Hello! Tegnap a fel ejszakam rament, mire rajottem, hogy rossz helyre tettem a zarojeleket, azert nem tudtam elinditani sem a zorpot :) (Alahuztam, hogy hol rontottam.) Lecsokkentettem a minimalisra a konfigot, ugy sikerult elinditani. De sajnos nem azt csinalja, amit en szeretnek. Bevagom (ahogy szoktam) a teljes konfigot, es utana kovetkeznek a kerdeseim :) A zorp a 0.7.11-1-es verzio. from Zorp.Zorp import * from Zorp import Zorp from Zorp.Zone import InetZone from Zorp.Service import Service from Zorp.SockAddr import SockAddrInet from Zorp.Chainer import TransparentChainer, DirectedChainer, InbandChainer, FailoverChainer from Zorp.Plug import PlugProxy from Zorp import Http from Zorp.Http import HttpProxy from Zorp.Ftp import FtpProxyAllow, FtpProxyMinimal from Zorp.Listener import Listener Zorp.firewall_name = 'zorp1@teszt.hu' InetZone("kulso", "192.168.1.1/32", inbound_services=[], outbound_services=[]), InetZone("local", "127.0.0.0/8", inbound_services=[], outbound_services=[]), InetZone("internet", "0.0.0.0/0", inbound_services=[], outbound_services=[]) def init(name): debug(5, "Policy init, name=%s" % name) Mivel a csillag a szolgaltatas helyen mindent engedelyez, ebbol azt gondoltam, hogy az ures pedig semmit. De elinditva ezt a konfigot ugyanugy tudom pingetni a 127.0.0.1-et, es a 192.168.1.1-et is. Nem jol gondoltam? Esetleg a kernelembol hianyzik valami? Ezek utan gondoltam engedelyezek valamit (letrehozok egy szolgaltatast). Beirtam a konfigba a kovetkezoket: class IDHttp(HttpProxy): def config(self): self.transparent_mode = 1 Service("id_http", DirectedChainer(SockAddrInet("192.168.1.1", 8080)), IDHttp) ^^^ ^^^ Listener(SockAddrInet("192.168.1.1", 80), "id_http") Remenyeim szerint azt kellett volna csinalnia, hogy miutan elinditottam az apache-ot a 8080-as porton (ellenoriztem, tudtam hozza kapcsolodni, a 80-ason pedig nem), ez szepen atteszi a 192.168.1.1 cim 80-as portjara erkezo kereseket a 8080-as portra. Ehhez beirtam a konfigba az "id_http"-t. A vegen kinomban mar minden zona out- es inboundjaba is, de igy sem volt hajlando azt csinalni, amit szerettem volna. Egyebkent hibauzenet nelkul elindult, de nem csinalta :( Ejfelkor abbahagytam... Lehet, hogy a faradsagtol nem vettem eszre valamit, de akkor mit? Elkelne egy kis segitseg :) -- Udvozlettel Zsiga
from Zorp.Zorp import * from Zorp import Zorp from Zorp.Zone import InetZone from Zorp.Service import Service from Zorp.SockAddr import SockAddrInet from Zorp.Chainer import TransparentChainer, DirectedChainer, InbandChainer, FailoverChainer from Zorp.Plug import PlugProxy from Zorp import Http from Zorp.Http import HttpProxy from Zorp.Ftp import FtpProxyAllow, FtpProxyMinimal from Zorp.Listener import Listener
Zorp.firewall_name = 'zorp1@teszt.hu'
InetZone("kulso", "192.168.1.1/32", inbound_services=[], outbound_services=[]),
biztos, hogy ez a zonad /32-es? igy csak egy darab IP cim van benne.
InetZone("local", "127.0.0.0/8", inbound_services=[], outbound_services=[]),
InetZone("internet", "0.0.0.0/0", inbound_services=[], outbound_services=[])
def init(name): debug(5, "Policy init, name=%s" % name)
Mivel a csillag a szolgaltatas helyen mindent engedelyez, ebbol azt gondoltam, hogy az ures pedig semmit. De elinditva ezt a konfigot ugyanugy tudom pingetni a 127.0.0.1-et, es a 192.168.1.1-et is. Nem jol gondoltam? Esetleg a kernelembol hianyzik valami?
a Zorp - egyenlore - nem nyul magatol a csomagszuro szabalyokhoz. Az ICMP-t nem o kozvetiti, ugyhogy ha le szeretned tiltani, akkor azt ipchains-zel kell.
