sziasztok! olyan kérdésem lenne, hogy hogyan tudom beállítani azt, hogy a zonák közti átjárás ne legyen. illetve hogyan érdemes létrehozni a zónákat? mire kellene figyelnem? aki tud ebben segíteni az kérem írjon rám. köszönöm segítségetek: jani
Szia, ahhoz, hogy a zónák között semmilyen kommunikáció ne legyen engedélyezett, alapvetően két dolognak kell érvényesülnie: - a zónák a tűzfalon keresztül kapcsolódjanak egymáshoz - a csomagszűrő ne engedje át a zónák közötti kommunikációt vagy ne dobja fel a zorp-nak Ez utóbbit úgy tudod a legegyszerűbben elérni, hogy a filter tábla FORWARD láncán DROP a default policy és explicit felveszed azokat a szabályokat, amikre szükség van, pl. ha csak az 192.168.0.123 beszélhet az eth0 láb felé, akkor iptables -P FORWARD DROP iptables -F FORWARD iptables -A FORWARD -s 192.168.0.123 -o eth0 -j ACCEPT A zónaszerkezet kialakításánál arra érdemes figyelni, hogy az minél jobban fedje a tényleges logikai topológiát, akkor lesz könnyen kezelhető, ha megfelel a valós hálózatnak. A zónaszerkezetnél mindenképp érdemes használni az öröklődést (admin_parent), viszonylag nehéz a lapos zónastruktúrát kezelni. Üdv, Balint On 11/08/2010 04:36 PM, János Turi wrote:
sziasztok! olyan kérdésem lenne, hogy hogyan tudom beállítani azt, hogy a zonák közti átjárás ne legyen. illetve hogyan érdemes létrehozni a zónákat? mire kellene figyelnem? aki tud ebben segíteni az kérem írjon rám. köszönöm segítségetek: jani _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
Sziasztok, nem talalom az apt repot. Ez volt, de mar nincs meg: deb http://apt.balabit.hu/zorp-gpl-os/ 3.1 zorp-gpl zorp-os common-gpl common-gpl-dev main zorp-os-dev zorp-os-extra Mi az uj cime? Barina Tamás
Sziasztok, adott egy frissen letoltott es forditott zorp. Inditanam, de ezzel all le: root@fw:/etc/zorp# zorpctl start Starting Zorp Firewall Suite: Traceback (most recent call last): File "/etc/zorp/policy.py", line 2, in <module> from Zorp.Core import * File "/usr/share/zorp/pylib/Zorp/Core.py", line 39, in <module> from Zone import InetZone File "/usr/share/zorp/pylib/Zorp/Zone.py", line 136, in <module> import kznf.kznfnetlink ImportError: No module named kznf.kznfnetlink AttributeError: 'module' object has no attribute 'deinit' AttributeError: 'module' object has no attribute 'purge' WebHttp! The following errors occurred so far: Zorp instance startup failed, instance='WebHttp', rc='512' Van valakinek otlete merre induljak el? Udv, Barina Tamas
Barina Tamas írta:
Sziasztok,
adott egy frissen letoltott es forditott zorp. Inditanam, de ezzel all le:
root@fw:/etc/zorp# zorpctl start Starting Zorp Firewall Suite: Traceback (most recent call last): File "/etc/zorp/policy.py", line 2, in <module> from Zorp.Core import * File "/usr/share/zorp/pylib/Zorp/Core.py", line 39, in <module> from Zone import InetZone File "/usr/share/zorp/pylib/Zorp/Zone.py", line 136, in <module> import kznf.kznfnetlink ImportError: No module named kznf.kznfnetlink AttributeError: 'module' object has no attribute 'deinit' AttributeError: 'module' object has no attribute 'purge' WebHttp!
