Sziasztok Lenne egy kis gondom a 2.0.0-as zorp https proxyzassal, lattam az elozo leveleket, de azthiszem ez mas lesz. Ugyanazzal a zonakkal, konfiggal es kulcsokkal hasznalva az 1.4.8-as zorp verzioval jol mukodik, mig a 2.0.0-assal a kliens ssl error-t mond. verbose 6-on ez az erdekes hibauzenet sor: Starting service; name='ServiceHttps' Starting proxy instance; client_fd='14', client_address='AF_INET(192.168.0.9:2064)', client_zone='Zone(ZoneIntra, 192.168.0.9/32)', client_local='AF_INET(celip:443)' Proxy starting; class='ClassSsl', module='pssl' Server connection established; server_fd='17', server_address='AF_INET(celip:443)', server_zone='Zone(ZoneInternet, 0.0.0.0/0)', server_local='AF_INET(tuzfalip:57952)' SSL handshake failed on the client side; error='error:140890C7:SSL routines:lib(20):SSL3_GET_CLIENT_CERTIFICATE:func(137):peer did not return a certificate:reason(199)' Az 1.4.8-ast potato-s kornyezetben hasznalom, a 2.0.0-ast pedig woody-n forditottam es futtatom, tproxy megvan es mukodik. A konfig mindket esetben: class ClassSsl(PsslProxy): def config(self): self.server_need_ssl = TRUE self.client_need_ssl = TRUE self.client_cert = "/etc/zorp/server.crt" self.client_key = "/etc/zorp/server.key" self.stack_proxy = ClassHttp Service("ServiceHttps", ClassSsl, router=TransparentRouter()) Listener(SockAddrInet("192.168.0.10", 4430), "ServiceHttps") A ClassHttp is ugyanugy nez ki mindket verzional. Esetleg mas openssl verzioval probalkozzak? d
On Tue, Mar 04, 2003 at 04:14:45PM +0100, Hegedus Ferenc wrote:
Sziasztok
Lenne egy kis gondom a 2.0.0-as zorp https proxyzassal, lattam az elozo leveleket, de azthiszem ez mas lesz. Ugyanazzal a zonakkal, konfiggal es kulcsokkal hasznalva az 1.4.8-as zorp verzioval jol mukodik, mig a 2.0.0-assal a kliens ssl error-t mond.
verbose 6-on ez az erdekes hibauzenet sor:
Starting service; name='ServiceHttps' Starting proxy instance; client_fd='14', client_address='AF_INET(192.168.0.9:2064)', client_zone='Zone(ZoneIntra, 192.168.0.9/32)', client_local='AF_INET(celip:443)' Proxy starting; class='ClassSsl', module='pssl' Server connection established; server_fd='17', server_address='AF_INET(celip:443)', server_zone='Zone(ZoneInternet, 0.0.0.0/0)', server_local='AF_INET(tuzfalip:57952)' SSL handshake failed on the client side; error='error:140890C7:SSL routines:lib(20):SSL3_GET_CLIENT_CERTIFICATE:func(137):peer did not return a certificate:reason(199)'
Az 1.4.8-ast potato-s kornyezetben hasznalom, a 2.0.0-ast pedig woody-n forditottam es futtatom, tproxy megvan es mukodik.
A konfig mindket esetben:
class ClassSsl(PsslProxy): def config(self): self.server_need_ssl = TRUE self.client_need_ssl = TRUE self.client_cert = "/etc/zorp/server.crt" self.client_key = "/etc/zorp/server.key" self.stack_proxy = ClassHttp
Service("ServiceHttps", ClassSsl, router=TransparentRouter()) Listener(SockAddrInet("192.168.0.10", 4430), "ServiceHttps")
Probald meg a 'self.client_verify_type = SSL_VERIFY_NONE' sort. Ugyanis a hiba alapjan szamomra ugy tunik, hogy a kliens nem kuld cert-et, a zorp pedig default elvarja. A Pssl.py-bol: client_verify_type -- [ENUM;Z_SSL_VERIFY:Z_SSL_VERIFY_REQUIRED_TRUSTED:W:R] Verification for the peer on the client side. Gyula
Probald meg a 'self.client_verify_type = SSL_VERIFY_NONE' sort. Ugyanis a hiba alapjan szamomra ugy tunik, hogy a kliens nem kuld cert-et, a zorp pedig default elvarja.
