Re: [zorp-hu] portok be és kiengedése
Sziasztok! Mivel, nem kaptam visszajelzést, lehet hogy a levelemet a csatolmányokkal nem fogadta a levlista. Így most elküldöm csatolmányok nélkül. A következőket tettem: A Zorp modulban van egy intra instance-ünk, amelyben többek között van egy intra_HTTPS_inter szolgáltatás, amelyik a belső hálózat 443-as portján figyel. Ezt kiegészítettem azzal, hogy figyeljen a 8080-as porton is, és küldje tovább a Tproxy 58080 -as portjára a csomagot. A csomagszűrőben beállítottam, hogy ha a belső lábról 8080 portról érkezik csomag, az kerüljön a Tproxyhoz. Ezt a Tproxy tábla Prerouting szekciójában állítottam be. Uploaddal feltöltöttem a szerverre, restarttal újraindítottam a szolgáltatást. És a 8080-as portot továbbra is lenyeli. tcpdumppal ráhallgatva a belső lábra, néhány csomag látszik, amíg felépül a kapcsolat, azután megszakad. A /var/log/syslogban nem látszik semmi ebből, és a /var/log/messages-ben sem jelenik meg a 8080-as porttal kapcsolatban semmi. A /etc/zorp/policy.py - ban nem jelennek meg a változtatások. Ennek az állománynak a dátuma 2009 novemberi keltezésű. Nem ebbe kellene a ZMS-nek generálni a beállításokat? Kzoli mailto:kovats.zoltan@adu-csepel.hu
Szia! On Wed, 2010-09-22 at 08:44 +0200, Kzoli wrote:
A Zorp modulban van egy intra instance-ünk, amelyben többek között van egy intra_HTTPS_inter szolgáltatás, amelyik a belső hálózat 443-as portján figyel. Ezt kiegészítettem azzal, hogy figyeljen a 8080-as porton is, és küldje tovább a Tproxy 58080 -as portjára a csomagot.
Kérdés: mindkét porton (443 és 8080) HTTPS protokol van, mert különben nem fog menni! Akkor kell 2 külön Service kell!
A csomagszűrőben beállítottam, hogy ha a belső lábról 8080 portról érkezik csomag, az kerüljön a Tproxyhoz. Ezt a Tproxy tábla Prerouting szekciójában állítottam be. Uploaddal feltöltöttem a szerverre, restarttal újraindítottam a szolgáltatást.
És a 8080-as portot továbbra is lenyeli.
tcpdumppal ráhallgatva a belső lábra, néhány csomag látszik, amíg felépül a kapcsolat, azután megszakad. A /var/log/syslogban nem látszik semmi ebből, és a /var/log/messages-ben sem jelenik meg a 8080-as porttal kapcsolatban semmi.
Kellene lennie egy olyan lognak, hogy "Starting proxy instance", abban az esetben, ha a kapcsolat eljutott a Listener-ig. Ha egyáltalán nem látsz ilyet, akkor még a csomagszűrő nyelte le ezt a kapcsolatot. Ezt az "iptables -L -n -v -t prerouting" parancsal lehet megnézni. Fontos lenne kideríteni, h mi nyelte le a kapcsolatot. A PF vagy a Zorp. Ez csak a logokból derül ki (/var/log/messages).
A /etc/zorp/policy.py - ban nem jelennek meg a változtatások. Ennek az állománynak a dátuma 2009 novemberi keltezésű. Nem ebbe kellene a ZMS-nek generálni a beállításokat?
Ha jól értem ez még 3.0 vagy 3.1. Csináltál mindkét komponensre (Packet Filter és Zorp) commit/upload/restart-ot? Üdv, Légyszi a listát válaszolj! Péter -- Höltzl Péter CISA, IT biztonsági tanácsadó holtzl.peter@balabit.hu +36 20 366 966 http://peter.blogs.balabit.hu/ BalaBit IT Security 1115 Budapest XI. Bártfai u. 54. Tel +36 1 371 0540 Fax +36 1 208 0875 Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstől védett. Az üzenetet kizárólag a címzett, illetve az általa meghatalmazottak használhatják fel. Ha Ön nem az üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse erről az üzenet küldőjét és törölje az üzenetet, valamint annak összes csatolt mellékletét a rendszeréből. Ha Ön nem az üzenet címzettje, abban az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal visszaélnie.