Ezek utan gondoltam engedelyezek valamit (letrehozok egy szolgaltatast). Beirtam a konfigba a kovetkezoket:
class IDHttp(HttpProxy): def config(self): self.transparent_mode = 1
itt ne felejtsd el meghivni az orokolt config method-ot, valahogy igy: class IDHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1
Service("id_http", DirectedChainer(SockAddrInet("192.168.1.1", 8080)), IDHttp) Listener(SockAddrInet("192.168.1.1", 80), "id_http")
ez jonak tunik.
Remenyeim szerint azt kellett volna csinalnia, hogy miutan elinditottam az apache-ot a 8080-as porton (ellenoriztem, tudtam hozza kapcsolodni, a 80-ason pedig nem), ez szepen atteszi a 192.168.1.1 cim 80-as portjara erkezo kereseket a 8080-as portra. Ehhez beirtam a konfigba az "id_http"-t. A vegen kinomban mar minden zona out- es inboundjaba is, de igy sem volt hajlando azt csinalni, amit szerettem volna. Egyebkent hibauzenet nelkul elindult, de nem csinalta :( Ejfelkor abbahagytam... Lehet, hogy a faradsagtol nem vettem eszre valamit, de akkor mit? Elkelne egy kis segitseg :)
Itt az altalam atirt konfig, ez mukodik (a tuzfalrol helybol, felteve ha a /32-es maszk tenyleg az, aminek lennie kell). from Zorp.Zorp import * from Zorp import Zorp from Zorp.Zone import InetZone from Zorp.Service import Service from Zorp.SockAddr import SockAddrInet from Zorp.Chainer import TransparentChainer, DirectedChainer, InbandChainer, FailoverChainer from Zorp.Plug import PlugProxy from Zorp import Http from Zorp.Http import HttpProxy from Zorp.Ftp import FtpProxyAllow, FtpProxyMinimal from Zorp.Listener import Listener Zorp.firewall_name = 'zorp1@teszt.hu' InetZone("kulso", "192.168.1.1/32", inbound_services=[], outbound_services=["id_http"]), InetZone("local", "127.0.0.0/8", inbound_services=[], outbound_services=[]), InetZone("internet", "0.0.0.0/0", inbound_services=[], outbound_services=["id_http"]) class IDHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 def init(name): debug(5, "Policy init, name=%s" % name) Service("id_http", DirectedChainer(SockAddrInet("192.168.1.1", 8080)), IDHttp) Listener(SockAddrInet("192.168.1.1", 80), "id_http") -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Wed, Jan 17, 2001 at 10:40:06AM +0100, Balazs Scheidler wrote:
InetZone("kulso", "192.168.1.1/32", inbound_services=[], outbound_services=[]),
biztos, hogy ez a zonad /32-es? igy csak egy darab IP cim van benne.
Csak arra az egy darab gepre gondoltam, de atirtam erre: 192.168.0.50/32 . Ugyanis a benti gepnek mas a cime, mint az otthoninak :)
a Zorp - egyenlore - nem nyul magatol a csomagszuro szabalyokhoz. Az ICMP-t nem o kozvetiti, ugyhogy ha le szeretned tiltani, akkor azt ipchains-zel kell.
Amit most szeretnek, ahhoz kell valami csomagszures? IMHO nem, de ti jobban tudjatok :)
itt ne felejtsd el meghivni az orokolt config method-ot, valahogy igy:
class IDHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1
Errol eddig nem volt szo!
Service("id_http", DirectedChainer(SockAddrInet("192.168.1.1", 8080)), IDHttp)
Ezt atirtam a fenti miatt 192.168.0.50 -re.
Listener(SockAddrInet("192.168.1.1", 80), "id_http")
Meg ezt is.
ez jonak tunik.
