Hi! No most hogy megy a zorp, be kellene konfiguralni. Alapkerdesek. Mit kell tudni az inditashoz, hogyan inditsam? A /usr/local/zorp-ban van a progi. Szoval hogy kezdjek neki? :) A /usr/local/zorp/etc-ben van a configja, igaz? Milyen nev az alapertelmezett config? Bye! ---------------------- Linux RedHat 7.1 ----------------------
Hi! Ezt miert irja ki a "zorpctl start"-ra? "Starting Zorp Firewall Suite: /usr/local/zorp/sbin/zorpctl: /usr/local/zorp/lib/zorp/zorp: No such file or directory zorp-http" A /usr/local/zorp/lib/zorp/zorp nem letezik. Mi a baja? Miert keresi? Mi az a fajl? Lehet hogy rosszul konfiguraltam. Mi kell beirni az instance.conf-ba? Bye! ---------------------- Linux RedHat 7.1 ----------------------
On 08-Oct-2001 MG wrote:
No most hogy megy a zorp, be kellene konfiguralni. Alapkerdesek. Mit kell tudni az inditashoz, hogyan inditsam? A /usr/local/zorp-ban van a progi. Szoval hogy kezdjek neki? :) A /usr/local/zorp/etc-ben van a configja, igaz? Milyen nev az alapertelmezett config?
Megoldodott. Bar nem ertem, ha a configure-val megadom hogy --prefix=/usr/local/zorp, akkor forditas utan a libeket miert keresi a /usr/lib-ben... ;-( Mind1 bemasoltam a glib-eket es a zorp-libeket a /usr/lib-be... Hol van valami log fajl, hova logol? Most nem ir ki hibat indulaskor, de nem is latom hogy futna, a "ps ax" nem hozza fel. Ezt probaltam, instances.conf: #instance arguments #zorp-http --verbose=5 --policy /etc/zorp/policy-http.py #zorp-plug --policy /etc/zorp/policy-plug.py zorp-http --policy /usr/local/zorp/etc/zorp/policy.py --verbose=5 ----------------------------------------------------------- A policy.py: from Zorp.Core import * from Zorp.Http import * InetZone("intranet", "192.168.0.0/24", outbound_services=["intra_HTTP"], inbound_services=[]) InetZone("internet", "0.0.0.0/0", outbound_services=[], inbound_services=["intra_HTTP"]) def intra(): Service("intra_HTTP", HttpProxy) Listener(SockAddrInet('192.168.0.1', 50080), "intra_HTTP") ------------------------------------------------------------ Mit szurok el? Bye! ---------------------- Linux RedHat 7.1 ----------------------
On Mon, 8 Oct 2001, MG wrote:
Megoldodott. Bar nem ertem, ha a configure-val megadom hogy --prefix=/usr/local/zorp, akkor forditas utan a libeket miert keresi a /usr/lib-ben... ;-( Mind1 bemasoltam a glib-eket es a zorp-libeket a /usr/lib-be...
Talán módosítani kellett volna az ld.so.conf-ot... Vagy legalább az LD_LIBRARY_PATH-ot. -- Ervin
On 09-Oct-2001 Dologh Ervin wrote:
Tal�n m�dos�tani kellett volna az ld.so.conf-ot... Vagy legal�bb az LD_LIBRARY_PATH-ot.
Marmint "edit ld.so.conf" es ldconfig futtat? De ha ugy forditom a progit, hogy --prefix=/usr/local/zorp, akkor nem ezalatt kellene keresnie a tobbi fajlt is, a libeket is? Vegulis mind1... A konfiguralassal kapcsolatban tudtok segiteni? A zorp elindul, ill. elindulna mivel semmi hibauzenet. A fut processek kozott nem latni. Mit csinaltam rosszul. Mi kell az instance.conf-ba? Bye! ---------------------- Linux RedHat 6.2/7.1 ----------------------
MG ................................................. (2001. október 09.) Hi!
