Helo! En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset. -- Gabor HALASZ <halasz.g@freemail.hu>
Helo! Az rmmod kzorp a $subject-et csinalja. Az ipt_service es nfnetlink_kzorp meg eltavolithato. Ez a kernel: Linux [...] 2.6.17-zorpos-4-386 #1 SMP Wed Mar 26 13:38:45 UTC 2008 i686 GNU/Linux -- Gabor HALASZ <halasz.g@freemail.hu>
On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
Helo!
En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset.
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett. Regebben pont igeny volt, hogy a nem engedelyezett iranyok ne menjenek fel a Zorpig, igy sokkal kevesbe terhelik a tuzfalat. -- Bazsi
On Tue, Jan 27, 2009 at 11:36:31AM +0100, Balazs Scheidler wrote:
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett. Regebben pont igeny volt, hogy a nem engedelyezett iranyok ne menjenek fel a Zorpig, igy sokkal kevesbe terhelik a tuzfalat.
Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt eleg az iptables, miert kellett egy ujabb kernelmodul. -- Udvozlettel Zsiga
Kosa Attila wrote:
Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt eleg az iptables, miert kellett egy ujabb kernelmodul.
Az a kisebbik baj. A nagyobbik, hogy nem logolja az eldobott csomagokat (nalam legalabbis nem), igy hasznalhatatlan. Most csak egy napja kerestem, hova lesznek egyes csomagjaim.... -- Gabor HALASZ <halasz.g@freemail.hu>
Hi! On Tue, 2009-01-27 at 12:26 +0100, Gabor HALASZ wrote:
Az a kisebbik baj. A nagyobbik, hogy nem logolja az eldobott csomagokat (nalam legalabbis nem), igy hasznalhatatlan. Most csak egy napja kerestem, hova lesznek egyes csomagjaim....
De szerintem logolnia kellene. Ami ebbe beleszolhat az a kernel-es logokra a rate limit. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
On Tue, 2009-01-27 at 11:40 +0100, Kosa Attila wrote:
On Tue, Jan 27, 2009 at 11:36:31AM +0100, Balazs Scheidler wrote:
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett. Regebben pont igeny volt, hogy a nem engedelyezett iranyok ne menjenek fel a Zorpig, igy sokkal kevesbe terhelik a tuzfalat.
Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt eleg az iptables, miert kellett egy ujabb kernelmodul.
A KZorp zona alapu access controlt hasznal, mikozben az iptables IP subnet alaput. Ezt modellezni iptables rule-okkal akkor csomagszuro szabalyrendszert jelentett volna, ami jelentos teljesitmenycsokkenest okozna. A KZorp kozvetlenul a Zorp konfigbol dolgozik, raadasul az elvegzendo muvelet hash table lookup alapjan derul ki, nem kell rengeteg szabalyt iteralni, ami lassu. -- Bazsi
Hi All! On Tue, 2009-01-27 at 11:40 +0100, Kosa Attila wrote:
Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt eleg az iptables, miert kellett egy ujabb kernelmodul.
A KZorp nem ezen igeny kielegitesere jott letre. Ez csak egy hasznos mellektermek. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, Jan 28, 2009 at 02:13:55PM +0100, Szalay Attila wrote:
On Tue, 2009-01-27 at 11:40 +0100, Kosa Attila wrote:
Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt eleg az iptables, miert kellett egy ujabb kernelmodul.
A KZorp nem ezen igeny kielegitesere jott letre. Ez csak egy hasznos mellektermek.
Szand meg tudatlan fejemet, es aruld el, hogy milyen igeny kielegitesere jott letre... :) -- Udvozlettel Zsiga
On Wed, 2009-01-28 at 20:48 +0100, Kosa Attila wrote:
Szand meg tudatlan fejemet, es aruld el, hogy milyen igeny kielegitesere jott letre... :)
A Kzorp (mint ahogy azt mar Bazsi meg is irta) azon igenyre szuletett valaszul, hogy olyan kapcsolatokat, amiket nem akarnak/nem tudnak Zorp-on keresztulengedni (pl. teljesitmeny problemak) megis egyseges feluletrol lehessen konfiguralni. Vagyis, hogy az iptables-t zorp stilusban lehessen konfiguralni (DAC, NAT, stb.) -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
A Kzorp (mint ahogy azt mar Bazsi meg is irta) azon igenyre szuletett valaszul, hogy olyan kapcsolatokat, amiket nem akarnak/nem tudnak Zorp-on keresztulengedni (pl. teljesitmeny problemak) megis egyseges feluletrol lehessen konfiguralni.
