Hi! On 2001 Jan 17, Kosa Attila wrote:
from Zorp.Zorp import * from Zorp import Zorp from Zorp.Zone import InetZone from Zorp.Service import Service from Zorp.SockAddr import SockAddrInet from Zorp.Chainer import TransparentChainer, DirectedChainer, InbandChainer, FailoverChainer from Zorp.Plug import PlugProxy from Zorp import Http from Zorp.Http import HttpProxy from Zorp.Ftp import FtpProxyAllow, FtpProxyMinimal from Zorp.Listener import Listener
Zorp.firewall_name = 'zorp1@teszt.hu'
InetZone("kulso", "192.168.1.1/32", inbound_services=[], outbound_services=[]),
InetZone("local", "127.0.0.0/8", inbound_services=[], outbound_services=[]),
InetZone("internet", "0.0.0.0/0", inbound_services=[], outbound_services=[])
def init(name): debug(5, "Policy init, name=%s" % name)
Mivel a csillag a szolgaltatas helyen mindent engedelyez, ebbol azt gondoltam, hogy az ures pedig semmit. De elinditva ezt a konfigot ugyanugy tudom pingetni a 127.0.0.1-et, es a 192.168.1.1-et is. Nem jol gondoltam? Esetleg a kernelembol hianyzik valami?
A ping nem megy keresztul a zorp-on. (A PING icmp csomag, a zorp pedig csak UDP-s es TCP-s csomagokkal foglalkozik) Viszont ez azt jeleti, hogy forward-olsz a ket halokartya kozott, ami nem jo otlet. A forward legyen alapbol DENY
Ezek utan gondoltam engedelyezek valamit (letrehozok egy szolgaltatast). Beirtam a konfigba a kovetkezoket:
class IDHttp(HttpProxy): def config(self): self.transparent_mode = 1
Service("id_http", DirectedChainer(SockAddrInet("192.168.1.1", 8080)), IDHttp) ^^^ ^^^
Listener(SockAddrInet("192.168.1.1", 80), "id_http")
Remenyeim szerint azt kellett volna csinalnia, hogy miutan elinditottam az apache-ot a 8080-as porton (ellenoriztem, tudtam hozza kapcsolodni, a 80-ason pedig nem), ez szepen atteszi a 192.168.1.1 cim 80-as portjara erkezo kereseket a 8080-as portra. Ehhez beirtam a konfigba az "id_http"-t. A vegen kinomban mar minden zona out- es inboundjaba is, de igy sem volt hajlando azt csinalni, amit szerettem volna. Egyebkent hibauzenet nelkul elindult, de nem csinalta :( Ejfelkor abbahagytam... Lehet, hogy a faradsagtol nem vettem eszre valamit, de akkor mit? Elkelne egy kis segitseg :)
Kerdes, hogy honnan probaltad? Ugye nem localhost-rol? Egyebkent, ha valamilyen nyugje van a zorp-nak, akkor azt jelzi, felteve, hogy nem tul alacsony a verbosity level-je. (Az instances.conf-ban ellenorizheted. A default 3 mar megfelelo, de minel nagyobb ez az ertek, annal tobb mindent ir ki) -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu
On Wed, Jan 17, 2001 at 10:35:41AM +0100, SZALAY Attila wrote:
elinditva ezt a konfigot ugyanugy tudom pingetni a 127.0.0.1-et, es a 192.168.1.1-et is. Nem jol gondoltam?
A ping nem megy keresztul a zorp-on. (A PING icmp csomag, a zorp pedig csak UDP-s es TCP-s csomagokkal foglalkozik)
Ezt nem tudtam.
Viszont ez azt jeleti, hogy forward-olsz a ket halokartya kozott, ami nem jo otlet. A forward legyen alapbol DENY
Az otthoni gepemen kiserleteztem, de csak egy halokartya van benne, es nincs mellette masik gep :( Igaz, felhuzhattam volna dummy interfeszeket, de csak most jutott eszembe :) Azokon is lehet tesztelni, ugye? Csak hogyan mondom meg, hogy melyik interfeszrol jott a csomag? Egyelore ez mindegy.
Kerdes, hogy honnan probaltad? Ugye nem localhost-rol?
Mas nem allt rendelkezesemre.
Egyebkent, ha valamilyen nyugje van a zorp-nak, akkor azt jelzi, felteve, hogy nem tul alacsony a verbosity level-je. (Az instances.conf-ban ellenorizheted. A default 3 mar megfelelo, de minel nagyobb ez az ertek, annal tobb mindent ir ki)
Felvettem a maximalis 10-re, alig gyoztem olvasni :) -- Udvozlettel Zsiga
participants (2)
-
Kosa Attila
-
SZALAY Attila