Marmint "edit ld.so.conf" es ldconfig futtat? De ha ugy forditom a progit, hogy echo "/usr/local/lib">>/etc/ld.so.conf;ldconfig
A konfiguralassal kapcsolatban tudtok segiteni? A zorp elindul, ill. elindulna mivel semmi hibauzenet. A fut processek kozott nem latni. Mit csinaltam rosszul. ipchains vagy iptables van nálad? s hogy módosítottad az ipcahis konfigod a Zorp mellé?
kisza -- Kis-Szabo Andras BUTE - Schonherz Dormitory ---------------------------/ Favourite tools: Zorp, NetFilter kisza@sch.bme.hu /---Member of the BUTE-MIS-SEARCHlab--->>>>>.Info
On 09-Oct-2001 Kis-Szabo Andras wrote:
ipchains vagy iptables van n�lad?
ipchains.
s hogy m�dos�tottad az ipcahis konfigod a Zorp mell�?
Ez lett volna a kovetkezo kerdesem. Mit kell modositani az ipchains szabalyaiban, hogy a zorp mellett mukodjon? Modemes (dinamikus IP cim) kapcsolat eseten kell valamire figyelni? Jelenleg az ipchains scriptem igy nez ki, mindent enged kifele, befele csak a valaszcsomagokat: #!/bin/bash modprobe ipchains # a ppp0 eszkoz lokalis, dinamikus IP cime (szolgaltato altal kiosztott) PPP_LOCALIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | cut -b6-`" # Anti-spoofing, "forrascim hitelesites" for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done # IP forward echo 1 > /proc/sys/net/ipv4/ip_forward # TUZFAL -- MASQ # A lancok letrehozasa ipchains -N good-bad ipchains -N bad-good ipchains -N icmp-acc ipchains -N bad-if ipchains -N good-if ###################### # Az input lanc # internet -> gateway forgalom a bad-if lancra ipchains -A input -i ppp0 -j bad-if # good -> gateway forgalom a good-if lancra ipchains -A input -d 10.0.0.1 -i eth0 -j good-if # "portszkenneles" a szerverrol mukodjon ipchains -A input -d 10.0.0.1 -i lo -j good-if ipchains -A input -d $PPP_LOCALIP -i ppp0 -j good-if ipchains -A input -d $PPP_LOCALIP -i lo -j good-if # Loopback engedelyezese ipchains -A input -s 127.0.0.1 -j ACCEPT # Minden good-tol jovo am nem a gw-nek szolo csomag engedese ipchains -A input -i eth0 -j ACCEPT # Minden egyeb tiltasa ipchains -A input -j DENY -l # input lanc vege ###################### # A forward lanc # belso halo(good) -> internet(bad) forgalom a good-bad lancra kerul ipchains -A forward -s 10.0.0.0/8 -i ppp0 -j good-bad # internet -> belso halo forgalom a bad-good lancra kerul ipchains -A forward -i eth0 -j bad-good # minden mas ( ilyen nem fordulhat elo tiltva vagyon es loggolasra kerul) ipchains -A forward -j DENY -l # forward vege ##################### # bad-good lanc #csak a valasz csomagokat engedjuk be ezeket a kernel maszkolja es #nem kerulnek a forward lancra # minden egyeb megmaradt csomagot elutasitunk es logolunk ipchains -A bad-good -j DENY -l # bad-good lanc vege #################### # good-bad lanc # minden kimeno csomagot engedunk, de tehetunk korlatozasokat ipchains -A good-bad -j MASQ # good-bad vege ################### # bad-if lanc # elfogadjuk a masquerade-�lt csomagok v�laszait ipchains -A bad-if -p TCP --dport 61000:65096 -j ACCEPT ipchains -A bad-if -p UDP --dport 61000:65096 -j ACCEPT # minden DNS udp valaszat elfogadjuk ipchains -A bad-if -p udp -s 0/0 domain -j ACCEPT #minden tcp valaszcsomag bejohet ipchains -A bad-if -p tcp ! -y -j ACCEPT # pingre adott valaszt beengedjuk ipchains -A bad-if -p icmp --icmp-type pong -j ACCEPT # minden icmp csomagot az icmp-acc lancra kuldunk ipchains -A bad-if -p icmp -j icmp-acc # minden egyeb megmaradt csomagot elutasitunk es logolunk # ipchains -A bad-if -j DENY -l ipchains -A bad-if -j REJECT -l # bad-if vege ################## # good-if lanc # mindent engedunk ipchains -A good-if -j ACCEPT # good-if vege ################# # az icmp-acc lanc # minden icmp hiba uzenet engedese ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT #az icmp-acc lanc vege ################# -------------------------------------------------------- Bocs hogy beideztem a scriptemet. :) (Akinek kell hasznalja fel.) Szoval mi "kell/nem kell" a zorpnak? Bye! ---------------------- Linux RedHat 6.2/7.1 ----------------------
On Tue, Oct 09, 2001 at 01:49:09PM +0200, MG wrote:
Ez lett volna a kovetkezo kerdesem. Mit kell modositani az ipchains szabalyaiban, hogy a zorp mellett mukodjon?