A Pssl.py-bol:
client_verify_type -- [ENUM;Z_SSL_VERIFY:Z_SSL_VERIFY_REQUIRED_TRUSTED:W:R] Verification for the peer on the client side.
Gyula
Valoban, koszi. Illetve a server_verify_type default erteke is valtozott 2.0-ban. d
Az elozo problemamtol fuggetlen "gond" az, hogy az ssl proxy processzek nem szunnek meg, hanem idovel nagy szamban felgyulve foglaljak a memoriat. A lekert oldal megjelenik problema nelkul, de minden lekeres utan ottmarad a process: /usr/lib/zorp/zorp --as https --verbose=0 --policy /etc/zorp/policy.py A konfiguracio es a software kornyezet ugyanaz, mint az elozo levelmeben (zorp 2.0.0, woody, tproxy) es eddig mar harom gepen tapasztaltam. A logban nem talaltam hibara utalo uzenetet. Udv: d
On 2003 Mar 05 at 14:52, Kosa Attila wrote:
On Wed, Mar 05, 2003 at 02:48:27PM +0100, Hegedus Ferenc wrote:
/usr/lib/zorp/zorp --as https --verbose=0 --policy /etc/zorp/policy.py
^^^^^^^^^^^
A logban nem talaltam hibara utalo uzenetet.
Csodalkozol?
A "logelemzeshez" --verbose=5-ot hasznaltam.
-- Udvozlettel Zsiga
d
On Wed, Mar 05, 2003 at 03:14:33PM +0100, Hegedus Ferenc wrote:
A "logelemzeshez" --verbose=5-ot hasznaltam. Hasznalj 8-ast, akkor pl dumpolja a headereket a szures elott es utan is, pl.
asd -- Daniel VASARHELYI
Udv,
A logban nem talaltam hibara utalo uzenetet.
Csodalkozol?
A "logelemzeshez" --verbose=5-ot hasznaltam.
https nalam is a fent emlitett problemakat produkalja. Egy kis adalek, a beragadt https proxykbol, oldal bongeszese utan tobb mint 1 oraval: netstat -nt Proto Recv-Q Send-Q Local Address Foreign Address State tcp 1 0 xxx.xxx.xxx.xx:42448 212.92.18.33:443 CLOSE_WAIT 2836/zorp tcp 1 0 xxx.xxx.xxx.xx:42450 212.92.18.33:443 CLOSE_WAIT 2836/zorp ^ Ha jol sejtem, ez talan az akar lenni, hogy a socketbe megerkezett az adat, de a zorp nem olvasta ki onnet. # lsof -p 2836 | grep https zorp 2836 root 17u IPv4 161441763 TCP xxxx.yyyy.hu:42448->www.balabit.hu:https (CLOSE_WAIT) zorp 2836 root 25u IPv4 161441783 TCP xxxx.yyyy.hu:42450->www.balabit.hu:https (CLOSE_WAIT) # strace -p 2836 poll( Udv -- akos
On Wed, Mar 05, 2003 at 04:06:54PM +0100, Somogyi Akos wrote:
Udv,
A logban nem talaltam hibara utalo uzenetet.
Csodalkozol?
A "logelemzeshez" --verbose=5-ot hasznaltam.
https nalam is a fent emlitett problemakat produkalja.
Egy kis adalek, a beragadt https proxykbol, oldal bongeszese utan tobb mint 1 oraval:
netstat -nt
Proto Recv-Q Send-Q Local Address Foreign Address State tcp 1 0 xxx.xxx.xxx.xx:42448 212.92.18.33:443 CLOSE_WAIT 2836/zorp tcp 1 0 xxx.xxx.xxx.xx:42450 212.92.18.33:443 CLOSE_WAIT 2836/zorp
Es mit mond a cat /proc/net/ip_conntrack ezekre a kapcsolatokra vonatkozoan? Ill. milyen kernelverziot hasznaltok? Gyula
Udv, On Wed, 2003.03.05. at 16:18 +0100, Kerekes Gyula wrote:
On Wed, Mar 05, 2003 at 04:06:54PM +0100, Somogyi Akos wrote:
Udv,
A logban nem talaltam hibara utalo uzenetet.
Csodalkozol?
A "logelemzeshez" --verbose=5-ot hasznaltam.
https nalam is a fent emlitett problemakat produkalja.