Itt az altalam atirt konfig, ez mukodik (a tuzfalrol helybol, felteve ha a /32-es maszk tenyleg az, aminek lennie kell).
Kijavitottam ebben is az ip-cimeket, de nem mukodik. Az nmap 192.168.0.50 szepen mutatja: 80 open tcp http 8080 open tcp http-proxy Az nmap 127.0.0.1-nel csak a http-proxy latszik. A bongeszoben kapott hibauzenet: connection error.Error establishing connection to mad2: Page generated by Zorp version 0.7.11 A syslog: zorp[6515]: Verbosity level: 3 zorp[6515]: (zorp/id_http): client_fd=10, client_addr=AF_IN ET(192.168.0.50:4253), client_zone=Zone(kulso, 192.168.0.50/32), client_local=AF _INET(192.168.0.50:80) zorp[6515]: (zorp/id_http:0/http): session_start, module=http zorp[6515]: (zorp/id_http): client_fd=10, client_addr=AF_IN ET(192.168.0.50:3103), client_zone=Zone(kulso, 192.168.0.50/32), client_local=AF _INET(192.168.0.50:80) zorp[6515]: (zorp/id_http:1/http): session_start, module=http zorp[6527]: (zorp/id_http:1): Inbound service id_http not p ermitted into zone Zone(kulso, 192.168.0.50/32) Meg mindig nem megy :( -- Udvozlettel Zsiga
a Zorp - egyenlore - nem nyul magatol a csomagszuro szabalyokhoz. Az ICMP-t nem o kozvetiti, ugyhogy ha le szeretned tiltani, akkor azt ipchains-zel kell.
Amit most szeretnek, ahhoz kell valami csomagszures? IMHO nem, de ti jobban tudjatok :)
nem kell.
A bongeszoben kapott hibauzenet: connection error.Error establishing connection to mad2: Page generated by Zorp version 0.7.11
A syslog: zorp[6515]: Verbosity level: 3 zorp[6515]: (zorp/id_http): client_fd=10, client_addr=AF_IN ET(192.168.0.50:4253), client_zone=Zone(kulso, 192.168.0.50/32), client_local=AF _INET(192.168.0.50:80) zorp[6515]: (zorp/id_http:0/http): session_start, module=http zorp[6515]: (zorp/id_http): client_fd=10, client_addr=AF_IN ET(192.168.0.50:3103), client_zone=Zone(kulso, 192.168.0.50/32), client_local=AF _INET(192.168.0.50:80) zorp[6515]: (zorp/id_http:1/http): session_start, module=http zorp[6527]: (zorp/id_http:1): Inbound service id_http not p ermitted into zone Zone(kulso, 192.168.0.50/32)
ez az uzenet azt jelenti, hogy az "id_http" nevu szolgaltatas nincs beengedve a "kulso" zonadba. zona definicio? -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Wed, Jan 17, 2001 at 11:59:57AM +0100, Balazs Scheidler wrote:
A bongeszoben kapott hibauzenet: connection error.Error establishing connection to mad2: Page generated by Zorp version 0.7.11
Engem zavar egy kicsit, hogy igy kiadja a verzioszamot. Nem tudom errol lebeszelni?
ez az uzenet azt jelenti, hogy az "id_http" nevu szolgaltatas nincs beengedve a "kulso" zonadba. zona definicio?
Az, amit te kuldtel :) Odafigyelve elolvastam a logokat, es beirtam kulso zona inbound-jaba is az id_http-t. Igy mar mukodik! Eloszor sikerult beinditanom a zorpot! (Ugy, hogy azt is csinalja, amit szerettem volna.) Most mar bonyolithatom a dolgokat :) Tobb zona, tobb szolgaltatas. Egy kerdes eloljaroban: Eddig a pop3 szolgaltatast igy irtam: class pop(PlugProxy): def config(self): pass Jo igy, vagy ezt is ki kell egesziteni a PlugProxy.config(self) sorral? Esetleg massal? -- Udvozlettel Zsiga
Az, amit te kuldtel :) Odafigyelve elolvastam a logokat, es beirtam kulso zona inbound-jaba is az id_http-t. Igy mar mukodik! Eloszor sikerult beinditanom a zorpot! (Ugy, hogy azt is csinalja, amit szerettem volna.) Most mar bonyolithatom a dolgokat :) Tobb zona, tobb szolgaltatas.