Azt szeretnem javasolni, hogy olvass bele az archivumba. Jol kivesezve megtalalhato benne legalabb egy teljes konfig (igaz, picit regebbi, de az alapelvek megertesehez megfelel). -- Udvozlettel Zsiga
On 09-Oct-2001 Kosa Attila wrote:
Azt szeretnem javasolni, hogy olvass bele az archivumba. Jol kivesezve megtalalhato benne legalabb egy teljes konfig (igaz, picit regebbi, de az alapelvek megertesehez megfelel).
Azert megkoszonnem, hogyha segitene valaki, mert az archivumban egy ipchains levelet talaltam. :( A lenyegre lennek kivancsi en is. Vagy kuld el azt a mailt, mert en nem talalom. Koszi! Bye! ---------------------- Linux RedHat 6.2/7.1 ----------------------
On Tue, Oct 09, 2001 at 01:49:09PM +0200, MG wrote:
On 09-Oct-2001 Kis-Szabo Andras wrote:
ipchains vagy iptables van nálad?
ipchains.
s hogy módosítottad az ipcahis konfigod a Zorp mellé?
Ez lett volna a kovetkezo kerdesem. Mit kell modositani az ipchains szabalyaiban, hogy a zorp mellett mukodjon?
Modemes (dinamikus IP cim) kapcsolat eseten kell valamire figyelni?
tulajdonkeppen azokat a szolgaltatasokat, amiket proxyn akarsz atengedni azokhoz kell egy REDIRECT szabaly, mas _kovetelmenye_ a zorpnak nincsen (tehat atmeno kapcsolatok redirect, kulso oldalon pedig nyilvan kepes legyen kapcsolatot letrehozni). Ezzel szemben _erdemes_ olyan konfiguraciot kialakitani, ami _minden_ forgalmat proxyn enged keresztul, es letiltani a forwardingot (DENY a forward chain-be) a scriptedet sajnos nincs idom atnezni, amire figyelni kell meg: ip_forward bekapcs (de DENY rule a forward chainbe) rp_filter kikapcs (de helyettesito szabalyok az input chain-be) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Tue, Oct 09, 2001 at 03:35:54PM +0200, Balazs Scheidler wrote:
a scriptedet sajnos nincs idom atnezni, amire figyelni kell meg:
ip_forward bekapcs (de DENY rule a forward chainbe) rp_filter kikapcs (de helyettesito szabalyok az input chain-be)
A masik listan otlott a szemembe a fenti mondat. Miert is kellene kikapcsolni az rp_filtert? -- Udvozlettel Zsiga
On Tue, Oct 16, 2001 at 04:28:42PM +0200, Kosa Attila wrote:
On Tue, Oct 09, 2001 at 03:35:54PM +0200, Balazs Scheidler wrote:
a scriptedet sajnos nincs idom atnezni, amire figyelni kell meg:
ip_forward bekapcs (de DENY rule a forward chainbe) rp_filter kikapcs (de helyettesito szabalyok az input chain-be)
A masik listan otlott a szemembe a fenti mondat. Miert is kellene kikapcsolni az rp_filtert?
probalj DMZ-be helyezni egy webszervert, ami fele hamisitod a kliens IP cimeket forge_addr-al (vagy FakeClientSourceNAT-tal 1.4-ben) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Wed, Oct 17, 2001 at 07:15:42PM +0200, Balazs Scheidler wrote:
On Tue, Oct 16, 2001 at 04:28:42PM +0200, Kosa Attila wrote:
On Tue, Oct 09, 2001 at 03:35:54PM +0200, Balazs Scheidler wrote:
rp_filter kikapcs (de helyettesito szabalyok az input chain-be)
A masik listan otlott a szemembe a fenti mondat. Miert is kellene kikapcsolni az rp_filtert?