Akkor aruld mar el a masik tudatlannak, miert nem lehet a zmc-vel olyan forward szabalyt krealni, amiben zone matcher van? -- Gabor HALASZ <halasz.g@freemail.hu>
Balazs Scheidler wrote:
On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
Helo!
En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset.
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett.
Hogyan juthatok a user altal ertekelheto hibauzenethez? -- Gabor HALASZ <halasz.g@freemail.hu>
On Tue, 2009-01-27 at 11:49 +0100, Gabor HALASZ wrote:
Balazs Scheidler wrote:
On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
Helo!
En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset.
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett.
Hogyan juthatok a user altal ertekelheto hibauzenethez?
arra gondolsz, hogy a DAC policy violation-on kivul? -- Bazsi
Balazs Scheidler wrote:
On Tue, 2009-01-27 at 11:49 +0100, Gabor HALASZ wrote:
Balazs Scheidler wrote:
On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
Helo!
En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset.
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett. Hogyan juthatok a user altal ertekelheto hibauzenethez?
arra gondolsz, hogy a DAC policy violation-on kivul?
Eppen az a bajom, hogy nem jon elo a dac violation page, csak varakozik a pl browser (nyilvan, ha drop-olodnak a csomagok). -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, 2009-01-28 at 09:56 +0100, Gabor HALASZ wrote:
Balazs Scheidler wrote:
On Tue, 2009-01-27 at 11:49 +0100, Gabor HALASZ wrote:
Balazs Scheidler wrote:
On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
Helo!
En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset.
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett. Hogyan juthatok a user altal ertekelheto hibauzenethez?
arra gondolsz, hogy a DAC policy violation-on kivul?
Eppen az a bajom, hogy nem jon elo a dac violation page, csak varakozik a pl browser (nyilvan, ha drop-olodnak a csomagok).
DAC policy violation page eddig sem jott, mivel ilyen esetben a proxy el sem indul. Eddig sem indult el, csak letrejott a kapcsolat, es aztan lezarult, adatforgalom nelkul. DAC policy violation page csak akkor jon, ha a szerver oldalon nem engedelyezett a forgalom (mert ilyenkor mar a proxy fut, es tud HTTP-s hibaoldalt adni). Azt meg tudjuk tenni, hogy ilyen esetekben ne DROP, hanem REJECT legyen a default mukodes, azaz, hogy a Zorp kuldjon vissza egy RST csomagot, ami ekvivalens egy "Connection refused"-dal. Az megfelelo megoldas lenne? -- Bazsi
Balazs Scheidler wrote:
Azt meg tudjuk tenni, hogy ilyen esetekben ne DROP, hanem REJECT legyen a default mukodes, azaz, hogy a Zorp kuldjon vissza egy RST csomagot, ami ekvivalens egy "Connection refused"-dal.
Az megfelelo megoldas lenne?
Szerintem egy-ket modul parameter (vagy valami mas) nem artana, amivel ilyesmit lehet szabalyozni. A masik problemam a logolas hianya, amikor a gumicsizma internetszolgaltato bt altal biztositott privatip-s kliensnek nem megy szolgaltatas, akkor szeretem konkretan tudni, hogy elakad valahol a forgalom vagy a tuzfal dobalja el. -- Gabor HALASZ <halasz.g@freemail.hu>
Hi All! On Wed, 2009-01-28 at 10:30 +0100, Gabor HALASZ wrote:
Szerintem egy-ket modul parameter (vagy valami mas) nem artana, amivel ilyesmit lehet szabalyozni. A masik problemam a logolas hianya, amikor a gumicsizma internetszolgaltato bt altal biztositott privatip-s kliensnek nem megy szolgaltatas, akkor szeretem konkretan tudni, hogy elakad valahol a forgalom vagy a tuzfal dobalja el.