gratula
Egy kerdes eloljaroban: Eddig a pop3 szolgaltatast igy irtam: class pop(PlugProxy): def config(self): pass
Jo igy, vagy ezt is ki kell egesziteni a PlugProxy.config(self) sorral? Esetleg massal?
nem kell, sot a def config(self): sem kotelezo. eleg ennyi (ha nem akarsz extrat): class pop(PlugProxy): pass A Http-nel azert kell csak, mert ott az orokolt config() csinal olyat, amire szukseged lehet ( engedelyezi a GET, POST metodusokat, amik nelkul egy http proxy nem tulzottan mukodokepes) Ha nem akarod ott sem muszaly meghivni, viszont akkor neked kell engedelyezned explicit modon az engedelyezett metodusokat pl (ezt nem teszteltem, csak idehasaltam, de kb mukodnie kell): class MyHttp(HttpProxy): def config(self): # nem hivjuk meg az oroklott config-ot # mindig engedelyezzuk a GET-et, es a POST-ot self.request["GET"] = (Http.HTTP_PASS) self.request["POST"] = (Http.HTTP_PASS) # nem transzparens Http proxynal https:// kereskor # szukseges a CONNECT, de nem engedjuk siman # CONNECT-kor hivja meg a connectMethod() nevu metodust self.request["CONNECT"] = (Http.HTTP_POLICY, self.connectMethod) def connectMethod(self, method, url, version): """Csak a 443-as portra engedjuk a kapcsolodast""" try: host, port = split(url, ':') except ValueError: return Z_REJECT if port == '443': return Z_ACCEPT return Z_REJECT -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Wed, Jan 17, 2001 at 03:30:12PM +0100, Balazs Scheidler wrote:
nem kell, sot a def config(self): sem kotelezo. eleg ennyi (ha nem akarsz extrat):
class pop(PlugProxy): pass
Milyen extrakra gondolsz (utalsz) itt? Milyen lehetosegeim vannak? Ugy latom, hogy van pop3 proxy is. Akkor nem muszaj a PlugProxy-t hasznalnom. Annal igy nez ki a deklaracio? class pop(POP3Proxy): def config(self): POP3Proxy.config(self) pass -- Udvozlettel Zsiga
Milyen extrakra gondolsz (utalsz) itt? Milyen lehetosegeim vannak? Ugy latom, hogy van pop3 proxy is. Akkor nem muszaj a PlugProxy-t hasznalnom. Annal igy nez ki a deklaracio?
class pop(POP3Proxy): def config(self): POP3Proxy.config(self) pass
POP3 proxy nincs. A fizetos valtozatban lesz majd. Az extrak, amikre utalok pedig le van irva a doc/reference.html.tar.gz-ben a Plug.html-ben. A plug-nal eppen nincs tul sok extra, csak statisztikazni lehet, de a Http-nel meg az Ftp-nel eleg sok minden latszik. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Wed, Jan 17, 2001 at 04:33:08PM +0100, Balazs Scheidler wrote:
POP3 proxy nincs. A fizetos valtozatban lesz majd. Az extrak, amikre utalok
Akkor marad a Plug. -- Udvozlettel Zsiga
On Wed, Jan 17, 2001 at 04:33:08PM +0100, Balazs Scheidler wrote:
POP3 proxy nincs. A fizetos valtozatban lesz majd. Az extrak, amikre utalok
Az smtp reszt hogyan szokas megoldani? Arra gondolok, hogy a mail-szerver a dmz-ben van, a kliensek pedig ugye rajta keresztul szeretnek kikuldeni a leveleiket. Az en elkepzelesem szerint: class BDSmtp(PlugProxy): pass Service("bd_smtp", DirectedChainer(SockAddrInet("smt.ip.cim.e", 25)), BDSmtp) Listener(SockAddrInet("fw.belso.lab.ipcime", 2025), "bd_smtp") Es ehhez kell egy ipchains is: ipchains -A input -p tcp -i kartya -s belsohalo/cime -d smtp.cime 25 -j REDIRECT 2025 Jo ez igy, vagy mas megoldas a nyero? Egy masik kerdesem az lenne, hogy az szerintetek rossz elkepzeles-e, ha a tuzfalon nincs mail-szerver, hanem a zorp dobja at az smtp kapcsolatokat a dmz-ben levo szerverre? -- Udvozlettel Zsiga