probalj DMZ-be helyezni egy webszervert, ami fele hamisitod a kliens IP cimeket forge_addr-al (vagy FakeClientSourceNAT-tal 1.4-ben)
Miert hamisitanam a sajat webszerverem fele meno keresek cimeit? Milyen okom lenne ra? Mert forge_addr=1 opcioval nem vettem eszre semmilyen problemat. Elkerulte valami a figyelmemet? Egyebkent minek kellene tortennie az altalad vazolt esetben, es mit kellene latni belole? -- Udvozlettel Zsiga
On Tue, Oct 09, 2001 at 08:21:33AM +0200, MG wrote:
On 09-Oct-2001 Dologh Ervin wrote:
Talán módosítani kellett volna az ld.so.conf-ot... Vagy legalább az LD_LIBRARY_PATH-ot.
Marmint "edit ld.so.conf" es ldconfig futtat? De ha ugy forditom a progit, hogy --prefix=/usr/local/zorp, akkor nem ezalatt kellene keresnie a tobbi fajlt is, a libeket is? Vegulis mind1...
nem. a --prefix a _celt_ adja meg. a libeket alapbol nem ott keresi, de megadhato, hogy hol keresse egyreszt az LDFLAGS kornyezeti valtozoval, masreszt azzal, hogy a glib-config scriptet onnan eri el. (az ui. megmondja, hogy a glib hova telepult)
A konfiguralassal kapcsolatban tudtok segiteni? A zorp elindul, ill. elindulna mivel semmi hibauzenet. A fut processek kozott nem latni. Mit csinaltam rosszul. Mi kell az instance.conf-ba?
less /var/log/syslog|messages|... -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Hi!
Ezt probaltam, instances.conf: #instance arguments #zorp-http --verbose=5 --policy /etc/zorp/policy-http.py #zorp-plug --policy /etc/zorp/policy-plug.py zorp-http --policy /usr/local/zorp/etc/zorp/policy.py --verbose=5
-----------------------------------------------------------
A policy.py: from Zorp.Core import * from Zorp.Http import *
InetZone("intranet", "10.0.0.0/24", outbound_services=["intra_HTTP"], inbound_services=[])
InetZone("internet", "0.0.0.0/0", outbound_services=[], inbound_services=["intra_HTTP"])
def intra(): Service("intra_HTTP", HttpProxy) Listener(SockAddrInet('10.0.0.1', 50080), "intra_HTTP")
------------------------------------------------------------
Szoval ez van a logban: Oct 10 00:07:30 server zorp-http[4332]: Verbosity level: 5 Oct 10 00:07:30 server zorp-http[4332]: zorp version 1.4.0rc2 starting up Oct 10 00:07:31 server zorp-http[4332]: Zone(intranet): outbound service=intra_HTTP Oct 10 00:07:31 server zorp-http[4332]: Zone(internet): inbound service=intra_HTTP Oct 10 00:07:31 server zorp-http[4332]: Instance definition not found in policy. Oct 10 00:07:31 server zorp-http[4334]: (zorp/nosession): Traceback (innermost last): Oct 10 00:07:31 server zorp-http[4334]: (zorp/nosession): File "/usr/local/zorp/share/zorp/pylib/Zorp/Zorp.py", line 139, in init Oct 10 00:07:31 server zorp-http[4334]: (zorp/nosession): func() Oct 10 00:07:31 server zorp-http[4334]: (zorp/nosession): NameError: func Oct 10 00:07:31 server zorp-http[4332]: (zorp/nosession): Error initializing policy Oct 10 00:07:31 server zorp-http[4332]: zorp version 1.4.0rc2 going down. Mi a baj? Bye! ---------------------- Linux RedHat 7.1 ----------------------
participants (5)
-
Balazs Scheidler
-
Dologh Ervin
-
Kis-Szabo Andras
-
Kosa Attila
-
MG