Sziasztok! Péternek válaszolva: írtad:
Szia!
On Wed, 2010-09-22 at 08:44 +0200, Kzoli wrote:
A Zorp modulban van egy intra instance-ünk, amelyben többek között van egy intra_HTTPS_inter szolgáltatás, amelyik a belső hálózat 443-as portján figyel. Ezt kiegészítettem azzal, hogy figyeljen a 8080-as porton is, és küldje tovább a Tproxy 58080 -as portjára a csomagot.
Kérdés: mindkét porton (443 és 8080) HTTPS protokol van, mert különben nem fog menni! Akkor kell 2 külön Service kell!
Lehet, hogy nem értettem a kérdést. A https://neo.itcorp.hu:8080 honlapra szeretnénk kijutni. Ez a honlap HTTPS-sel komunikál. Az általatok beállított konfigban volt egy intra_HTTPS_inter service beállítva, amelyiknek a listener-je a 443-as porton figyelt, és továbbította a csomagot a tproxy 50443 portra. A listeners fülön felvettem mégegy intra_HTTPS_inter service-t, amelyik a 8080-as porton figyel, és a csomagot a tproxy 58080 portra továbbítja. Ha most visszakapcsolok a services fülre és kiválasztom az intra_HTTPS_inter szolgáltatást, akkor a jobb oldalon alul a listener ablakban az látható, hogy mind a 443, mind a 8080 porton figyel
A csomagszűrőben beállítottam, hogy ha a belső lábról 8080 portról érkezik csomag, az kerüljön a Tproxyhoz. Ezt a Tproxy tábla Prerouting szekciójában állítottam be. Uploaddal feltöltöttem a szerverre, restarttal újraindítottam a szolgáltatást.
És a 8080-as portot továbbra is lenyeli.
tcpdumppal ráhallgatva a belső lábra, néhány csomag látszik, amíg felépül a kapcsolat, azután megszakad. A /var/log/syslogban nem látszik semmi ebből, és a /var/log/messages-ben sem jelenik meg a 8080-as porttal kapcsolatban semmi.
Kellene lennie egy olyan lognak, hogy "Starting proxy instance", abban az esetben, ha a kapcsolat eljutott a Listener-ig. Ha egyáltalán nem látsz ilyet, akkor még a csomagszűrő nyelte le ezt a kapcsolatot. Ezt az "iptables -L -n -v -t prerouting" parancsal lehet megnézni. Fontos lenne kideríteni, h mi nyelte le a kapcsolatot. A PF vagy a Zorp. Ez csak a logokból derül ki (/var/log/messages).
Megnéztem a /var/log/messages állományt, természetesen egy csomó "Starting proxy instance" üzenet van benne,de egy sincs, amely a 8080-as portra lenne találat. A 8080-as port a messages-ben egyáltalán nem jelenik meg.
A /etc/zorp/policy.py - ban nem jelennek meg a változtatások. Ennek az állománynak a dátuma 2009 novemberi keltezésű. Nem ebbe kellene a ZMS-nek generálni a beállításokat?
Ha jól értem ez még 3.0 vagy 3.1. Csináltál mindkét komponensre (Packet Filter és Zorp) commit/upload/restart-ot?
Természetesen mind a packet filterre, mind a zorp modulra megléptem a commit/upload/restart-ot. A futó Zorp az alábbi: Zorp 3.0.14d Revision: devel@balabit.hu--zorp-1/zorp-core--mainline--3.0--patch-480 Compile-Date: Nov 6 2007 12:01:32 Config-Date: 2007/11/06 Trace: off Debug: off IPOptions: off IPFilter-Tproxy: off Netfilter-Tproxy: on Netfilter-Linux22-Fallback: on Linux22-Tproxy: off Conntrack: on Zorplib 3.0.6.9 Revision: devel@balabit.hu--zorp-1/zorp-lib--mainline--3.0--patch-145 Compile-Date: Jan 18 2007 17:28:18 Trace: off MemTrace: off Caps: on Debug: off StackDump: on Nekem az a furcsa, hogy a ZMC-ben a view current configuration menüpont által megjelenített tartalom első két sora: Component 'Zorp' will have these files on host 'ZMS_Host': File '/etc/zorp/instances.conf': a fenti állomány -linuxon megnézve- létrejöttének dátuma viszont 2006. májusi keltezésű, és a ZMC-ben találhatókhoz képest szinte semmi nincs benne. Ezek elbeszélnek egymás mellett?