Az smtp reszt hogyan szokas megoldani? Arra gondolok, hogy a mail-szerver a dmz-ben van, a kliensek pedig ugye rajta keresztul szeretnek kikuldeni a leveleiket. Az en elkepzelesem szerint: class BDSmtp(PlugProxy): pass
Service("bd_smtp", DirectedChainer(SockAddrInet("smt.ip.cim.e", 25)), BDSmtp)
Listener(SockAddrInet("fw.belso.lab.ipcime", 2025), "bd_smtp")
Es ehhez kell egy ipchains is: ipchains -A input -p tcp -i kartya -s belsohalo/cime -d smtp.cime 25 -j REDIRECT 2025
Nem muszaly REDIRECT-el jatszanod, ha DirectedChainer-t hasznalsz. Szimplan felhuzhatod a Zorp listener-jet a 25-os porton is. (persze ehhez szukseges a cap_net_bind_service capability, mert 1024 alatt van) Amugy jonak tunik, csak arra vigyazz, hogy a fenti modszerrel a belso mail szerver a tuzfal cimet fogja latni klienskent, ezert a relay control megszunik. Ha ezt el akarod kerulni, akkor be kell kapcsolnod a forge_addr parameteret a DirectedChainer-nek, igy: DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
Jo ez igy, vagy mas megoldas a nyero?
Egy masik kerdesem az lenne, hogy az szerintetek rossz elkepzeles-e, ha a tuzfalon nincs mail-szerver, hanem a zorp dobja at az smtp kapcsolatokat a dmz-ben levo szerverre?
mindegyiknek van elonye is, hatranya is. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Thu, Jan 18, 2001 at 10:46:47AM +0100, Balazs Scheidler wrote:
Es ehhez kell egy ipchains is: ipchains -A input -p tcp -i kartya -s belsohalo/cime -d smtp.cime 25 -j REDIRECT 2025
Nem muszaly REDIRECT-el jatszanod, ha DirectedChainer-t hasznalsz. Szimplan felhuzhatod a Zorp listener-jet a 25-os porton is. (persze ehhez szukseges a cap_net_bind_service capability, mert 1024 alatt van)
Azert gondoltam a REDIRECT-re, mert - elkepzelesem szerint - az nem art, ha a tuzfalon is fut mail-szerver, de csak lokalisan tovabbitja a levelet, nem fogad kulso kapcsolatokat egyik labon sem. Ennek azert erzem szukseget, hogy a kulonbozo cron, snort, stb. jobok eredmenyet megkapjam. Viszont, ha fut egy mail-szerver a tuzfalon, az elfoglalja a 25-os portot. Tehat elteszem onnan (doksiolvasas, hogy hogyan kell), vagy REDIRECT :) Vagy a REDIRECT nelkul is fel tudom huzni a Zorp-ot a 25-os portra, annak ellenre, hogy ott van a mail-szerver?
Amugy jonak tunik, csak arra vigyazz, hogy a fenti modszerrel a belso mail szerver a tuzfal cimet fogja latni klienskent, ezert a relay control megszunik. Ha ezt el akarod kerulni, akkor be kell kapcsolnod a forge_addr parameteret a DirectedChainer-nek, igy:
DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
Erre talan nincs szukseg, ha nem a mail-szerver ellenorzi a kliensek jogosultsagat, hanem a tuzfal nem engedi oda azt, aki nem levelezhet.
Egy masik kerdesem az lenne, hogy az szerintetek rossz elkepzeles-e, ha a tuzfalon nincs mail-szerver, hanem a zorp dobja at az smtp kapcsolatokat a dmz-ben levo szerverre?
mindegyiknek van elonye is, hatranya is.
