból tudott transzparens proxy támogatást. (Vagy az a 2.0 volt?)
A 2.2-es sorozat volt. De a 2-es Zorpot lehet hasznalni 2.2-es kernellel is?
Ezen kívül solarison ipfilterrel sem hiszem hogy van tproxy patch. Legalábbis az a tproxy patch nem ez a tproxy patch...
En Linuxban gondolkoztam :) -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
A Zorp tproxy patch nélkül is tud transzparens lenni bizonyos Milyen korulmenyekre gondolsz? Mindig szivesen tanulok...
Ahogyan emlékszem, szabályonként két rule kellett, egy a nat/prerouting és egy a forward/input chainbe, nem lehetett forráscímet hazudni, és volt valami kavarás a címekkel. Lehet hogy az eredeti célcím veszett el?
A 2.2-es sorozat volt. De a 2-es Zorpot lehet hasznalni 2.2-es kernellel is?
A releváns define-ok a zorpconfig.h-ból: ------------------------- /* Use the transparent proxy support of linux 2.2 */ #define ENABLE_LINUX22_TPROXY 0 /* If no transporxy support, fallback to linux 2.2 behaviour */ #define ENABLE_NETFILTER_LINUX22_FALLBACK 1 /* Use the transparent proxy features of netfilter */ #define ENABLE_NETFILTER_TPROXY 1 ------------------------- A fentiek szerint ha nem találja a tproxy patchet, a 2.2-es viselkedést fogja produkálni. konkrétan a kód úgy néz ki, hogy a megfelelő függvényben egy változót beinicializál Z_SD_TPROXY_LINUX22 értéküre, és ha talál tproxy patch támogatást, akkor megváltoztatja az értékét Z_SD_TPROXY_NETFILTER értékűre...
Ezen kívül solarison ipfilterrel sem hiszem hogy van tproxy patch. Legalábbis az a tproxy patch nem ez a tproxy patch...
En Linuxban gondolkoztam :)
Egy megengedhető mértékű általánosítás:) -- GNU GPL: csak tiszta forrásból
On Tue, Nov 11, 2003 at 10:29:51PM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
A Zorp tproxy patch nélkül is tud transzparens lenni bizonyos Milyen korulmenyekre gondolsz? Mindig szivesen tanulok...
Ahogyan emlékszem, szabályonként két rule kellett, egy a nat/prerouting és egy a forward/input chainbe, nem lehetett forráscímet hazudni, és volt valami kavarás a címekkel. Lehet hogy az eredeti célcím veszett el?
az eredeti celcim nem veszik el REDIRECT-nel sem. a kulonbseg REDIRECT es TPROXY kozott: - kulon tabla, ezert a proxyzott es natolt szabalyok szepen elvalnak a - TPROXY megjeloli a kapcsolat _minden_ csomagjat (nem csak az elsot), ugy, hogy a '-m tproxy' match illeszkedik ra, igy konnyu atengedni a filter tablan, ugyanez REDIRECT-nel egy kulon szabalyt igenyel REDIRECT-enkent - a TPROXY UDP-nel teljesen maskepp viselkedik, ott ugyanis az elso csomagot NATolja, de rogton eldobja a CONNTRACK allapotot is, mert a Zorp proxyk ezt a viselkedest feltetelezik.
A 2.2-es sorozat volt. De a 2-es Zorpot lehet hasznalni 2.2-es kernellel is?
A releváns define-ok a zorpconfig.h-ból: ------------------------- /* Use the transparent proxy support of linux 2.2 */ #define ENABLE_LINUX22_TPROXY 0
/* If no transporxy support, fallback to linux 2.2 behaviour */ #define ENABLE_NETFILTER_LINUX22_FALLBACK 1
/* Use the transparent proxy features of netfilter */ #define ENABLE_NETFILTER_TPROXY 1 -------------------------
A fentiek szerint ha nem találja a tproxy patchet, a 2.2-es viselkedést fogja produkálni.
konkrétan a kód úgy néz ki, hogy a megfelelő függvényben egy változót beinicializál Z_SD_TPROXY_LINUX22 értéküre, és ha talál tproxy patch támogatást, akkor megváltoztatja az értékét Z_SD_TPROXY_NETFILTER értékűre...
korrekt. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Hello,
Tproxy patch nelkul mire lehet hasznalni a Zorpot? Hirtelen nem jut eszembe semmi...
bocs a lamerkedesert, ez a kerdes mar korabban felmerult bennem: mi a kulonbseg a tproxy es a redirect kozott? Squid eseteben igy hasznalom transzparens modban az alkalmazast: -A PREROUTING -s $forras_halo -d ! $forras_halo -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 ezzel is ugyanazt a hatast erem el, vagy tevedek? Ha valaki valami peldaval is illusztralna, talan masoknak is segitene. :) Koszi: airween -- Minden baj forrása az 1/x függvény.
Hello,
bocs a lamerkedesert, ez a kerdes mar korabban felmerult bennem: mi a kulonbseg a tproxy es a redirect kozott? szal' ahogy visszajott a level, megtalaltam a leirast is...
bocsanat.
Ha valaki valami peldaval is illusztralna, talan masoknak is segitene. :)
ettol fuggetlneul egy paldat szivesen olvasok. :) udv: a. -- Minden baj forrása az 1/x függvény.
Kosa Attila wrote:
Tproxy patch nelkul mire lehet hasznalni a Zorpot? Hirtelen nem jut eszembe semmi...
Sok mindenre. Van, ahol meglehetősen szigorú a policy, pl cska meghatározott szervereket lehet elérni, ott szoktam tproxy nélkül megoldani egy kamu válaszokat küldő dns szerverrel. -- Gabor HALASZ <halasz.g@freemail.hu>
participants (6)
-
Balazs Scheidler
-
Gabor Halasz
-
Hegedüs Ervin
-
Kosa Attila
-
Magosányi Árpád
-
Makay Kalman