Csinalgatom a tuzfalamat es egy erdekesseget talaltam. Amikor ipchains-sel oldottam meg a redirectet, akkor az nmap eredmenyben nem latszott a zorp portja, mig iptablesnel igen. Mit rontottam el? Jelenleg ilyen a script: # ssh - zorp $IPTABLES -N DMZtoHOSTING_PLACE > /dev/null $IPTABLES -A DMZtoHOSTING_PLACE -i $DMZ_IF -s $DMZNET -d $ALL -p tcp --dport 50022 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $DMZ_IF -s $DMZNET -d $HOSTING_PLACE -p tcp --dport 22 -j REDIRECT --to-port 50022 $IPTABLES -A INPUT -j DMZtoHOSTING_PLACE -- Regards/Tisztelettel: Barina Tamás + 36 30 250 3863 ------------------------------------- 1123 Budapest, Alkotás út 39/C Tel.: +36 1 457 7690 Fax: +36 1 457 7699 PGP KeyID: 0xAC43C74F Fingerprint: 11AE 0464 7428 3DD8 470D 9A51 DD55 AB3B AC43 C74F
On Tue, Oct 15, 2002 at 11:15:14AM +0200, Barina Tamas wrote:
Csinalgatom a tuzfalamat es egy erdekesseget talaltam. Amikor ipchains-sel oldottam meg a redirectet, akkor az nmap eredmenyben nem latszott a zorp portja, mig iptablesnel igen. Mit rontottam el? Jelenleg ilyen a script:
# ssh - zorp $IPTABLES -N DMZtoHOSTING_PLACE > /dev/null $IPTABLES -A DMZtoHOSTING_PLACE -i $DMZ_IF -s $DMZNET -d $ALL -p tcp --dport 50022 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $DMZ_IF -s $DMZNET -d $HOSTING_PLACE -p tcp --dport 22 -j REDIRECT --to-port 50022 $IPTABLES -A INPUT -j DMZtoHOSTING_PLACE
az 50022-re gondolsz? szerintem ipchains-nel is kellett, hogy latszon, amugy pedig megoldhatod fwmark segitsegevel. CONNMARK-kal megmarkolod NAT-kor, majd csak akkor ACCEPT-eled el az 50022-t, ha az adott mark megvan. az egyenlore ki nem releaselt tproxy patchunkkel ez joval egyszerubbe valik. a tproxy patch release pedig most mar rovidesen varhato. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Akkor szerinted ezt a láncot, tablat jol epitettem fel? Tudok valami extra opciokat beletenni? Balazs Scheidler írta:
On Tue, Oct 15, 2002 at 11:15:14AM +0200, Barina Tamas wrote:
Csinalgatom a tuzfalamat es egy erdekesseget talaltam. Amikor ipchains-sel oldottam meg a redirectet, akkor az nmap eredmenyben nem latszott a zorp portja, mig iptablesnel igen. Mit rontottam el? Jelenleg ilyen a script:
# ssh - zorp $IPTABLES -N DMZtoHOSTING_PLACE > /dev/null $IPTABLES -A DMZtoHOSTING_PLACE -i $DMZ_IF -s $DMZNET -d $ALL -p tcp --dport 50022 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $DMZ_IF -s $DMZNET -d $HOSTING_PLACE -p tcp --dport 22 -j REDIRECT --to-port 50022 $IPTABLES -A INPUT -j DMZtoHOSTING_PLACE
az 50022-re gondolsz? szerintem ipchains-nel is kellett, hogy latszon, amugy pedig megoldhatod fwmark segitsegevel.
CONNMARK-kal megmarkolod NAT-kor, majd csak akkor ACCEPT-eled el az 50022-t, ha az adott mark megvan.
az egyenlore ki nem releaselt tproxy patchunkkel ez joval egyszerubbe valik.
a tproxy patch release pedig most mar rovidesen varhato.
-- Regards/Tisztelettel: Barina Tamás + 36 30 250 3863 ------------------------------------- 1123 Budapest, Alkotás út 39/C Tel.: +36 1 457 7690 Fax: +36 1 457 7699 PGP KeyID: 0xAC43C74F Fingerprint: 11AE 0464 7428 3DD8 470D 9A51 DD55 AB3B AC43 C74F
On Tue, Oct 15, 2002 at 12:14:44PM +0200, Barina Tamas wrote:
Akkor szerinted ezt a láncot, tablat jol epitettem fel? Tudok valami extra opciokat beletenni?