valószínűleg a python-kzorp csomagod hiányzik, itt találhatsz egy jó leírást angolul a 3.3-as Zorp használatáról: http://talien.blogs.balabit.com/2010/10/using-zorp-3-3-gpl-on-ubuntu-lucid/
Thx. Megnezem. Barina Tamás -----Original Message----- From: zorp-hu-bounces@lists.balabit.hu [mailto:zorp-hu-bounces@lists.balabit.hu] On Behalf Of Tusa Viktor Sent: Thursday, January 13, 2011 2:47 PM To: Magyar nyelvu Zorp levelezesi lista. Subject: Re: [zorp-hu] zorp-3.3.6 + libzorpll-3.3.0.14 + ubuntu 10.10 amd64 Barina Tamas írta:
Sziasztok,
adott egy frissen letoltott es forditott zorp. Inditanam, de ezzel all le:
root@fw:/etc/zorp# zorpctl start Starting Zorp Firewall Suite: Traceback (most recent call last): File "/etc/zorp/policy.py", line 2, in <module> from Zorp.Core import * File "/usr/share/zorp/pylib/Zorp/Core.py", line 39, in <module> from Zone import InetZone File "/usr/share/zorp/pylib/Zorp/Zone.py", line 136, in <module> import kznf.kznfnetlink ImportError: No module named kznf.kznfnetlink AttributeError: 'module' object has no attribute 'deinit' AttributeError: 'module' object has no attribute 'purge' WebHttp!
valószínűleg a python-kzorp csomagod hiányzik, itt találhatsz egy jó leírást angolul a 3.3-as Zorp használatáról: http://talien.blogs.balabit.com/2010/10/using-zorp-3-3-gpl-on-ubuntu-lucid/ _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
Sziasztok, keresem az idealis platformot. Most a $subj- osszeallitast probalom eppen: Elindul ugyan, de a csatolt hibauzenet jelenik meg a logban. Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.debug(0): (nosession): Starting up; verbose_level='3', version='3.3.6', startup_id='1294952048' Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Error pinging KZorp, it is probably unavailable; exc_value=''module' object has no attribute 'NETLINK_NETFILTER'' Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Error downloading KZorp configuration, Python traceback follows; error=''module' object has no attribute 'NETLINK_NETFILTER'' Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/share/zorp/pylib/Zorp/Zorp.py", line 391, in init Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: KZorp.downloadKZorpConfig(names[0]) Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/share/zorp/pylib/Zorp/KZorp.py", line 79, in downloadKZorpConfig Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: h = openHandle() Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/share/zorp/pylib/Zorp/KZorp.py", line 32, in openHandle Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: h = kznf.nfnetlink.Handle() Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/lib/pymodules/python2.6/kznf/nfnetlink.py", line 200, in __init__ Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: fd = socket.socket(socket.AF_NETLINK, socket.SOCK_RAW, socket.NETLINK_NETFILTER) kernel: 2.6.32-5-amd64 Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1 The runtime library of Zorp ii libzorpll3.3-0 3.3.0.12-4 Low level library functions for Zorp ii python-kzorp 3.3.6-1.1 Python bindings for kzorp. ii zorp 3.3.6-1.1 An advanced protocol analyzing firewall ii zorp-modules 3.3.6-1.1 Default proxy modules for Zorp Mi hianyzik neki? Barina Tamás
On Thu, 2011-01-13 at 22:01 +0100, Barina Tamas wrote:
Sziasztok,
keresem az idealis platformot. Most a $subj- osszeallitast probalom eppen: Elindul ugyan, de a csatolt hibauzenet jelenik meg a logban.
Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.debug(0): (nosession): Starting up; verbose_level='3', version='3.3.6', startup_id='1294952048' Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Error pinging KZorp, it is probably unavailable; exc_value=''module' object has no attribute 'NETLINK_NETFILTER'' Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Error downloading KZorp configuration, Python traceback follows; error=''module' object has no attribute 'NETLINK_NETFILTER'' Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/share/zorp/pylib/Zorp/Zorp.py", line 391, in init Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: KZorp.downloadKZorpConfig(names[0]) Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/share/zorp/pylib/Zorp/KZorp.py", line 79, in downloadKZorpConfig Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: h = openHandle() Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/share/zorp/pylib/Zorp/KZorp.py", line 32, in openHandle Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: h = kznf.nfnetlink.Handle() Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: File "/usr/lib/pymodules/python2.6/kznf/nfnetlink.py", line 200, in __init__ Jan 13 21:54:08 fw zorp/WebHttp[2740]: core.error(0): (nosession): Traceback: fd = socket.socket(socket.AF_NETLINK, socket.SOCK_RAW, socket.NETLINK_NETFILTER)
kernel: 2.6.32-5-amd64 Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1 The runtime library of Zorp ii libzorpll3.3-0 3.3.0.12-4 Low level library functions for Zorp ii python-kzorp 3.3.6-1.1 Python bindings for kzorp. ii zorp 3.3.6-1.1 An advanced protocol analyzing firewall ii zorp-modules 3.3.6-1.1 Default proxy modules for Zorp
a python-bol hianyzik neki egy NETLINK_NETFILTER szimbolum. nalunk valoszinuleg a patchelt python-ban ez benne van. linux/netlink.h:#define NETLINK_NETFILTER 12 /* netfilter subsystem */ csereben viszont a config.options.kzorp_enabled FALSE-ra allitasaval ki tudod kapcsolni a teljes KZorpot, ami valoszinuleg amugy sincs a kerneledben. -- Bazsi
Sziasztok, On 01/19/2011 08:38 AM, Balazs Scheidler wrote:
kernel: 2.6.32-5-amd64 Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1 The runtime library of Zorp ii libzorpll3.3-0 3.3.0.12-4 Low level library functions for Zorp ii python-kzorp 3.3.6-1.1 Python bindings for kzorp. ii zorp 3.3.6-1.1 An advanced protocol analyzing firewall ii zorp-modules 3.3.6-1.1 Default proxy modules for Zorp
a python-bol hianyzik neki egy NETLINK_NETFILTER szimbolum. nalunk valoszinuleg a patchelt python-ban ez benne van.
linux/netlink.h:#define NETLINK_NETFILTER 12 /* netfilter subsystem */
csereben viszont a config.options.kzorp_enabled FALSE-ra allitasaval ki tudod kapcsolni a teljes KZorpot, ami valoszinuleg amugy sincs a kerneledben.
Sajnos viszont ebben a Zorp verzioban valoszinuleg meg benne van az a hiba, hogy akkor is megprobal kommunikalni a KZorppal, ha azt kesobb amugy nem hasznalna, igy nem biztos, hogy csak a Bazsi altal emlitett config opcioval meg lehet oldani ezt a problemat. Mindjart utananezek. -- KOVACS Krisztian
On Wed, Jan 19, 2011 at 10:42:09AM +0100, KOVACS Krisztian wrote:
On 01/19/2011 08:38 AM, Balazs Scheidler wrote:
Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1
a python-bol hianyzik neki egy NETLINK_NETFILTER szimbolum. nalunk valoszinuleg a patchelt python-ban ez benne van.
linux/netlink.h:#define NETLINK_NETFILTER 12 /* netfilter subsystem */
csereben viszont a config.options.kzorp_enabled FALSE-ra allitasaval ki tudod kapcsolni a teljes KZorpot, ami valoszinuleg amugy sincs a kerneledben.
Sajnos viszont ebben a Zorp verzioban valoszinuleg meg benne van az a hiba, hogy akkor is megprobal kommunikalni a KZorppal, ha azt kesobb amugy nem hasznalna, igy nem biztos, hogy csak a Bazsi altal emlitett config opcioval meg lehet oldani ezt a problemat. Mindjart utananezek.
Engem is erdekelne a valasz. Plusz az is, hogy Lenny alatt lehet-e hasznalni a 3.3.6-os zorp verziot. Azt mar tudom, hogy portolni kellene, de azt nem, hogy fog-e mukodni, es kernel szinten mi kellene hozza. -- Udvozlettel Zsiga
On Mon, 2011-01-24 at 15:04 +0100, Kosa Attila wrote:
On Wed, Jan 19, 2011 at 10:42:09AM +0100, KOVACS Krisztian wrote:
On 01/19/2011 08:38 AM, Balazs Scheidler wrote:
Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1
a python-bol hianyzik neki egy NETLINK_NETFILTER szimbolum. nalunk valoszinuleg a patchelt python-ban ez benne van.
linux/netlink.h:#define NETLINK_NETFILTER 12 /* netfilter subsystem */
csereben viszont a config.options.kzorp_enabled FALSE-ra allitasaval ki tudod kapcsolni a teljes KZorpot, ami valoszinuleg amugy sincs a kerneledben.
Sajnos viszont ebben a Zorp verzioban valoszinuleg meg benne van az a hiba, hogy akkor is megprobal kommunikalni a KZorppal, ha azt kesobb amugy nem hasznalna, igy nem biztos, hogy csak a Bazsi altal emlitett config opcioval meg lehet oldani ezt a problemat. Mindjart utananezek.
