-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 adott a kovetkezo konfig: class IntraHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) # self.strict_header_checking = 0 self.request_headers["User-Agent"] = [HTTP_CHANGE_VALUE, "Lynx/2.8.3rel.1"] def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED self.server_ca_directory = '/etc/zorp/cas.certs' self.server_cert = '/etc/zorp/ca.crt' self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/server.crt' self.client_key = '/etc/zorp/server.key' self.client_verify_type = 0 self.stack_proxy = self.EmbeddedHttp - --- minden kulcs/cert ok, iptables ok, kliens bongeszo ok, de a logba olyan uzenet jon, hogy NameError: SSL_VERIFY akarmi, mert kiprobaltam a referenciabol az osszeset de mindre ezt mondta. ha self.verify_type akkor is ugyanez.. szerintem teljesen primitiv lehet a megoldas, csak hogy mi a hiba azt nektek kellene megmondani. Valami szintaktikai. zorp 0.8.8., linux 2.4.x jo lenne, ha valaki azt is elmagyarazna, hogy itt a client es a server mit jelent a certek szempontjabol. koszi! - ------------------------- Zákány Gergely IT Security Administrator EDS Hungarian IT Security Team "Security of information is an illusion. What is in one's mind gets into the collective consciousness (akasha), so that can be read with meditation ;-) You don't have to hack. Just 'remember'! You're the one." -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iEYEARECAAYFAjuYrMsACgkQGp+ylEhMCIWTiwCff/daGkkNboWh4bXri6RQAAa3 vOEAniMBYZe3qn773FVTk4RjMEUh6LZO =NE8A -----END PGP SIGNATURE-----
adott a kovetkezo konfig:
class IntraHttps(PsslProxy):
class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) # self.strict_header_checking = 0 self.request_headers["User-Agent"] = [HTTP_CHANGE_VALUE, "Lynx/2.8.3rel.1"]
def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED self.server_ca_directory = '/etc/zorp/cas.certs' self.server_cert = '/etc/zorp/ca.crt'
self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/server.crt' self.client_key = '/etc/zorp/server.key' self.client_verify_type = 0 self.stack_proxy = self.EmbeddedHttp - ---
minden kulcs/cert ok, iptables ok, kliens bongeszo ok, de a logba olyan uzenet jon, hogy NameError: SSL_VERIFY akarmi, mert kiprobaltam a referenciabol az osszeset de mindre ezt mondta. ha self.verify_type akkor is ugyanez..
szerintem teljesen primitiv lehet a megoldas, csak hogy mi a hiba azt nektek kellene megmondani. Valami szintaktikai.
opsz. a verify_type a 0.8-ban meg csak a commercial valtozatban van. a 0.9-ben ezt mar kiraktuk gpl ala is.
jo lenne, ha valaki azt is elmagyarazna, hogy itt a client es a server mit jelent a certek szempontjabol.
a client_ elotagok a proxy kliens oldalat, a server_ elotagok pedig a szerver oldalat jelentik. igy a kliens oldalon egy szerver tipusu certificate kell, a szerver oldalon pedig egy kliens certificate, ami viszont nem kotelezo. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Fri, 7 Sep 2001, Balazs Scheidler wrote:
opsz. a verify_type a 0.8-ban meg csak a commercial valtozatban van. a 0.9-ben ezt mar kiraktuk gpl ala is. akkor vegyetek ki a 8as referenciabol vagy tegyetek bele ;-)
akkor lehet h atallok a 091re kerdes: van szintaktijai kulonbseg a 0.8.8 es 0.9.1 kozott szal beveszi a konfigomat?
jo lenne, ha valaki azt is elmagyarazna, hogy itt a client es a server mit jelent a certek szempontjabol.
a client_ elotagok a proxy kliens oldalat, a server_ elotagok pedig a szerver oldalat jelentik. igy a kliens oldalon egy szerver tipusu certificate kell, a szerver oldalon pedig egy kliens certificate, ami viszont nem kotelezo.
szoval: szerver <-> (kliens.crt) fw (szerver.crt) <-> kliens ??? - ------------------------- Zákány Gergely IT Security Administrator "Security of information is an illusion. What is in one's mind gets into the collective consciousness (akasha), so that can be read with meditation ;-) You don't have to hack. Just 'remember'! You're the one." -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iEYEARECAAYFAjucVNYACgkQGp+ylEhMCIX/CACfe4ethpu+XPBwstk/Jz7UT3vR Go4AniXieV9uH/SMwlcehfLvXN7vu/Ki =qVAF -----END PGP SIGNATURE-----
On Mon, Sep 10, 2001 at 07:51:15AM +0200, Zákány Gergely wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Fri, 7 Sep 2001, Balazs Scheidler wrote:
opsz. a verify_type a 0.8-ban meg csak a commercial valtozatban van. a 0.9-ben ezt mar kiraktuk gpl ala is. akkor vegyetek ki a 8as referenciabol vagy tegyetek bele ;-)
akkor lehet h atallok a 091re kerdes: van szintaktijai kulonbseg a 0.8.8 es 0.9.1 kozott szal beveszi a konfigomat?