erdemes a lancokat iranyoknak megfeleloen felepiteni. esetleg iptables-save, iptables-restore formatumban dolgozni, mert az sokkal gyorsabban betoltodik. (ertsd: egy iptables-restore kb. akkora terhelest okoz, mint egy iptables parancs kiadasa)
Balazs Scheidler írta:
On Tue, Oct 15, 2002 at 11:15:14AM +0200, Barina Tamas wrote:
Csinalgatom a tuzfalamat es egy erdekesseget talaltam. Amikor ipchains-sel oldottam meg a redirectet, akkor az nmap eredmenyben nem latszott a zorp portja, mig iptablesnel igen. Mit rontottam el? Jelenleg ilyen a script:
# ssh - zorp $IPTABLES -N DMZtoHOSTING_PLACE > /dev/null $IPTABLES -A DMZtoHOSTING_PLACE -i $DMZ_IF -s $DMZNET -d $ALL -p tcp --dport 50022 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $DMZ_IF -s $DMZNET -d $HOSTING_PLACE -p tcp --dport 22 -j REDIRECT --to-port 50022 $IPTABLES -A INPUT -j DMZtoHOSTING_PLACE
az 50022-re gondolsz? szerintem ipchains-nel is kellett, hogy latszon, amugy pedig megoldhatod fwmark segitsegevel.
CONNMARK-kal megmarkolod NAT-kor, majd csak akkor ACCEPT-eled el az 50022-t, ha az adott mark megvan.
az egyenlore ki nem releaselt tproxy patchunkkel ez joval egyszerubbe valik.
a tproxy patch release pedig most mar rovidesen varhato.
--
Regards/Tisztelettel: Barina Tamás + 36 30 250 3863 ------------------------------------- 1123 Budapest, Alkotás út 39/C Tel.: +36 1 457 7690 Fax: +36 1 457 7699 PGP KeyID: 0xAC43C74F Fingerprint: 11AE 0464 7428 3DD8 470D 9A51 DD55 AB3B AC43 C74F
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
-- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Tue, Oct 15, 2002 at 03:10:56PM +0200, Balazs Scheidler wrote:
On Tue, Oct 15, 2002 at 12:14:44PM +0200, Barina Tamas wrote:
Akkor szerinted ezt a láncot, tablat jol epitettem fel? Tudok valami extra opciokat beletenni?
(ertsd: egy iptables-restore kb. akkora terhelest okoz, mint egy iptables parancs kiadasa)
Viszont ha elrontod a konfigot, akkor konnyen kizarhatod magad, ami tavolrol torteno konfiguralasnal nem jo :) Bash szkript eseten pedig csak a rontott sor nem fut le, a tobbi igen. Persze mindennek van hatranya is... -- Udvozlettel Zsiga
On 2002 Oct 15, Kosa Attila wrote:
On Tue, Oct 15, 2002 at 03:10:56PM +0200, Balazs Scheidler wrote:
On Tue, Oct 15, 2002 at 12:14:44PM +0200, Barina Tamas wrote:
Akkor szerinted ezt a láncot, tablat jol epitettem fel? Tudok valami extra opciokat beletenni?
(ertsd: egy iptables-restore kb. akkora terhelest okoz, mint egy iptables parancs kiadasa)
Viszont ha elrontod a konfigot, akkor konnyen kizarhatod magad, ami tavolrol torteno konfiguralasnal nem jo :) Bash szkript eseten pedig csak a rontott sor nem fut le, a tobbi igen. Persze mindennek van hatranya is...