Engem is erdekelne a valasz. Plusz az is, hogy Lenny alatt lehet-e hasznalni a 3.3.6-os zorp verziot. Azt mar tudom, hogy portolni kellene, de azt nem, hogy fog-e mukodni, es kernel szinten mi kellene hozza.
csak fyi, hogy GPL fronton a kozeljovoben varhato elorelepes, a 3.9.x-es ag megnyitasaval. egy kicsit osszeszedtuk magunkat, es igyekszunk jobb allapotban tartani a GPL verziot, sot novelni is a jelenletunket. :) ehhez helyre kellett razni egy-ket folyamatot, modositani/irni kellett egy-ket scriptet, de rovidesen jobb lesz a helyzet. egyebkent elvi akadalya nincs a lennyn valo mukodesnek, de sosem "lattam". ujabb Zorp verziokat (amikbol sajna nem volt GPL release) mar lattam, de ezek majd a 3.9.x-ben lesznek benne. -- Bazsi
On Mon, Jan 24, 2011 at 05:40:07PM +0100, Balazs Scheidler wrote:
On Mon, 2011-01-24 at 15:04 +0100, Kosa Attila wrote:
Engem is erdekelne a valasz. Plusz az is, hogy Lenny alatt lehet-e hasznalni a 3.3.6-os zorp verziot. Azt mar tudom, hogy portolni kellene, de azt nem, hogy fog-e mukodni, es kernel szinten mi kellene hozza.
csak fyi, hogy GPL fronton a kozeljovoben varhato elorelepes, a 3.9.x-es ag megnyitasaval. egy kicsit osszeszedtuk magunkat, es igyekszunk jobb allapotban tartani a GPL verziot, sot novelni is a jelenletunket. :)
ehhez helyre kellett razni egy-ket folyamatot, modositani/irni kellett egy-ket scriptet, de rovidesen jobb lesz a helyzet.
Mikor? :) Napok, hetek, honapok?
egyebkent elvi akadalya nincs a lennyn valo mukodesnek, de sosem "lattam". ujabb Zorp verziokat (amikbol sajna nem volt GPL release) mar lattam, de ezek majd a 3.9.x-ben lesznek benne.
A 3.3.6-os verziohoz elerhetoek kernelpatch-ek, amelyeket fel lehet rakni a "gyari" debianos kernelre? A 3.9.x-hez lesznek ilyen patch-ek? A 3.9.x fog menni Lenny alatt? A 3.1-es agat miert nem lehet letolteni toletek? Azt mar sikerult mukodesre birni Lenny alatt... Mi lesz a valtozas a 3.9.x-ben a 3.3.6-hoz kepest? -- Udvozlettel Zsiga
Sziasztok, On 01/24/2011 03:04 PM, Kosa Attila wrote:
On Wed, Jan 19, 2011 at 10:42:09AM +0100, KOVACS Krisztian wrote:
On 01/19/2011 08:38 AM, Balazs Scheidler wrote:
Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1
a python-bol hianyzik neki egy NETLINK_NETFILTER szimbolum. nalunk valoszinuleg a patchelt python-ban ez benne van.
linux/netlink.h:#define NETLINK_NETFILTER 12 /* netfilter subsystem */
csereben viszont a config.options.kzorp_enabled FALSE-ra allitasaval ki tudod kapcsolni a teljes KZorpot, ami valoszinuleg amugy sincs a kerneledben.
Sajnos viszont ebben a Zorp verzioban valoszinuleg meg benne van az a hiba, hogy akkor is megprobal kommunikalni a KZorppal, ha azt kesobb amugy nem hasznalna, igy nem biztos, hogy csak a Bazsi altal emlitett config opcioval meg lehet oldani ezt a problemat. Mindjart utananezek.
Engem is erdekelne a valasz. Plusz az is, hogy Lenny alatt lehet-e hasznalni a 3.3.6-os zorp verziot. Azt mar tudom, hogy portolni kellene, de azt nem, hogy fog-e mukodni, es kernel szinten mi kellene hozza.