Üdv,
Légyszi a listát válaszolj!
Péter
előre is köszi a válaszokat Kováts Zoli -- Üdvözlettel, Kzoli mailto:kovats.zoltan@adu-csepel.hu
On Wed, 2010-09-22 at 12:46 +0200, Kzoli wrote:
Lehet, hogy nem értettem a kérdést. A https://neo.itcorp.hu:8080 honlapra szeretnénk kijutni. Ez a honlap HTTPS-sel komunikál.
Pontosan erre a mondatra voltam kiváncsi:-)
Az általatok beállított konfigban volt egy intra_HTTPS_inter service beállítva, amelyiknek a listener-je a 443-as porton figyelt, és továbbította a csomagot a tproxy 50443 portra. A listeners fülön felvettem mégegy intra_HTTPS_inter service-t, amelyik a 8080-as porton figyel, és a csomagot a tproxy 58080 portra továbbítja.
Engedett még egy intra_HTTPS_inter service-t felvenni???? Egyébként elég lenne a 443-as porthoz kapcsolódó Listenert pontosan lemásolni, úgy hogy a rule port ne 443, hanem 8080 legyen és ugyanazt az intra_HTTPS_inter servicet indítsa. Utána Packet Filter --> Generate Skeleton. Végül mindkét komponensre jöhet a szentháromság: Commit-Upload-Restart Péter -- Höltzl Péter CISA, IT biztonsági tanácsadó holtzl.peter@balabit.hu +36 20 366 966 http://peter.blogs.balabit.hu/ BalaBit IT Security 1115 Budapest XI. Bártfai u. 54. Tel +36 1 371 0540 Fax +36 1 208 0875 Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstől védett. Az üzenetet kizárólag a címzett, illetve az általa meghatalmazottak használhatják fel. Ha Ön nem az üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse erről az üzenet küldőjét és törölje az üzenetet, valamint annak összes csatolt mellékletét a rendszeréből. Ha Ön nem az üzenet címzettje, abban az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal visszaélnie.
Sziasztok! 2010. szeptember 22., 13:10:22, írtad:
On Wed, 2010-09-22 at 12:46 +0200, Kzoli wrote:
Lehet, hogy nem értettem a kérdést. A https://neo.itcorp.hu:8080 honlapra szeretnénk kijutni. Ez a honlap HTTPS-sel komunikál.
Pontosan erre a mondatra voltam kiváncsi:-)
Az általatok beállított konfigban volt egy intra_HTTPS_inter service beállítva, amelyiknek a listener-je a 443-as porton figyelt, és továbbította a csomagot a tproxy 50443 portra. A listeners fülön felvettem mégegy intra_HTTPS_inter service-t, amelyik a 8080-as porton figyel, és a csomagot a tproxy 58080 portra továbbítja.
Engedett még egy intra_HTTPS_inter service-t felvenni????
Szerintem az történt, amire te is gondoltál. Tehát nem a services fülön vettem fel egy új intra_HTTPS_inter szolgáltatást, hanem a listener fülön, ahol tulajdonképpen a intra_HTTPS_inter szolgáltatáshoz kapcsol egy új portot, jelen esetben a 8080-ast.
Egyébként elég lenne a 443-as porthoz kapcsolódó Listenert pontosan lemásolni, úgy hogy a rule port ne 443, hanem 8080 legyen és ugyanazt az intra_HTTPS_inter servicet indítsa. Utána Packet Filter --> Generate Skeleton. Végül mindkét komponensre jöhet a szentháromság: Commit-Upload-Restart
kipróbáltam a 443-as listener másolását és beillesztését, a 443 átírást, gyakorltilag ugyanaz történt, a intra_HTTPS_inter szolgáltatáshoz hozzárendelte a 8080 -as portot utána commit, upload, restart, packet filter, generate skeleton, upload, commit, restart. A 443-as portot kiengedi, a 8080-ast továbbra sem. A 443 természetesen megtalálható a messages-ben, a 8080 pedig nem. A /etc/iptables.conf-ba bekerülnek a ZMC-beni változtatások Az alapján, amit írtál viszont mégiscsak a packet filter nyeli le valahol a 8080 portú csomagokat. Hol kieressek tovább?