http://www.balabit.hu/downloads/ipchains-utils/ Itt talalsz egy kis progit ami a kovetkezot csinalja: ipchains.conf.var es az ipchains.conf.in konfigokbol az ipchains.conf.new-t generalja az ipchains-gen segitsegevel, amit aztan tesztelsz az ipchains-test N -el (N secundum). A script atuomatikusan N sec utan visszateszi az ipchains.conf-ot, vagyis max N sec-re tudod kizarni magad. Ha minden klappol akkor cp /etc/ipchains.conf.new /etc/ipchains.conf; /etc/init.d/ipchains-utils start Ja es van iptables-utils is, csak nincs kireleaselve, de hamarosan lesz! Udv, Höltzl Péter BalaBit IT Kft | Tel: +36 1 371-0540 | GnuPG Fingerprint: holtzl.peter@balabit.hu | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F http://www.balabit.hu/ | Fax: +36 1 208-0875 | 4586 CEAF 9678 4A89 CFD6
On Tue, Oct 15, 2002 at 04:04:40PM +0200, HOLTZL Peter wrote:
On 2002 Oct 15, Kosa Attila wrote:
(ertsd: egy iptables-restore kb. akkora terhelest okoz, mint egy iptables parancs kiadasa)
Viszont ha elrontod a konfigot, akkor konnyen kizarhatod magad,
Ismerem :)
ipchains.conf.var es az ipchains.conf.in konfigokbol az ipchains.conf.new-t generalja az ipchains-gen segitsegevel, amit aztan tesztelsz az ipchains-test N -el (N secundum). A script atuomatikusan N sec utan visszateszi az ipchains.conf-ot, vagyis max N sec-re tudod kizarni magad. Ha minden klappol akkor cp /etc/ipchains.conf.new /etc/ipchains.conf; /etc/init.d/ipchains-utils start
Mennyivel egyszerubb ez a bash szkript lefuttatasanal, es egy ipchains-save > /etc/ipc.conf lefuttatasanal? Ez utobbira is csak azert van szukseg, hogy a rendszer indulasakor onnan tudja felhuzni egy ipchains-restore segitsegevel. De mindegy, mindenki a sajat szaja ize szerint csinalja ezeket a dolgokat... -- Udvozlettel Zsiga
On Tue, Oct 15, 2002 at 03:59:06PM +0200, Kosa Attila wrote:
On Tue, Oct 15, 2002 at 03:10:56PM +0200, Balazs Scheidler wrote:
On Tue, Oct 15, 2002 at 12:14:44PM +0200, Barina Tamas wrote:
Akkor szerinted ezt a láncot, tablat jol epitettem fel? Tudok valami extra opciokat beletenni?
(ertsd: egy iptables-restore kb. akkora terhelest okoz, mint egy iptables parancs kiadasa)
Viszont ha elrontod a konfigot, akkor konnyen kizarhatod magad, ami tavolrol torteno konfiguralasnal nem jo :) Bash szkript eseten pedig csak a rontott sor nem fut le, a tobbi igen. Persze mindennek van hatranya is...
ez iptables-re mar nem igaz, ugyanis egy restore az egy tranzakcio. ha nem sikerul, akkor marad az eredeti. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Balazs Scheidler wrote:
erdemes a lancokat iranyoknak megfeleloen felepiteni. esetleg iptables-save, iptables-restore formatumban dolgozni, mert az sokkal gyorsabban betoltodik.
Jut is eszembe: zorp-ot védő iptablest érdemes statefullra csinálni? -- Pfuj, zsarus lett a kezem!
On Tue, Oct 15, 2002 at 04:13:04PM +0200, Gabor Halasz wrote:
Balazs Scheidler wrote:
erdemes a lancokat iranyoknak megfeleloen felepiteni. esetleg iptables-save, iptables-restore formatumban dolgozni, mert az sokkal gyorsabban betoltodik.
Jut is eszembe: zorp-ot védő iptablest érdemes statefullra csinálni?
nem, ha nem forwardolsz semmit, akkor nem. a zorp terminalja a TCP kapcsolatot, ami sokkal tobbmindent ellenoriz mint a conntrack. Persze ha nem bizol a Linux-os IP stackben, akkor segithet ;) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Mi is ez a zorpot védő dolog?? Gabor Halasz írta:
Balazs Scheidler wrote:
erdemes a lancokat iranyoknak megfeleloen felepiteni. esetleg iptables-save, iptables-restore formatumban dolgozni, mert az sokkal gyorsabban betoltodik.
Jut is eszembe: zorp-ot védő iptablest érdemes statefullra csinálni?
-- Regards/Tisztelettel: Barina Tamás + 36 30 250 3863 ------------------------------------- 1123 Budapest, Alkotás út 39/C Tel.: +36 1 457 7690 Fax: +36 1 457 7699 PGP KeyID: 0xAC43C74F Fingerprint: 11AE 0464 7428 3DD8 470D 9A51 DD55 AB3B AC43 C74F
Barina Tamas wrote:
Mi is ez a zorpot védő dolog??
Pontatlan fogalmazás. A zorpot futtató hostot védő netfilter más jobb lenne.
Így már értem. Köszönöm. Gabor Halasz írta:
Barina Tamas wrote:
Mi is ez a zorpot védő dolog??
Pontatlan fogalmazás. A zorpot futtató hostot védő netfilter más jobb lenne.
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
-- Regards/Tisztelettel: Barina Tamás + 36 30 250 3863 ------------------------------------- 1123 Budapest, Alkotás út 39/C Tel.: +36 1 457 7690 Fax: +36 1 457 7699 PGP KeyID: 0xAC43C74F Fingerprint: 11AE 0464 7428 3DD8 470D 9A51 DD55 AB3B AC43 C74F
participants (5)
-
Balazs Scheidler
-
Barina Tamas
-
Gabor Halasz
-
HOLTZL Peter
-
Kosa Attila