Minden ilyen eldobott kapcsolatrol kell lennie egy log bejegyzesnek. Ez a mostani allas szerint kb. igy nez ki: printk(KERN_INFO "kzorp: Dispatcher found without valid (client zone, " "server zone, service) triplet; dropping packet; " "src='%u.%u.%u.%u:%u', dst='%u.%u.%u.%u:%u'\n", NIPQUAD(iph->saddr), ntohs(ports->src), NIPQUAD(iph->daddr), ntohs(ports->dst)); Tudom, hogy a kiiras nem a legszerencsesebb, javitasa marciusban varhato. Theat loguzenet van rola. Masik lehetoseg, hogy a kerneles rate limit nem logolja ki. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
Minden ilyen eldobott kapcsolatrol kell lennie egy log bejegyzesnek. Ez a mostani allas szerint kb. igy nez ki:
printk(KERN_INFO "kzorp: Dispatcher found without valid (client zone, " "server zone, service) triplet; dropping packet; " "src='%u.%u.%u.%u:%u', dst='%u.%u.%u.%u:%u'\n", NIPQUAD(iph->saddr), ntohs(ports->src), NIPQUAD(iph->daddr), ntohs(ports->dst));
Meg csak hasonlo sincs.
Tudom, hogy a kiiras nem a legszerencsesebb, javitasa marciusban varhato. Theat loguzenet van rola.
Masik lehetoseg, hogy a kerneles rate limit nem logolja ki.
Kizart, itt all mellettem a gep. -- Gabor HALASZ <halasz.g@freemail.hu>
On Wed, 2009-01-28 at 14:35 +0100, Gabor HALASZ wrote:
Szalay Attila wrote:
Minden ilyen eldobott kapcsolatrol kell lennie egy log bejegyzesnek. Ez a mostani allas szerint kb. igy nez ki:
printk(KERN_INFO "kzorp: Dispatcher found without valid (client zone, " "server zone, service) triplet; dropping packet; " "src='%u.%u.%u.%u:%u', dst='%u.%u.%u.%u:%u'\n", NIPQUAD(iph->saddr), ntohs(ports->src), NIPQUAD(iph->daddr), ntohs(ports->dst));
Meg csak hasonlo sincs.
Milyen verzioju kernel?
Masik lehetoseg, hogy a kerneles rate limit nem logolja ki.
Kizart, itt all mellettem a gep.
Ezt most annyira nem ertem. A keresett uzenet egy kernel-es uzenet, amire mindenkeppen vonatkozik valamilyen foku rate limit. (Ha nem kapcsolja ki az ember.) Vagy arra gondolsz, hogy biztosan nincs rajta akkora forgalom? -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
Meg csak hasonlo sincs.
Milyen verzioju kernel?
Ami a telepitocd-n van.
Masik lehetoseg, hogy a kerneles rate limit nem logolja ki. Kizart, itt all mellettem a gep.
Ezt most annyira nem ertem. A keresett uzenet egy kernel-es uzenet, amire mindenkeppen vonatkozik valamilyen foku rate limit. (Ha nem kapcsolja ki az ember.)
Vagy arra gondolsz, hogy biztosan nincs rajta akkora forgalom?
Mindentol szeparalt tesztkornyezet, a halozatot is egy megfeleloen konfiguralt switch kepezi, szal forgalom csak akkor van, ha csinalok ra. -- Gabor HALASZ <halasz.g@freemail.hu>
Hi All! On Wed, 2009-01-28 at 17:18 +0100, Gabor HALASZ wrote:
Ami a telepitocd-n van.
Akkor menjunk tovabb. Milyen verzioju a telepito CD? -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
Hi All!
On Wed, 2009-01-28 at 17:18 +0100, Gabor HALASZ wrote:
Ami a telepitocd-n van.
Akkor menjunk tovabb. Milyen verzioju a telepito CD?