Egy kis adalek, a beragadt https proxykbol, oldal bongeszese utan tobb mint 1 oraval:
netstat -nt
Proto Recv-Q Send-Q Local Address Foreign Address State tcp 1 0 xxx.xxx.xxx.xx:42448 212.92.18.33:443 CLOSE_WAIT 2836/zorp tcp 1 0 xxx.xxx.xxx.xx:42450 212.92.18.33:443 CLOSE_WAIT 2836/zorp
Es mit mond a cat /proc/net/ip_conntrack ezekre a kapcsolatokra vonatkozoan? Ill. milyen kernelverziot hasznaltok?
Semmit. # cat /proc/net/ip_conntrack | grep '212\.92' # A /proc/net/tcp vonatkozo sora: 29: xxxxxxxx:A5D0 21125CD4:01BB 08 00000000:00000001 02:0001B1C3 00000000 0 0 161441763 2 da95fb60 21 4 14 2 -1 30: xxxxxxxx:A5D2 21125CD4:01BB 08 00000000:00000001 02:0001B383 00000000 0 0 161441783 2 e952d880 21 4 8 2 -1 # uname -r 2.4.19-freeswan-cttproxy Udv -- akos
Hi All! On 2003 Mar 05, Hegedus Ferenc wrote:
A "logelemzeshez" --verbose=5-ot hasznaltam.
Lehetne kerni egy olyan trukkot, hogy a zorp-ot --enable-trace -el leforditanad, es utana --verbose 8 -al inditva a generalt logot elkuldened nekem? (Uhh, ez erdekes mondat lett :)) Megprobaljuk hazon belul repordukalni a hibat, de addig is jol jonne ez az info. Vigyazz, ekkor _nagyon_ sok logot fog magabol kikopni. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Tue, Mar 11, 2003 at 06:58:06PM +0100, SZALAY Attila wrote:
Hi All!
Lehetne kerni egy olyan trukkot, hogy a zorp-ot --enable-trace -el leforditanad, es utana --verbose 8 -al inditva a generalt logot elkuldened nekem? (Uhh, ez erdekes mondat lett :))
Megprobaljuk hazon belul repordukalni a hibat, de addig is jol jonne ez az info. Vigyazz, ekkor _nagyon_ sok logot fog magabol kikopni.
Leforditottam. A jelenseg maradt. A zorp lecsapja, a kliens meg varja az adatot. logot tettem: http://vectra.risktransfer.hu/~imre/https.log.bz2 i.
On Wed, Mar 05, 2003 at 02:48:27PM +0100, Hegedus Ferenc wrote:
Az elozo problemamtol fuggetlen "gond" az, hogy az ssl proxy processzek nem szunnek meg, hanem idovel nagy szamban felgyulve foglaljak a memoriat. A lekert oldal megjelenik problema nelkul, de minden lekeres utan ottmarad a process: /usr/lib/zorp/zorp --as https --verbose=0 --policy /etc/zorp/policy.py A konfiguracio es a software kornyezet ugyanaz, mint az elozo levelmeben (zorp 2.0.0, woody, tproxy) es eddig mar harom gepen tapasztaltam.
Megneztem, nalam is szaporodnak a processek. Minden jol atjon, (kiveve az elozo levelekben vazolt problema), de a process megmarad. i.
On Tue, Mar 04, 2003 at 04:14:45PM +0100, Hegedus Ferenc wrote:
peer did not return a certificate:reason(199)'
Ez a mondat a lenyeg. A zorp a kliens oldalarol is vart egy certificate-et, de az nem mutatott semmit. Reszlet a Pssl.py-bol (doksinak is jo :) client_verify_type -- [INTEGER:PSSL_VERIFY_REQUIRED_TRUSTED:W:R] Verification setting of the peer certificate on the client side. Ez a valtozo alapbol ugy van beallitva, hogy megkoveteli a klienstol a megbizhato certificate bemutatasat. (a szogletes zarojelben van a default ertek) Ha te ezt nem akarod, akkor allitsd at a proxy konfigjaban: self.client_verify_type = SSL_VERIFY_NONE MCS ui.: valoszinuleg az 1.4-ben nem ez volt a default, de ezt majd az okosok megmondjak.
participants (8)
-
Daniel VASARHELYI
-
Hegedus Ferenc
-
Kerekes Gyula
-
Kosa Attila
-
Lazar Imre
-
Major Csaba
-
Somogyi Akos
-
SZALAY Attila