Ujra nekifutok :) Mondjuk van mail-szerver, de csak lokalis levelkuldest vegez. Es a Zorp csinalja az "atdobalast". Olyan hatranya van-e ennek a felallasnak, ami a biztonsagot komolyan veszelyezteti? -- Udvozlettel Zsiga
Sziasztok! Kelloen nagy forgalom mellett 0.6-os Zorp 5 nap utan a kovetkezo uzenettel elhalalozik: ---cikk--- Jan 18 09:17:31 tanyer zorp-firewall[203]: GThread-ERROR **: file gthread-posix.c: line 279 (g_thread_create_posix_impl): error Resource temporarily unavailable during pthread_create (thread, &attr, (void* (*)(void*))thread_func, arg) Jan 18 09:17:31 tanyer zorp-firewall[203]: aborting... ---cakk--- Ez normalis meg a 0.6-os Zorpnal vagy a konfigot rontottam el? Andras Ps: A policy a kovetkezo: ---cikk--- from Zorp import Zorp, SockAddr, Listener, Zone, Service, Chainer, Stream from Zorp import Plug, Session, Http, Ftp, Sink from Zorp.Zorp import * Zorp.firewall_name = 'Test@firewall' Zorp.zones= \ [ Zone.InetZone("dmz","192.168.2.0","255.255.255.0",None, outbound_services=["dihttp","diftp","diplug"], inbound_services=["diplug"]), Zone.InetZone("internet","0.0.0.0","0.0.0.0",None, outbound_services=["diplug"], inbound_services=["dihttp","diftp","diplug"]) ] class MyHttp(Http.HttpProxy): def config(self): self.transparent_mode=1 class MyFtp(Ftp.FtpProxyAllow): def config(self): self.NAT=1 self.fw_external_data_address="194.55.116.112" self.fw_internal_data_address="192.168.2.1" self.internal_server=0 self.client_portpasv=0 self.max_password_length=128 def init(name): trans_http = \ Service.Service("dihttp", Chainer.TransparentChainer(None, 0), MyHttp) trans_ftp = \ Service.Service("diftp", Chainer.TransparentChainer(None,0), MyFtp) trans_plug = \ Service.Service("diplug", Chainer.TransparentChainer(None,0), Plug.PlugProxy) Listener.Listen(SockAddr.SockAddrInet("192.168.2.1",2021),trans_ftp) Listener.Listen(SockAddr.SockAddrInet("192.168.2.1",2022),trans_plug) Listener.Listen(SockAddr.SockAddrInet("192.168.2.1",2025),trans_plug) Listener.Listen(SockAddr.SockAddrInet("194.55.116.112",2025),trans_plug) Listener.Listen(SockAddr.SockAddrInet("192.168.2.1",2080),trans_http) Listener.Listen(SockAddr.SockAddrInet("192.168.2.1",2110),trans_plug) Listener.Listen(SockAddr.SockAddrInet("192.168.2.1",2443),trans_plug) ---cakk---
Kelloen nagy forgalom mellett 0.6-os Zorp 5 nap utan a kovetkezo uzenettel elhalalozik: ---cikk--- Jan 18 09:17:31 tanyer zorp-firewall[203]: GThread-ERROR **: file gthread-posix.c: line 279 (g_thread_create_posix_impl): error Resource temporarily unavailable during pthread_create (thread, &attr, (void* (*)(void*))thread_func, arg) Jan 18 09:17:31 tanyer zorp-firewall[203]: aborting... ---cakk--- Ez normalis meg a 0.6-os Zorpnal vagy a konfigot rontottam el?