Most meg tudom nezni, tehat: Linux iris 2.6.17-zorpos-4-386 #1 SMP Wed Mar 26 13:38:45 UTC 2008 i686 GNU/Linux A zorp: Jan 29 10:03:55 iris zorp/Wan[3129]: core.debug(0): (nosession): Starting up; verbose_level='5', version='3.3.1b', startup_id='1233219835' Jan 29 10:03:55 iris zorp/Wan[3129]: core.license(0): (nosession): License information; product='Zorp Professional Single Edition', version='3.3', limit='400', customer='', options='basic-proxies, ssh-proxy' Viszont gyanitom, hol a problema. Kinomvab csinaltam egy non-transparent tcp proxyt dispatcherrel, ami directedrouterrel tovabbitana a forgalmat, ami szepen mukodik is (nincs mogotte a szerver): zorp/Wan[5303]: core.session(3): (svc/Vpn3k:1): Starting proxy instance; client_fd='21', client_address='AF_INET(x.x.x.x:57926)', client_zone='Zone(Internet, 0.0.0.0/0)', client_local=' AF_INET(x.x.x.x:10000)', client_protocol='TCP' zorp/Wan[5303]: core.error(2): (svc/Vpn3k:1/plug): Connection to remote end failed; local='AF_INET(192.168.104.252:56194)', remote='AF_INET(192.168.104.254:10000)', error='No route to host' zorp/Wan[5303]: core.session(3): (svc/Vpn3k:1/plug): Server connection failure; server_address='AF_INET(192.168.104.254:10000)', server_zone='Zone(Cisco3kVpn, 192.168.104.0/24)', server_local ='None', server_protocol='TCP' Ezutan atkattintgatam zonedispatcherre, es ettol el is romlott: zorp/Wan[5719]: core.policy(2): (nosession): No applicable service found for this client & server zone; bindto='ZPolicyStruct object type DBSockAddr', client_zone='Zone(Internet, 0.0.0.0/0)', server_zone='Zone(Internet, 0.0.0.0/0)' zorp/Wan[5719]: core.policy(1): (svc): DAC policy violation; info='No applicable service found' iris zorp/Wan[5719]: core.policy(1): (nosession): Connection denied by policy; protocol='1', remote='AF_INET(x.x.x.x:37992)', local='AF_INET(x.x.x.x:10000)', dest='AF_INET(x.x.x.x:10000)' Ha jol ertem, a zonedispatcher csak transparens proxykent mukodik? Bonuszkerdes: a zmc-vel keszult konfigot hogyan tudom backupolni? -- Gabor HALASZ <halasz.g@freemail.hu>
Hi All! On Thu, 2009-01-29 at 10:57 +0100, Gabor HALASZ wrote:
Linux iris 2.6.17-zorpos-4-386 #1 SMP Wed Mar 26 13:38:45 UTC 2008 i686 GNU/Linux
Ez egy nagyon regi valtozat. Honnan van a CD? Legy szives toltsd le a legujabb CD-t a weblaprol.
Ezutan atkattintgatam zonedispatcherre, es ettol el is romlott:
[...]
Ha jol ertem, a zonedispatcher csak transparens proxykent mukodik?
Nem. Viszont a CSZoneDispatcher a kliens eredeti cel IP cimet latja. Vagyis nem transzparens esetben a tuzfal ip cime a szerver cime.
Bonuszkerdes: a zmc-vel keszult konfigot hogyan tudom backupolni?
A /var/lib/zms/backup konyvtar elmentesevel. Ha oda valamiert nem keletkezne egyetlen file sem, akkor a Management Server-nel a Globals/Backup-ban erdemes megnezni, hogy be van-e kapcsolava a backup funkcio. Itt egyebkent kulso progit is megadhatsz, amivel mented a /var/lib/zms tartalmat. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
Hi All!
On Thu, 2009-01-29 at 10:57 +0100, Gabor HALASZ wrote:
Linux iris 2.6.17-zorpos-4-386 #1 SMP Wed Mar 26 13:38:45 UTC 2008 i686 GNU/Linux
Ez egy nagyon regi valtozat. Honnan van a CD?
Valami Balabit nevu ceg kuldte...
Legy szives toltsd le a legujabb CD-t a weblaprol.
Legyszives rakjatok be a repositorieba, hogy az apt szoljon erte.
Ezutan atkattintgatam zonedispatcherre, es ettol el is romlott: [...] Ha jol ertem, a zonedispatcher csak transparens proxykent mukodik?