A lennyrol nem tudok sajnos nyilatkozni. A fenti pythonos hibat a csatolt patch megoldja. Nekem legalabbis ezek utan mar elindul a Zorp, a kovetkezo egyszeru konfiggal: - 8< - from Zorp.Core import * from Zorp.Http import * Zorp.firewall_name = 'zorp@site' InetZone("internet", "0.0.0.0/0", inbound_services=["*"], outbound_services=["*"]) def zorp_plug(): Service("plug", HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet("2.3.4.5", 80))) Dispatcher(bindto=DBSockAddr(protocol=ZD_PROTO_TCP, sa=SockAddrInet("2.3.4.5", 50080)), service="plug") - 8< - -- KOVACS Krisztian
Köszi, patch megvolt, kzorp false. Így a log ok. De ha a forde address = truet -t hasznalom, timeout lesz belole. Mit hagytam ki? def WebHttp(): Service("http_web", Http, router=DirectedRouter(dest_addr=SockAddrInet("192.168.113.11", 80), overrideable=FALSE, forge_addr=TRUE)) Dispatcher(bindto=DBSockAddr(protocol=ZD_PROTO_TCP, sa=SockAddrInet("192.168.244.201", 80)), service="http_web") Ahol a 192.168.244.201 az eth0:0 a webszerver kulso cime es a 192.168.113.11 webszerver dmz-s címe. Barina Tamás -----Original Message----- From: zorp-hu-bounces@lists.balabit.hu [mailto:zorp-hu-bounces@lists.balabit.hu] On Behalf Of KOVACS Krisztian Sent: Tuesday, January 25, 2011 3:29 PM To: zorp-hu@lists.balabit.hu Subject: Re: [zorp-hu] zorp 3.3.6 + libzorpll 3.3.0.12 + Debian 6.0 Sziasztok, On 01/24/2011 03:04 PM, Kosa Attila wrote:
On Wed, Jan 19, 2011 at 10:42:09AM +0100, KOVACS Krisztian wrote:
On 01/19/2011 08:38 AM, Balazs Scheidler wrote:
Csomagok: root@fw:~# dpkg -l | grep zorp ii libzorp0 3.3.6-1.1
a python-bol hianyzik neki egy NETLINK_NETFILTER szimbolum. nalunk valoszinuleg a patchelt python-ban ez benne van.
linux/netlink.h:#define NETLINK_NETFILTER 12 /* netfilter subsystem */
csereben viszont a config.options.kzorp_enabled FALSE-ra allitasaval ki tudod kapcsolni a teljes KZorpot, ami valoszinuleg amugy sincs a kerneledben.
Sajnos viszont ebben a Zorp verzioban valoszinuleg meg benne van az a hiba, hogy akkor is megprobal kommunikalni a KZorppal, ha azt kesobb amugy nem hasznalna, igy nem biztos, hogy csak a Bazsi altal emlitett config opcioval meg lehet oldani ezt a problemat. Mindjart utananezek.
Engem is erdekelne a valasz. Plusz az is, hogy Lenny alatt lehet-e hasznalni a 3.3.6-os zorp verziot. Azt mar tudom, hogy portolni kellene, de azt nem, hogy fog-e mukodni, es kernel szinten mi kellene hozza.
A lennyrol nem tudok sajnos nyilatkozni. A fenti pythonos hibat a csatolt patch megoldja. Nekem legalabbis ezek utan mar elindul a Zorp, a kovetkezo egyszeru konfiggal: - 8< - from Zorp.Core import * from Zorp.Http import * Zorp.firewall_name = 'zorp@site' InetZone("internet", "0.0.0.0/0", inbound_services=["*"], outbound_services=["*"]) def zorp_plug(): Service("plug", HttpProxy, router=DirectedRouter(dest_addr=SockAddrInet("2.3.4.5", 80))) Dispatcher(bindto=DBSockAddr(protocol=ZD_PROTO_TCP, sa=SockAddrInet("2.3.4.5", 50080)), service="plug") - 8< - -- KOVACS Krisztian
Sziasztok, On 01/26/2011 12:01 PM, Barina Tamas wrote:
Köszi,
patch megvolt, kzorp false. Így a log ok. De ha a forde address = truet -t hasznalom, timeout lesz belole. Mit hagytam ki?
def WebHttp(): Service("http_web", Http, router=DirectedRouter(dest_addr=SockAddrInet("192.168.113.11", 80), overrideable=FALSE, forge_addr=TRUE)) Dispatcher(bindto=DBSockAddr(protocol=ZD_PROTO_TCP, sa=SockAddrInet("192.168.244.201", 80)), service="http_web")
Ahol a 192.168.244.201 az eth0:0 a webszerver kulso cime es a 192.168.113.11 webszerver dmz-s címe.