a 0.9.1-et ne probald, az _nagyon_ regi. meg a mai napon kiteszunk egy 0.9.2-t, ami mar frissebb. a commercial fejlesztesi agban vegigvittunk egy valtozonev egysegesitest, igy nehany dolog megvaltozott, viszont altalaban vannak alias-ok a regiekre. ami nagyobb valtoztatas az az, hogy kicsit megvaltozott a Chainer szerepe, szet lett vagva Chainer-re es Router-re, ahol a Router veszi at az eddigi kulonbozo Chainerek szerepet, a Chainerhez pedig nagyon ritkan kell hozzanyulni. Pl regen: Service("http", DirectedChainer(SockAddrInet('192.168.1.1', 80)), HttpProxy) Listener(SockAddrInet('192.168.1.1', 8080), "http") 0.9-ben: Service("http", HttpProxy, router=DirectedRouter(SockAddrInet('192.168.1.1', 80))) Listener(SockAddrInet('192.168.1.1', 8080), "http") A router parameter opcionalis, ha kihagyod, transzparenskent mukodik: Service("http", HttpProxy) Listener(SockAddrInet('192.168.1.1', 8080), "http")
jo lenne, ha valaki azt is elmagyarazna, hogy itt a client es a server mit jelent a certek szempontjabol.
a client_ elotagok a proxy kliens oldalat, a server_ elotagok pedig a szerver oldalat jelentik. igy a kliens oldalon egy szerver tipusu certificate kell, a szerver oldalon pedig egy kliens certificate, ami viszont nem kotelezo.
szoval:
szerver <-> (kliens.crt) fw (szerver.crt) <-> kliens ???
pontosan. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Fri, 7 Sep 2001, Balazs Scheidler wrote:
opsz. a verify_type a 0.8-ban meg csak a commercial valtozatban van. a 0.9-ben ezt mar kiraktuk gpl ala is.
Mivel tud tobbet a kommersz es mennyibe kerul? Van-e hozza adva foraskod is? Melyik zorpban van auth (pl. passwd, vagy ccard) es hogyan a http proxyhoz? ck-gw stilusu proxy-t nem terveztek? koszi! - ------------------------- Zákány Gergely IT Security Administrator "Security of information is an illusion. What is in one's mind gets into the collective consciousness (akasha), so that can be read with meditation ;-) You don't have to hack. Just 'remember'! You're the one." -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iEYEARECAAYFAjucWR4ACgkQGp+ylEhMCIW6sgCfWpDpA9eDvYORmNNH4MHs5/Sr JRwAn0PCqWtbTd19V6xaPp9vYnRTJM4i =UJk5 -----END PGP SIGNATURE-----
On Mon, Sep 10, 2001 at 08:09:31AM +0200, Zákány Gergely wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Fri, 7 Sep 2001, Balazs Scheidler wrote:
opsz. a verify_type a 0.8-ban meg csak a commercial valtozatban van. a 0.9-ben ezt mar kiraktuk gpl ala is.
Mivel tud tobbet a kommersz es mennyibe kerul?
ezt a kerdest tovabbitom a kollegamnak, majd o reagal.
Van-e hozza adva foraskod is?
alapbol nem, csak kulon megallapodas alapjan lehetseges.
Melyik zorpban van auth (pl. passwd, vagy ccard) es hogyan a http proxyhoz?
a commercialban van (passwd, ccard es skey) a http proxynal elsosorban inband auth a javasolt, mert egyebkent minden session-t authentikalna a tuzfal.
ck-gw stilusu proxy-t nem terveztek?
ehelyett nalunk outband auth van, ami azt jelenti, hogy egy auth agent fut a kliens gepen, amivel a tuzfal beszelget, ha atmeno session van. Igy a kliens elinditja a kliens programot, a tuzfal pedig visszaszol, hogy authentikald magad, amire megjelenik egy grafikus ablak. Jelenleg ilyen kliens program letezik linuxra es windows-ra. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
participants (2)
-
Balazs Scheidler
-
Zákány Gergely