Nem. Viszont a CSZoneDispatcher a kliens eredeti cel IP cimet latja. Vagyis nem transzparens esetben a tuzfal ip cime a szerver cime.
Bonuszkerdes: a zmc-vel keszult konfigot hogyan tudom backupolni?
A /var/lib/zms/backup konyvtar elmentesevel.
Nem daily backupra lenne szuksegem, azt amugy is keszul automatikusan. Arra lenne szuksegem (illetve az ugyfelnek), hogy mielott leul osszekattintgatni a zmcben valamit, tudjon egy backupot csinalni, majd ha nem sikerul valami a valtoztatgatason, akkor minel rovidebb ido alatt vissza tudja csinalni. -- Gabor HALASZ <halasz.g@freemail.hu>
Hi All! On Tue, 2009-02-03 at 14:47 +0100, Gabor HALASZ wrote:
Valami Balabit nevu ceg kuldte...
Arra lettem volna kivancsi, hogy milyen verzioju CD volt. De nagyjabol valaszt kaptam ra.
Legy szives toltsd le a legujabb CD-t a weblaprol.
Legyszives rakjatok be a repositorieba, hogy az apt szoljon erte.
Benne van. A problemat az okozhatja, hogy miota azt a CD-t megkaptad (legalabbis a kernel verziojabol erre kovetkeztetek) az apt repository cime megvaltozott. (Ahogy az az uj verziok announcement-jeben szerepel is: FRISSÍTÉS: A Zorp 3.3R2 korábbi kiadásairól a Zorp 3.3R2d kiadásra történő sikeres frissítés érdekében jelentkezzen be a Zorp hosztra és adja ki az alábbi parancsokat. # apt-get update; apt-get -u dist-upgrade A Zorp 3.3R2e kiadásra Zorp 3.3R1 kiadásról történő sikeres frissítés érdekében a Zorp hosztokon a /etc/apt/sources.list fájlt kézzel módosítani kell. (Zorp 3.1-ről Zorp 3.3R2-re frissítéshez használja a Zorp 3.3R2e CD-ROM-on található upgrade.sh szkriptet.) A frissítéshez az alábbi lépéseket hajtsa végre: 1. Jelentkezzen be a Zorp hosztra lokálisan, vagy távolról SSH kapcsolaton keresztül. 2. Nyissa meg a /etc/apt/sources.list fájlt egy szövegszerkesztővel (pl. vi, nano). - Ha mindig a legfrissebb Zorp kiadást és biztonsági frissítéseket akarja használni, cserélje ki a fájl tartalmát az alábbiakra (a FELHASZNÁLÓNÉV:JELSZÓ helyére a tényleges felhasználónevét és jelszavát írva): deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3latest main zorp-os-extra deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3latest zorp zas zcv zms deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3security zorp-os zorp-os-extra MEGJEGYZÉS: Ha a MyBalabit hozzáférését használja az apt tároló eléréséhez, a USERNAME a regisztráláshoz használt e-mail címmel egyezik meg. Ebben az esetben az e-mailcímben található @ karaktert a '-at-' karakterekkel helyettesítse, így például ha az e-mailcíme smith@example.com, az alábbi módon kezdje az apt sort: deb https://smith-at-example.com:PASSWORD@apt.balabit.hu ... - Ha csak a Zorp 3.3R2e kiadását és biztonsági frissítéseket akarja használni, cserélje ki a fájl tartalmát az alábbiakra (a FELHASZNÁLÓNÉV:JELSZÓ helyére a tényleges felhasználónevét és jelszavát írva): deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e main zorp-os-extra deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e zorp zas zcv zms deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3security zorp-os zorp-os-extra 3. Adja ki a következő parancsokat: # apt-get update; apt-get -u dist-upgrade A parancsok hatására a legutóbbi frissítéseket az apt letölti, valamint feltelepíti.
Nem daily backupra lenne szuksegem, azt amugy is keszul automatikusan. Arra lenne szuksegem (illetve az ugyfelnek), hogy mielott leul osszekattintgatni a zmcben valamit, tudjon egy backupot csinalni, majd ha nem sikerul valami a valtoztatgatason, akkor minel rovidebb ido alatt vissza tudja csinalni.