Péter
Kováts Zoli -- Üdvözlettel, Kzoli mailto:kovats.zoltan@adu-csepel.hu
Hi! On Wed, 2010-09-22 at 12:46 +0200, Kzoli wrote:
Nekem az a furcsa, hogy a ZMC-ben a view current configuration menüpont által megjelenített tartalom első két sora: Component 'Zorp' will have these files on host 'ZMS_Host': File '/etc/zorp/instances.conf': a fenti állomány -linuxon megnézve- létrejöttének dátuma viszont 2006. májusi keltezésű, és a ZMC-ben találhatókhoz képest szinte semmi nincs benne. Ezek elbeszélnek egymás mellett?
Ha a view helyett a diff-et kered akkor mond kulonbseget? Egyebkent ezek nem beszelhetnek el egymas mellett. Vagy nem azt a gepet, vagy nem azt a konyvtarat nezed ahova a zms kigeneralja az allomanyokat. Esetleg ki van kapcsolva a files menupontban az adott allomanyok generalasa. En azt mondanam, hogy amig a GUI-ban es a tuzfalon nem egyezik meg a config addig ne keressunk mashol hibat. ui.: Ugye azt, hogy a tproxy-ba raktal atiranyitast azt ugy ertetted, hogy a listener felvete magatol megcsinalta?
Sziasztok! Ma távmanagementel :) beléptem a ZMC be és megoldottam a gondot és elmagyaráztam, hogyan kell a jövőben hasonlót csinálni és hogy konzisztens maradjon a konfigotok amit régen csináltatok az új service neve inter_HTTPS_8080_inter lett! Jó éjt! Cook
Hi!
On Wed, 2010-09-22 at 12:46 +0200, Kzoli wrote:
Nekem az a furcsa, hogy a ZMC-ben a view current configuration menüpont által megjelenített tartalom első két sora: Component 'Zorp' will have these files on host 'ZMS_Host': File '/etc/zorp/instances.conf': a fenti állomány -linuxon megnézve- létrejöttének dátuma viszont 2006. májusi keltezésű, és a ZMC-ben találhatókhoz képest szinte semmi nincs benne. Ezek elbeszélnek egymás mellett?
Ha a view helyett a diff-et kered akkor mond kulonbseget?
Egyebkent ezek nem beszelhetnek el egymas mellett. Vagy nem azt a gepet, vagy nem azt a konyvtarat nezed ahova a zms kigeneralja az allomanyokat.
Esetleg ki van kapcsolva a files menupontban az adott allomanyok generalasa.
En azt mondanam, hogy amig a GUI-ban es a tuzfalon nem egyezik meg a config addig ne keressunk mashol hibat.
ui.: Ugye azt, hogy a tproxy-ba raktal atiranyitast azt ugy ertetted, hogy a listener felvete magatol megcsinalta?
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On sze, 2010-09-22 at 23:03 +0200, cook@nagymaroscsoport.hu wrote:
Sziasztok!
Ma távmanagementel :) beléptem a ZMC be és megoldottam a gondot és elmagyaráztam, hogyan kell a jövőben hasonlót csinálni és hogy konzisztens maradjon a konfigotok amit régen csináltatok az új service neve inter_HTTPS_8080_inter lett!
Szia és köszi! Jelzem én meg kaptam magánban iptables.confot és policy.pd-t és magánban leírtam mi a teendő! Péter -- Höltzl Péter CISA, IT biztonsági tanácsadó holtzl.peter@balabit.hu +36 20 366 966 http://peter.blogs.balabit.hu/ BalaBit IT Security 1115 Budapest XI. Bártfai u. 54. Tel +36 1 371 0540 Fax +36 1 208 0875 Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstől védett. Az üzenetet kizárólag a címzett, illetve az általa meghatalmazottak használhatják fel. Ha Ön nem az üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse erről az üzenet küldőjét és törölje az üzenetet, valamint annak összes csatolt mellékletét a rendszeréből. Ha Ön nem az üzenet címzettje, abban az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal visszaélnie.
participants (5)
-
cook@nagymaroscsoport.hu
-
HÖLTZL Péter
-
Höltzl Péter
-
Kzoli
-
SZALAY Attila