Hello, Adott egy Zorp 1.4.6 és egy Squid 2.4.6. A Zorp a tűzfalon, a Squid egy belső gépen, aminek privát IP-je van. A jelenség az, hogy a Squid nem tud ftp-vel letölteni. Ha kérek tőle valamit csak áll és nincs válasz, annyira nincs, hogy csak a böngésző timeoutol, squid üzenet sincs. Ugyanez a squid ha a tűzfalat címfordításra állítom megy. Http-vel nincs gond. A squid-et futtató gépről lehet a Zorpon keresztül aktív és passzív ftp-vel is menni (ftp, pftp, mc működik). Nézem a csomagszűrő logját, az nem dob el csomagokat. Ettől kezdve nem értem. Van valakinek 5lete? Slapic -- Pilatus-Comp Ltd. HUNGARY * The Linux Expert * pilatuscomp@linux.co.hu http://www.linux.co.hu * Phone: +36-1-2481816 * Fax: +36-1-2481817
Hi! On 2003 May 30, Czakó Krisztián wrote:
A Zorp a tűzfalon, a Squid egy belső gépen, aminek privát IP-je van. A jelenség az, hogy a Squid nem tud ftp-vel letölteni. Ha kérek tőle valamit csak áll és nincs válasz, annyira nincs, hogy csak a böngésző timeoutol, squid üzenet sincs.
A zorp-ban a csatlakozas latszik? tcpdump-al csomagszinten latszik? -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/ ui.: Ugye az ftp allways_direct?
2003-05-30, p keltezéssel SZALAY Attila ezt írta:
Hi!
On 2003 May 30, Czakó Krisztián wrote:
A Zorp a tűzfalon, a Squid egy belső gépen, aminek privát IP-je van. A jelenség az, hogy a Squid nem tud ftp-vel letölteni. Ha kérek tőle valamit csak áll és nincs válasz, annyira nincs, hogy csak a böngésző timeoutol, squid üzenet sincs.
A zorp-ban a csatlakozas latszik?
Igen. Ugyan az látszik, mint amikor megy.
tcpdump-al csomagszinten latszik?
Ezt még nem néztem, a levél első felindulásból elkövetett dolog volt :) Ha már itt vagyunk, lehet valahogy 2.0-ás zorpban limitálni, hogy egy adott IP címről adott időn belül maximum hány kérést szolgálunk ki? Slapic -- Pilatus-Comp Ltd. HUNGARY * The Linux Expert * pilatuscomp@linux.co.hu http://www.linux.co.hu * Phone: +36-1-2481816 * Fax: +36-1-2481817
Hi! On 2003 May 30, Czakó Krisztián wrote:
2003-05-30, p keltezéssel SZALAY Attila ezt írta:
A zorp-ban a csatlakozas latszik?
Igen. Ugyan az látszik, mint amikor megy.
Az adatkapcsolat felvetelekor is? Parancsok sorrendje?
tcpdump-al csomagszinten latszik?
Ezt még nem néztem, a levél első felindulásból elkövetett dolog volt :)
A a zorp latja a kapcsolatot, akkor ez annyira nem problema.
Ha már itt vagyunk, lehet valahogy 2.0-ás zorpban limitálni, hogy egy adott IP címről adott időn belül maximum hány kérést szolgálunk ki?
Beepitett feaute tudtommal nincs, de a listen accept callback-je tokeletesen alkalmas a megvalositasra. :))) -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Mon, Jun 02, 2003 at 09:31:54AM +0200, SZALAY Attila wrote:
Hi!
On 2003 May 30, Czakó Krisztián wrote:
2003-05-30, p keltezéssel SZALAY Attila ezt írta:
A zorp-ban a csatlakozas latszik?
Igen. Ugyan az látszik, mint amikor megy.
Az adatkapcsolat felvetelekor is? Parancsok sorrendje?
tcpdump-al csomagszinten latszik?
Ezt még nem néztem, a levél első felindulásból elkövetett dolog volt :)
A a zorp latja a kapcsolatot, akkor ez annyira nem problema.
Ha már itt vagyunk, lehet valahogy 2.0-ás zorpban limitálni, hogy egy adott IP címről adott időn belül maximum hány kérést szolgálunk ki?
Beepitett feaute tudtommal nincs, de a listen accept callback-je tokeletesen alkalmas a megvalositasra. :)))
csinalhatsz egy custom Listener leszarmazottat, es ott megvalosithato valahogy igy: class TimeLimitListener(Listener): def accepted(self, stream, client_address, client_local, client_listen): if johet_a_kapcsolat: Listener.accepted(self, stream, client_address, client_local, client_listen) else: stream.close() return None a johet_a_kapcsolat valtozo helyere kell ellenorizni, hogy az aktualis kapcsolat szerinted jo-e vagy sem. a donteshez termeszetesen felhasznalhatod az osszes parametert (client_address pl, ami egy SockAddrInet tipus) a policydban pedig igy hasznalhatod: def peldany(): Service('szolgaltatas', ...) TimeLimitListener(SockAddrInet('1.2.3.4', 1234), 'szolgaltatas') -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Udv Mindenkinek ! Most iratkoztam fel a listara es egyenlore csak ismerkedem a Zorp-al. Sikerult feltennem a 2.0-at Debian Woody-ra - nemi csomag upgrade utan - de a tovabbi sikerelmenyek egyenlore varatnak magukra. A tproxy - temaval nem jutok elore, a kernel fel van patch-elve, az iptables is, de az iptables a TPROXY -ra azt mondja, hogy uprgadeljem a kernelt, vagy az iptablest. Ha valakinek van egy kis ideje, kerem segitsen, hogy hogyan tovabb, illetve szivesen vennek valami alap iptables es Zorp configot is. Koszonettel: AF
On Fri, May 30, 2003 at 10:34:05AM +0200, Ambrusch Ferenc wrote:
Udv Mindenkinek !
Most iratkoztam fel a listara es egyenlore csak ismerkedem a Zorp-al. Sikerult feltennem a 2.0-at Debian Woody-ra - nemi csomag upgrade utan - de a tovabbi sikerelmenyek egyenlore varatnak magukra. A tproxy - temaval nem jutok elore, a kernel fel van patch-elve, az iptables is, de az iptables a TPROXY -ra azt mondja, hogy uprgadeljem a kernelt, vagy az iptablest.
mi a pontos uzenet? az iptable_tproxy ill. az ipt_TPROXY modulok letrejottek kernelforditaskor? -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Hali ! Megoldodott a problema. Minden OK volt, csak a -t tproxy kisbetuvel irando, a -j TPROXY pedig nagy betuvel :-) Ezen kivul a dummy0 nem volt felhuzva, ezert elindult 102 thread, es ettol "Too many threads active..." hibaval elszallt. Miutan az iptables script ki lett javitva es a dummy0-t felhuztam, elindult es mukodik az ftp es a http proxy. Persze erre nem egyedul jottem ra, hanem nalam okosabb baratom sugott egy kicsit ... Udv: AF
participants (4)
-
Ambrusch Ferenc
-
Balazs Scheidler
-
Czakó Krisztián
-
SZALAY Attila