Valószínűleg a tproxy-d nem működik úgy, ahogy kellene. (tcpdump-pal meg tudnád nézni, hogy egyáltalán megy-e ki valamilyen csomag, jön-e válasz, stb.) Milyen kernellel próbálod? És milyen az iptables konfigod? -- KOVACS Krisztian
Sziasztok, kernel: 2.6.32-5-amd64 Debian 6.0 alapkernel root@fw:/etc/zorp# lsmod | grep TPROXY xt_TPROXY 1329 0 nf_defrag_ipv4 1139 2 nf_conntrack_ipv4,xt_TPROXY x_tables 12845 8 ipt_LOG,xt_limit,xt_tcpudp,xt_state,iptable_nat,xt_multiport,ip_tables,xt_TP ROXY nf_tproxy_core 1549 1 xt_TPROXY,[permanent] Ezek szerint az a megoldás nem működik a zorpnál, hogy a külső ip címen figyel és ő beküldi a belső gépnek? Ezért nem használtam hozzá semmilyen iptables + tproxy dolgot. (Csupan annyit, hogy a dmz-ből kilásson.) Barina Tamás -----Original Message----- From: zorp-hu-bounces@lists.balabit.hu [mailto:zorp-hu-bounces@lists.balabit.hu] On Behalf Of KOVACS Krisztian Sent: Wednesday, January 26, 2011 1:09 PM To: zorp-hu@lists.balabit.hu Subject: Re: [zorp-hu] zorp 3.3.6 + libzorpll 3.3.0.12 + Debian 6.0 Sziasztok, On 01/26/2011 12:01 PM, Barina Tamas wrote:
Köszi,
patch megvolt, kzorp false. Így a log ok. De ha a forde address = truet -t hasznalom, timeout lesz belole. Mit hagytam ki?
def WebHttp(): Service("http_web", Http, router=DirectedRouter(dest_addr=SockAddrInet("192.168.113.11", 80), overrideable=FALSE, forge_addr=TRUE)) Dispatcher(bindto=DBSockAddr(protocol=ZD_PROTO_TCP, sa=SockAddrInet("192.168.244.201", 80)), service="http_web")
Ahol a 192.168.244.201 az eth0:0 a webszerver kulso cime es a 192.168.113.11 webszerver dmz-s címe.
Valószínűleg a tproxy-d nem működik úgy, ahogy kellene. (tcpdump-pal meg tudnád nézni, hogy egyáltalán megy-e ki valamilyen csomag, jön-e válasz, stb.) Milyen kernellel próbálod? És milyen az iptables konfigod? -- KOVACS Krisztian _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
Sziasztok, On 01/26/2011 01:58 PM, Barina Tamas wrote:
Sziasztok,
kernel: 2.6.32-5-amd64 Debian 6.0 alapkernel root@fw:/etc/zorp# lsmod | grep TPROXY xt_TPROXY 1329 0 nf_defrag_ipv4 1139 2 nf_conntrack_ipv4,xt_TPROXY x_tables 12845 8 ipt_LOG,xt_limit,xt_tcpudp,xt_state,iptable_nat,xt_multiport,ip_tables,xt_TP ROXY nf_tproxy_core 1549 1 xt_TPROXY,[permanent]
Ezek szerint az a megoldás nem működik a zorpnál, hogy a külső ip címen figyel és ő beküldi a belső gépnek?
De, működik, csak a tproxyt kicsit konfigurálni kell.
Ezért nem használtam hozzá semmilyen iptables + tproxy dolgot. (Csupan annyit, hogy a dmz-ből kilásson.)