elfogy a threadbol. egy usernek alapbol 256 processze lehet, es mivel minden thread egy processzt foglal, ezert kifuthat ebbol a szambol ha tul sok a parhuzamos session. A zorp alapbol lefoglal 3 threadet, majd minden egyes ujabb kapcsolat ujabb thread. Ebbol latszik, hogy max. 253 parhuzamos sessionod lehet. problema lehet meg a beragadt session-okkel (mondjuk elveszik a FIN v. RST csomag, es a te oldalad nem akar kuldeni), amin timeout-tal lehet segiteni, ez viszont csak a 0.7.xx-ben van. (0.7.12 az utolso) a processz limitet kernel patchel lehet emelni, maximum 4090-ig. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
Nem muszaly REDIRECT-el jatszanod, ha DirectedChainer-t hasznalsz. Szimplan felhuzhatod a Zorp listener-jet a 25-os porton is. (persze ehhez szukseges a cap_net_bind_service capability, mert 1024 alatt van)
Azert gondoltam a REDIRECT-re, mert - elkepzelesem szerint - az nem art, ha a tuzfalon is fut mail-szerver, de csak lokalisan tovabbitja a levelet, nem fogad kulso kapcsolatokat egyik labon sem. Ennek azert erzem szukseget, hogy a kulonbozo cron, snort, stb. jobok eredmenyet megkapjam. Viszont, ha fut egy mail-szerver a tuzfalon, az elfoglalja a 25-os portot. Tehat elteszem onnan (doksiolvasas, hogy hogyan kell), vagy REDIRECT :) Vagy a REDIRECT nelkul is fel tudom huzni a Zorp-ot a 25-os portra, annak ellenre, hogy ott van a mail-szerver?
ha ssmtpd-t hasznalsz, az nem nyit portot, viszont kuld levelet a megadott smarthostnak.
Amugy jonak tunik, csak arra vigyazz, hogy a fenti modszerrel a belso mail szerver a tuzfal cimet fogja latni klienskent, ezert a relay control megszunik. Ha ezt el akarod kerulni, akkor be kell kapcsolnod a forge_addr parameteret a DirectedChainer-nek, igy:
DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
Erre talan nincs szukseg, ha nem a mail-szerver ellenorzi a kliensek jogosultsagat, hanem a tuzfal nem engedi oda azt, aki nem levelezhet.
ez igaz, de ha internetrol akarsz levelet fogadni, akkor szukseged lesz ra. a tuzfal - mivel meg nincs SMTP proxy - nem tudja, hogy a level neked szol, vagy relayezni akar rajtad keresztul.
Egy masik kerdesem az lenne, hogy az szerintetek rossz elkepzeles-e, ha a tuzfalon nincs mail-szerver, hanem a zorp dobja at az smtp kapcsolatokat a dmz-ben levo szerverre?
mindegyiknek van elonye is, hatranya is.
Ujra nekifutok :) Mondjuk van mail-szerver, de csak lokalis levelkuldest vegez. Es a Zorp csinalja az "atdobalast". Olyan hatranya van-e ennek a felallasnak, ami a biztonsagot komolyan veszelyezteti?
a tuzfalra ne tegyel local delivery-t, egy ssmtp boven megteszi. a relayen kivul nem lehet nagy gond. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Thu, Jan 18, 2001 at 11:33:14AM +0100, Balazs Scheidler wrote:
ha ssmtpd-t hasznalsz, az nem nyit portot, viszont kuld levelet a megadott smarthostnak.
Akkor megnezem a dontes elott.
DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
Erre talan nincs szukseg, ha nem a mail-szerver ellenorzi a kliensek jogosultsagat, hanem a tuzfal nem engedi oda azt, aki nem levelezhet.
ez igaz, de ha internetrol akarsz levelet fogadni, akkor szukseged lesz ra. a tuzfal - mivel meg nincs SMTP proxy - nem tudja, hogy a level neked szol, vagy relayezni akar rajtad keresztul.
Ebben igazad van.
Ujra nekifutok :) Mondjuk van mail-szerver, de csak lokalis levelkuldest vegez. Es a Zorp csinalja az "atdobalast". Olyan hatranya van-e ennek a felallasnak, ami a biztonsagot komolyan veszelyezteti?
a tuzfalra ne tegyel local delivery-t, egy ssmtp boven megteszi. a relayen kivul nem lehet nagy gond.
Es a relay ellen hogyan vedekezzek? Csak annyi, hogy jol konfigoljam be a mail-szerveremet? -- Udvozlettel Zsiga
a tuzfalra ne tegyel local delivery-t, egy ssmtp boven megteszi. a relayen kivul nem lehet nagy gond.