Ezt a funkciot a jelenlegi 3.3-as verzio nem tamogatja. A 4.0-ban fog megjelenni. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
Hi All!
On Tue, 2009-02-03 at 14:47 +0100, Gabor HALASZ wrote:
Valami Balabit nevu ceg kuldte...
Arra lettem volna kivancsi, hogy milyen verzioju CD volt. De nagyjabol valaszt kaptam ra.
Nem tudom, zorp-3.3, az eredeti peldany az ugyfelnel van (de nem emlekszem, hogy lett volna verzio rajta), a cd-n hirtelen nem latok verzioinfot, a fileok/direk 2008.05.22-i datumuak rajta.
Benne van. A problemat az okozhatja, hogy miota azt a CD-t megkaptad (legalabbis a kernel verziojabol erre kovetkeztetek) az apt repository cime megvaltozott. (Ahogy az az uj verziok announcement-jeben szerepel is:
Oh, valoban, most 404, pedig az van benne, ami a doksiban is szerepel... Amugy honnan kellene ertesulni az ilyen valtozasokrol? Kuldtok valami mailt a usernek es lenyelte (szoktak szolni, ha mailt kapnak toletek)?
- Ha csak a Zorp 3.3R2e kiadását és biztonsági frissítéseket akarja használni, cserélje ki a fájl tartalmát az alábbiakra (a FELHASZNÁLÓNÉV:JELSZÓ helyére a tényleges felhasználónevét és jelszavát írva): deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e main zorp-os-extra deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e zorp zas zcv zms deb https://FELHASZNÁLÓNÉV:JELSZÓ@apt.balabit.hu/zorp-os zorp-os-3.3/3.3security zorp-os zorp-os-extra
Ez igazan hasznos informacio. iris:~# cat /etc/apt/sources.list | grep balabit deb https://[x:x@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e main zorp-os-extra deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e zorp zas zcv zms deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/3.3security zorp-os zorp-os-extra iris:~# iris:~# apt-get update | grep balabit Failed to fetch https://[x:x]@apt.balabit.hu/zorp-os/dists/zorp-os-3.3/3.3R2e/main/binary-i386/Packages.gz The requested URL returned error: 404 Failed to fetch https://[x:x]@apt.balabit.hu/zorp-os/dists/zorp-os-3.3/3.3R2e/zorp-os-extra/binary-i386/Packages.gz The requested URL returned error: 404 Failed to fetch https://[x:x]@apt.balabit.hu/zorp-os/dists/zorp-os-3.3/3.3R2e/zorp/binary-i386/Packages.gz The requested URL returned error: 404 Failed to fetch https://[x:x]@apt.balabit.hu/zorp-os/dists/zorp-os-3.3/3.3R2e/zas/binary-i386/Packages.gz The requested URL returned error: 404 Failed to fetch https://[x:x]@apt.balabit.hu/zorp-os/dists/zorp-os-3.3/3.3R2e/zcv/binary-i386/Packages.gz The requested URL returned error: 404 Failed to fetch https://[x:x]@apt.balabit.hu/zorp-os/dists/zorp-os-3.3/3.3R2e/zms/binary-i386/Packages.gz The requested URL returned error: 404 -- Gabor HALASZ <halasz.g@freemail.hu>
Hi All! On Wed, 2009-02-04 at 12:26 +0100, Gabor HALASZ wrote:
iris:~# cat /etc/apt/sources.list | grep balabit deb https://[x:x@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e main zorp-os-extra deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/3.3R2e zorp zas zcv zms deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/3.3security zorp-os zorp-os-extra
Igaz. Sajnos meg egy kis hiba kerult az URL-be. A kovetkezo announcement-ben mar jo lesz. A jo URL: deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/zorp-3.3R2e main zorp-os-extra ^^^^^ deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/zorp-3.3R2e zorp zas zcv zms ^^^^^ deb https://[x:x]@apt.balabit.hu/zorp-os zorp-os-3.3/3.3security zorp-os zorp-os-extra -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, 2009-02-04 at 12:26 +0100, Gabor HALASZ wrote:
Amugy honnan kellene ertesulni az ilyen valtozasokrol? Kuldtok valami mailt a usernek es lenyelte (szoktak szolni, ha mailt kapnak toletek)?
