Udv kezdek meggargyulni :-(( atraktam a zorpot a teszt kornyezetbol a tervezett vegleges helyre leforditottam install ok atmasoltam a teszt kornyezet konfigjat a belso oldali ip valtozott azt atirtam a konfigban es a redirect scriptben igy a ket konfig egyforma csak a belso oldali cim kulonbozik a kliensen a def routot atalitottam es nem megy :-(( a log alapjan a redirect megtortenik de a zorp modul nem indul a http modul a 3128 porton figyel ha telnettel ralepek erre a portra akkor elindul a modul ha egy atmeno web redirect van arra nem indul a modul (a jelenseg a tobbi modulra is igaz) mar kernel konfig szinten osszehasonlitottam a ket gepet egyezik logreszletek redirect : Nov 9 10:22:08 fw1 kernel: Packet log: input REDIRECT 3128 eth1 PROTO=6 192.168.0.2:4107 212.40.64.1:80 L=60 S=0x10 I=12691 F=0x4000 T=64 SYN (#17) telnet a portra: Nov 9 10:31:20 fw1 zorp-plug[213]: auth_user= Nov 9 10:31:20 fw1 zorp-plug[213]: (zorp/BIHttp:0/http): session_start, module=http Nov 9 10:31:20 fw1 zorp-plug[213]: (zorp/BIHttp:0/http): client_fd=14, client_addr=AF_INET(192.168.0.2:4109) ha a kulso kabelt atdugom a teszt gepre akkor az megy Hol keverhettem el ? Udv Robit
A levelezőm azt hiszi, hogy Szucs Tibor a következőeket írta: [Nem megy neki] A Zorp hova bind-ol? A redirect-el másik portra is dobod? Figyel valaki más az adott magasságú porton akár másik IP címen? Hogy érthető legyen, elmesélek egy konfigot: belső láb IP-je 1.2.3.1 apache figyel: 0.0.0.0 80 http proxy figyel: 1.2.3.1 81 az ipchains a belülről jövő 80-as portra menő csomagokat fölnyomja 81-re Szimptóma: nem a proxy, hanem az apache kapja a csomagokat. Megoldás: apache 79-es portra, és akinek az kell, azt leredirektálni. A Linux kernel egy kicsit érdekes algoritmussal dönti el hogy egy csomag tulajdonképpen hol fog kiesni a kernelből. -- GNU GPL: csak tiszta forrásból
On Thu, 9 Nov 2000, [iso-8859-2] Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Szucs Tibor a következőeket írta: [Nem megy neki]
A Zorp hova bind-ol? A redirect-el másik portra is dobod? Figyel valaki más az adott magasságú porton akár másik IP címen? a konfig teljesen szuz 513 folott nem figyel senki (ha a zorp nem fut) root@robit:~# nmap 192.168.0.7
Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on (192.168.0.7): Port State Protocol Service 9 open tcp discard 13 open tcp daytime 22 open tcp ssh 25 open tcp smtp 37 open tcp time 79 open tcp finger 111 open tcp sunrpc 113 open tcp auth 515 open tcp printer Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds zorp inditva : a fenti + 2021 open tcp servexec 3128 open tcp squid-http a gepen nincs apache telepitve ipchains -A input -s 192.168.0.0/24 -d 0.0.0.0/0 80 -p tcp -j REDIRECT 3128 -l ipchains -A input -s 192.168.0.0/24 -d 0.0.0.0/0 80 -p udp -j REDIRECT 3128 -l Listener.Listen(SockAddr.SockAddrInet("192.168.0.7",3128),BIHttp_service) Robit
A levelezőm azt hiszi, hogy Szucs Tibor a következőeket írta:
a konfig teljesen szuz
Túl szűz is... Az az inetd meg lpd nagyon nem kéne oda...
513 folott nem figyel senki (ha a zorp nem fut)
Főként a 80 érdekel.
root@robit:~# nmap 192.168.0.7
Egy 'netstat -na' kimenete érdekelne főként.
ipchains -A input -s 192.168.0.0/24 -d 0.0.0.0/0 80 -p tcp -j REDIRECT 3128 -l ipchains -A input -s 192.168.0.0/24 -d 0.0.0.0/0 80 -p udp -j REDIRECT 3128 -l
A http nem megy udp-n, azt kihagyhatod.