Az upstream kernelben (és így a Debian kernelben is) olyan tproxy van, ami némi konfigurációt igényel. Ami nálad nem működik az az, hogy ha kiküld egy csomagot spoofolt forráscímmel, akkor az arra érkező válaszok is visszajussanak a Zorpig. Sajnos ez ez upstream tproxyban már nem működik out-of-the-box, mindenképpen kell hozzá egy policy routing szabály és egy extra iptables szabály. Röviden összefoglalva arról van szó, hogy van egy 'socket' match, ami minden olyan csomagra matchel, ami egy, a hoston nyitott socketet címez (tehát ez matchelni fog például a fent említett válaszcsomagokra). Ezt a 'socket' matchet használhatjuk arra, hogy az ilyen csomagokat mindenképpen lokálisan routolunk policy routinggal, hogy az a Zorphoz jusson. Tehát valami ilyesmi minimális iptables ruleset és policy routing kell ahhoz, hogy a tproxy minimálisan működjön: # iptables -t mangle -N DIVERT # iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT # iptables -t mangle -A DIVERT -j MARK --set-mark 1 # iptables -t mangle -A DIVERT -j ACCEPT # ip route add local 0.0.0.0/0 dev lo table 100 # ip rule add fwmark 1 lookup 100 Részletesebb infókat itt találhatsz: http://wiki.squid-cache.org/Features/Tproxy4 http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob_plai... -- KOVACS Krisztian
Köszönöm. Ez kellett hozzá. Most belövöm a többi részét, jelzek a helyzetről. De most szándékosan mindent a Debian 6.0-s csomagokkal követtem el, ebben a disztribúcióban miként megy a dolog. Barina Tamás -----Original Message----- From: zorp-hu-bounces@lists.balabit.hu [mailto:zorp-hu-bounces@lists.balabit.hu] On Behalf Of KOVACS Krisztian Sent: Wednesday, January 26, 2011 4:48 PM To: zorp-hu@lists.balabit.hu Subject: Re: [zorp-hu] zorp 3.3.6 + libzorpll 3.3.0.12 + Debian 6.0 Sziasztok, On 01/26/2011 01:58 PM, Barina Tamas wrote:
Sziasztok,
kernel: 2.6.32-5-amd64 Debian 6.0 alapkernel root@fw:/etc/zorp# lsmod | grep TPROXY xt_TPROXY 1329 0 nf_defrag_ipv4 1139 2 nf_conntrack_ipv4,xt_TPROXY x_tables 12845 8
ipt_LOG,xt_limit,xt_tcpudp,xt_state,iptable_nat,xt_multiport,ip_tables,xt_TP
ROXY nf_tproxy_core 1549 1 xt_TPROXY,[permanent]
Ezek szerint az a megoldás nem működik a zorpnál, hogy a külső ip címen figyel és ő beküldi a belső gépnek?
De, működik, csak a tproxyt kicsit konfigurálni kell.
Ezért nem használtam hozzá semmilyen iptables + tproxy dolgot. (Csupan annyit, hogy a dmz-ből kilásson.)
Az upstream kernelben (és így a Debian kernelben is) olyan tproxy van, ami némi konfigurációt igényel. Ami nálad nem működik az az, hogy ha kiküld egy csomagot spoofolt forráscímmel, akkor az arra érkező válaszok is visszajussanak a Zorpig. Sajnos ez ez upstream tproxyban már nem működik out-of-the-box, mindenképpen kell hozzá egy policy routing szabály és egy extra iptables szabály. Röviden összefoglalva arról van szó, hogy van egy 'socket' match, ami minden olyan csomagra matchel, ami egy, a hoston nyitott socketet címez (tehát ez matchelni fog például a fent említett válaszcsomagokra). Ezt a 'socket' matchet használhatjuk arra, hogy az ilyen csomagokat mindenképpen lokálisan routolunk policy routinggal, hogy az a Zorphoz jusson. Tehát valami ilyesmi minimális iptables ruleset és policy routing kell ahhoz, hogy a tproxy minimálisan működjön: # iptables -t mangle -N DIVERT # iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT # iptables -t mangle -A DIVERT -j MARK --set-mark 1 # iptables -t mangle -A DIVERT -j ACCEPT # ip route add local 0.0.0.0/0 dev lo table 100 # ip rule add fwmark 1 lookup 100 Részletesebb infókat itt találhatsz: http://wiki.squid-cache.org/Features/Tproxy4 http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob_plai n;f=Documentation/networking/tproxy.txt;hb=HEAD -- KOVACS Krisztian _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
participants (7)
-
Balazs Scheidler
-
Barina Tamas
-
János Turi
-
Kosa Attila
-
KOVACS Krisztian
-
Kovács Bálint
-
Tusa Viktor