Tudtommal minden felhasznalo es viszontelado feliratkozodik a zorp-support-hu levelezesi listara. Oda kuldjuk ezeket az announcement-eket. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
Szalay Attila wrote:
On Wed, 2009-02-04 at 12:26 +0100, Gabor HALASZ wrote:
Amugy honnan kellene ertesulni az ilyen valtozasokrol? Kuldtok valami mailt a usernek es lenyelte (szoktak szolni, ha mailt kapnak toletek)?
Tudtommal minden felhasznalo es viszontelado feliratkozodik a zorp-support-hu levelezesi listara. Oda kuldjuk ezeket az announcement-eket.
Kosz, akkor a kormukre nezek... -- Gabor HALASZ <halasz.g@freemail.hu>
On Thu, 2009-01-29 at 10:57 +0100, Gabor HALASZ wrote:
Ha jol ertem, a zonedispatcher csak transparens proxykent mukodik? Bonuszkerdes: a zmc-vel keszult konfigot hogyan tudom backupolni?
A ZoneDispatcher megnézi a kliens zónáját, az annak megfelelő Service-t indítja el (pl. mert más szabályokat akarsz hazsnálni a kapcsolatban - különféle proxyk, esetleg eltérő NAT policy használatával). Mindegy, hogy a kapcsolat (hálózati szinten) transzparens -e vagy sem. A helyzet csak a CSZoneDispatcher esetében kacifántosabb. Ott a Dispatcher megnézi a kliens oldali kapcsolat célját is (ami ugye fixen a tűzfal ;-) ezért mindég ugyanazt a Service-t választaná ki... Esetleg több alias IP, mindegyik más-más zónában. üdv, Höltzl Péter -- Höltzl Péter IT biztonsági tanácsadó holtzl.peter@balabit.hu +36 20 366 9667 BalaBit IT Security 1115 Budapest XI. Bártfai u. 54. Tel +36 1 371 0540 Fax +36 1 208 0875 Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstõl védett. Az üzenetet kizárólag a címzett, illetve az általa meghatalmazottak használhatjak fel. Ha Ön nem az üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse errõl az üzenet küldõjét és törölje az üzenetet, valamint annak összes csatolt mellékletét a rendszeréböl. Ha Ön nem az üzenet címzettje, abban az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal visszaélnie.
HÖLTZL Péter wrote:
On Thu, 2009-01-29 at 10:57 +0100, Gabor HALASZ wrote:
Ha jol ertem, a zonedispatcher csak transparens proxykent mukodik? Bonuszkerdes: a zmc-vel keszult konfigot hogyan tudom backupolni?
A ZoneDispatcher megnézi a kliens zónáját, az annak megfelelő Service-t indítja el (pl. mert más szabályokat akarsz hazsnálni a kapcsolatban - különféle proxyk, esetleg eltérő NAT policy használatával). Mindegy, hogy a kapcsolat (hálózati szinten) transzparens -e vagy sem.
Van kulon zonedispatcher? Olyat nem tudok kivalasztani, csak dispatcher es zonedispatcher-t latok a zmc-ben es a doksiban is.
A helyzet csak a CSZoneDispatcher esetében kacifántosabb. Ott a Dispatcher megnézi a kliens oldali kapcsolat célját is (ami ugye fixen a tűzfal ;-) ezért mindég ugyanazt a Service-t választaná ki... Esetleg több alias IP, mindegyik más-más zónában.
Tobb alias mar megvan a sok ip miatt. -- Gabor HALASZ <halasz.g@freemail.hu>
Sziasztok!
A ZoneDispatcher megnézi a kliens zónáját, az annak megfelelő Service-t indítja el (pl. mert más szabályokat akarsz hazsnálni a kapcsolatban - különféle proxyk, esetleg eltérő NAT policy használatával). Mindegy, hogy a kapcsolat (hálózati szinten) transzparens -e vagy sem.
Van kulon zonedispatcher? Olyat nem tudok kivalasztani, csak dispatcher es zonedispatcher-t latok a zmc-ben es a doksiban is.