Listener.Listen(SockAddr.SockAddrInet("192.168.0.7",3128),BIHttp_service)
-- GNU GPL: csak tiszta forrásból
On Thu, 9 Nov 2000, [iso-8859-2] Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Szucs Tibor a következőeket írta:
a konfig teljesen szuz
Túl szűz is... Az az inetd meg lpd nagyon nem kéne oda... igen az meg pucolasra var-t
fw1:~# netstat -na Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 192.168.0.7:3022 0.0.0.0:* LISTEN tcp 0 0 192.168.0.7:2110 0.0.0.0:* LISTEN tcp 0 0 192.168.0.7:2021 0.0.0.0:* LISTEN tcp 0 0 192.168.0.7:3128 0.0.0.0:* LISTEN tcp 0 20 192.168.0.7:22 192.168.0.2:953 ESTABLISHED tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:9 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN udp 0 0 0.0.0.0:513 0.0.0.0:* udp 0 0 0.0.0.0:9 0.0.0.0:* udp 0 0 0.0.0.0:111 0.0.0.0:* raw 0 0 0.0.0.0:1 0.0.0.0:* 7 raw 0 0 0.0.0.0:6 0.0.0.0:* 7 Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node Path unix 1 [ ] STREAM CONNECTED 179 @0000000a unix 0 [ ACC ] STREAM LISTENING 56 /dev/log unix 1 [ ] STREAM CONNECTED 91 @00000002 unix 0 [ ACC ] STREAM LISTENING 81 /dev/gpmctl unix 0 [ ACC ] STREAM LISTENING 83 /dev/printer unix 1 [ ] STREAM CONNECTED 59 @00000001 unix 1 [ ] STREAM CONNECTED 106 @00000005 unix 1 [ ] STREAM CONNECTED 180 /dev/log unix 1 [ ] STREAM CONNECTED 107 /dev/log unix 1 [ ] STREAM CONNECTED 92 /dev/log unix 1 [ ] STREAM CONNECTED 60 /dev/log fw1:~# Robit
A levelezőm azt hiszi, hogy Szucs Tibor a következőeket írta: [netstat -na] A konfigod jónak tűnik, nem az a probléma van amire tippeltem. Állítsd le a zorpot, indíts egy "nc -l -p 3128 -s 192.168.0.7" parancsot, és próbálj meg nyomulni. Ha a netcat megkapja akkor a zorppal van baj, ha nem akkor nem. -- GNU GPL: csak tiszta forrásból
On Thu, 9 Nov 2000, [iso-8859-2] Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Szucs Tibor a következőeket írta: [netstat -na]
A konfigod jónak tűnik, nem az a probléma van amire tippeltem. Állítsd le a zorpot, indíts egy "nc -l -p 3128 -s 192.168.0.7" parancsot, és próbálj meg nyomulni. Ha a netcat megkapja akkor a zorppal van baj, ha nem akkor nem.
ok a jelek szerint nem kapja meg akkor mi lehet? amit csinaltam a ket gepen telepitett csomagokat osszehasonlitottam amielyiknek ilyenhez lehet esetleg koze azt felraktam a ket kernel egyforma (atmasoltam) modulok detto zorp es a configja egyforma a packet filter script ua a redirect script a logban jelzi az atiranyitast Nov 10 15:21:49 fw1 kernel: Packet log: input REDIRECT 3128 eth1 PROTO=6 192.168.0.2:2555 212.40.65.22:80 L=60 S=0x00 I=8673 F=0x4000 T=64 SYN (#17) Deny nincs szinte biztos hogy egy apro dolog de mar ket napja nem talalom ha a zorp fut az nmap latja az adott porton figyelni a redirect szerint a csomag odaer es megsem nem ertem Udv Robit
szinte biztos hogy egy apro dolog de mar ket napja nem talalom
ha a zorp fut az nmap latja az adott porton figyelni a redirect szerint a csomag odaer es megsem nem ertem
echo 1 >/proc/sys/net/ipv4/ip_forward -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Fri, 10 Nov 2000, Balazs Scheidler wrote:
echo 1 >/proc/sys/net/ipv4/ip_forward
hogy en mekkora barom vagyok no comment koszi Udv Robit
participants (3)
-
Balazs Scheidler
-
Magosányi Árpád
-
Szucs Tibor