Es a relay ellen hogyan vedekezzek? Csak annyi, hogy jol konfigoljam be a mail-szerveremet?
igen, es hasznalj forge_addr=TRUE -t -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Thu, Jan 18, 2001 at 01:12:24PM +0100, Balazs Scheidler wrote:
igen, es hasznalj forge_addr=TRUE -t
A TRUE es az 1 az megegyezik? -- Udvozlettel Zsiga
igen, es hasznalj forge_addr=TRUE -t
A TRUE es az 1 az megegyezik?
igen. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Thu, Jan 18, 2001 at 10:46:47AM +0100, Balazs Scheidler wrote:
Amugy jonak tunik, csak arra vigyazz, hogy a fenti modszerrel a belso mail szerver a tuzfal cimet fogja latni klienskent, ezert a relay control megszunik. Ha ezt el akarod kerulni, akkor be kell kapcsolnod a forge_addr parameteret a DirectedChainer-nek, igy:
DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
Ezt mondjatok meg legyetek szivesek, hogy hogyan mukodik, mert igy nem :( Kiprobaltam egy par variaciot vesszokkel es vesszok nelkul, de nem sikerul elinditani. -- Udvozlettel Zsiga
szia
DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
hibauzenet? -- Györkő Zoltán BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu
On Tue, Jan 23, 2001 at 05:00:45PM +0100, Gyorko Zoltan wrote:
DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
hibauzenet?
Variaciok egy temara :) File "/etc/zorp/policy-kintrol.py", line 44 Service("id_pop", DirectedChainer("192.168.1.2", 110), forge_addr=1), IDPop) ^ SyntaxError: invalid syntax Traceback (innermost last): File "/etc/zorp/policy-kintrol.py", line 44, in ? Service("id_pop", DirectedChainer("192.168.1.2", 110), forge_addr=1) TypeError: unexpected keyword argument: forge_addr File "/etc/zorp/policy-kintrol.py", line 44 Service("id_pop", DirectedChainer("192.168.1.2", 110) forge_addr=1), IDPop) ^ SyntaxError: invalid syntax File "/etc/zorp/policy-kintrol.py", line 44 Service("id_pop", DirectedChainer("192.168.1.2", 110), forge_addr=1) IDPop) ^ SyntaxError: invalid syntax -- Udvozlettel Zsiga
szia igy van. variaciok egy temara. A ket definicio kozott egy kulonbseg talalhato, a megfejtok kozott egy sort sorsolunk ki...:) bazsi irta:
Service("id_pop", DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1), IDPop)
zsiga irta:
Service("id_pop", DirectedChainer("192.168.1.2", 110), forge_addr=1), IDPop)
-- Györkő Zoltán BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu
On Wed, Jan 24, 2001 at 09:27:00AM +0100, Gyorko Zoltan wrote:
igy van. variaciok egy temara.
Mea culpa, mea maxima culpa... -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Gyorko Zoltan a következőeket írta:
szia
igy van. variaciok egy temara.
A ket definicio kozott egy kulonbseg talalhato, a megfejtok kozott egy sort sorsolunk ki...:)
Az ip cím nem \' hanem \" között van;) Enyém a sör?
bazsi irta:
Service("id_pop", DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1), IDPop)
zsiga irta:
Service("id_pop", DirectedChainer("192.168.1.2", 110), forge_addr=1), IDPop)
-- GNU GPL: csak tiszta forrásból
On Wed, 24 Jan 2001, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Gyorko Zoltan a következőeket írta:
szia
igy van. variaciok egy temara.
A ket definicio kozott egy kulonbseg talalhato, a megfejtok kozott egy sort sorsolunk ki...:)
Az ip cím nem \' hanem \" között van;) Enyém a sör?
bazsi irta:
Service("id_pop", DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1), IDPop)
zsiga irta:
Service("id_pop", DirectedChainer("192.168.1.2", 110), forge_addr=1), IDPop)
Bazsi a 25-os portra, Zsiga a 110-esre kapcsolodik. En Magnak adom a soromet ;) Marci
participants (6)
-
Balazs Scheidler
-
Farago Andras
-
Gyorko Zoltan
-
Illes Marci
-
Kosa Attila
-
Magosányi Árpád