Ugyan ez egy GPL lista, de... Zorp,ZMS<=3.1: Zorp komponens -> Instances -> Listener tab (az Instance-ok alatt, a Service mellett) -> New (vagy Edit) -> Legfelül legördülő (csatoltam screenshot-ot). A magyarázat: Van olyan, hogy Dispatcher abból származik minden. A Listener egy TCP Dipatcher (a Receiver UDP): zorp:~#/usr/share/zorp/pylib/Zorp$ grep ^class Dispatch.py class AbstractDispatch: class Dispatcher(AbstractDispatch): class ZoneDispatcher(Dispatcher): class CSZoneDispatcher(Dispatcher): Ha Zone/CSZoneListenert használsz akkor nem fix Service-t indítasz, hanem egy hast-t adsz meg neki, ami a kliens zóna alapján választ Service-t. GPL-eseknek: Listener(SockAddrInet('4.5.6.7', 50080), 'intra_HTTP') ZoneListener(bindto=SockAddrInet('5.6.7.8', 50080), services={"intranet":"intra_HTTP", "*":"intra_HTTP2"}, transparent=TRUE, follow_parent=FALSE) CSZoneListener(bindto=SockAddrInet('8.7.6.5', 50021), services={("intranet", "internet"):"intra_FTP", ("sales", "website"):"intra_FTP2", ("it", "*"):"intra_FTP3"}, transparent=TRUE, follow_parent=TRUE) Zorp,ZMS=3.3: Itt csak annyi változott, hogy megszűnt a Listener, Receiver. Van dispatcher és van benne TCP/UDP kapcsoló (protocol=TCP). Ez egyszerűsödés, ha tetszik:) Még valami (most olvasom a $Subject-et;-) figyelj oda, hogy a Serivce kiválasztó nem DAC funkció --> a megfelelő zónákból/ba ki és be kell engedni a szolgáltatást! Üdv, Höltzl Péter ps: az AG-ben is benne van: http://www.balabit.hu/dl/html/zorp-gateway-v3.1-guide-admin-en.html/ch08s04.... http://www.balabit.hu/dl/html/zorp-gateway-v3.1-guide-admin-en.html/ch08s04.... de a 3.3-ban is: http://www.balabit.hu/dl/html/zorp-gateway-v3.3-guide-admin-en.html/ch08s07.... http://www.balabit.hu/dl/html/zorp-gateway-v3.3-guide-admin-en.html/ch08s07.... -- Höltzl Péter IT biztonsági tanácsadó holtzl.peter@balabit.hu +36 20 366 9667 BalaBit IT Security 1115 Budapest XI. Bártfai u. 54. Tel +36 1 371 0540 Fax +36 1 208 0875 Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstõl védett. Az üzenetet kizárólag a címzett, illetve az általa meghatalmazottak használhatjak fel. Ha Ön nem az üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse errõl az üzenet küldõjét és törölje az üzenetet, valamint annak összes csatolt mellékletét a rendszeréböl. Ha Ön nem az üzenet címzettje, abban az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal visszaélnie.
Balazs Scheidler wrote:
On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
Helo!
En rontom el, hogy a $subject a kliens oldalon timeout formajaban manifesztalodik errorpage helyett? A connection timeout page elojon, ha nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a policy.py-ben sem latok semmi kulonoset.
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett.
Ha az INPUT chain vegere teszek egy LOG target-et, akkor ott megjelennek a kzorp altal eldobalt csomagok? Hol avatkozik kozbe?
On Wed, 2009-01-28 at 20:01 +0100, Gabor HALASZ wrote:
Ha az INPUT chain vegere teszek egy LOG target-et, akkor ott megjelennek a kzorp altal eldobalt csomagok? Hol avatkozik kozbe?
Nem, az INPUT chain-re nem jutnak el a csomagok. Igazabol mar a FILTER tablaba sem. A kzorp a mangle tabla PREROUTING chain-je utan lep mukodesbe. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 HU-1115 Budapest, Bártfai u. 54 fax:(36-1)-208-08-75 http://www.balabit.hu/
participants (5)
-
Balazs Scheidler
-
Gabor HALASZ
-
HÖLTZL Péter
-
Kosa Attila
-
Szalay Attila