Hello, Ismét meggyűlt a bajom a TPROXY-val :( A múltkorihoz hasonló hibák, egy teljesen másik, vadonat új telepítésű rendszeren. A rendszer: Adamantix Linux, Zorp az Adamantix féle bináris (2.0.3.4, libzorpll 2.0.26.4). Kernel "gyári" 2.4.21 + rsbac + tproxy + pax + debian patch. Moduláris kernel, tproxy modulban. A tproxy patch a kb. 1 hete a www.balabit.hu-ról letölthető verzió. A Zorp --uid zorp --gid zorp paraméterekkel indul. Mindenhol publikus IP-k vannak (kívül/belül). Ennek megfelelően forged kliens címmel működik. Jelenség: Aug 4 12:58:48 firewall kernel: IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:79e5, sr->faddr=xxxxxxxx:7ae5, flags=90005 Aug 4 12:58:48 firewall intra_http[22304]: (firewall@firewall.hu/http:657/http): Error in setsockopt(SOL_IP, IP_TPROXY_ASSIGN), netfilter-tproxy support required; fd='16', error='Invalid argument' Alapvetően működik, a hiba csak néha jelentkezik. FTP-vel viszont szépen reprodukálható. Aktív FTP, nem anonymous. A szerver az ftp.elender.hu. Szépen be lehet lépni, és egy azaz egy db adatátvitelt is lehet csinálni. Pl egy dir parancs megy. De utána már egy ugyanott kiadott ugyanolyan dir parancs sem megy. Aug 4 11:53:58 firewall isa_ftp[20808]: (firewall@firewall.hu/ftp:0): Starting proxy instance; client_fd='14', client_address='AF_INET(1.1.1.1:46025)', client_zone='Zone(intra, 1.1.1.2/32)', client_local='AF_INET(212.108.200.74:21)' Aug 4 11:53:58 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Server connection established; server_fd='17', server_address='AF_INET(212.108.200.74:21)', server_zone='Zone(internet, 0.0.0.0/0)', server_local='AF_INET(1.1.2.1:57230)' Aug 4 11:54:00 firewall kernel: IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:92df, sr->faddr=xxxxxxx:93df, flags=90005 Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Error in setsockopt(SOL_IP, IP_TPROXY_ASSIGN), netfilter-tproxy support required; fd='18', error='Invalid argument' Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): bind() failed; error='Invalid argument' Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Error preparing server listen; Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Request Rejected; req='PORT' Bónusz kérdés: Ezt miért mondja amikor a Zorp elindul? Aug 4 11:41:34 firewall intra_ftp[20382]: (noname/nosession): bind() failed; error='No such file or directory' Slapic
On Mon, Aug 04, 2003 at 01:31:37PM +0200, Czakó Krisztián wrote:
Bónusz kérdés: Ezt miért mondja amikor a Zorp elindul? Aug 4 11:41:34 firewall intra_ftp[20382]: (noname/nosession): bind() failed; error='No such file or directory'
Hianyolja a /var/run/zorp konyvtarat? -- Udvozlettel Zsiga
2003-08-04, h keltezéssel 14:08-kor Kosa Attila ezt írta:
On Mon, Aug 04, 2003 at 01:31:37PM +0200, Czakó Krisztián wrote:
Bónusz kérdés: Ezt miért mondja amikor a Zorp elindul? Aug 4 11:41:34 firewall intra_ftp[20382]: (noname/nosession): bind() failed; error='No such file or directory'
Hianyolja a /var/run/zorp konyvtarat?
Ehem. Ez vajn' miért nincs benne a .deb-ben :( Közben a tproxy problémát kipróbáltam forgenat nélkül. Úgy is rossz az ftp. Slapic
On Mon, Aug 04, 2003 at 01:31:37PM +0200, Czakó Krisztián wrote:
Alapvetően működik, a hiba csak néha jelentkezik.
FTP-vel viszont szépen reprodukálható. Aktív FTP, nem anonymous. A szerver az ftp.elender.hu. Szépen be lehet lépni, és egy azaz egy db adatátvitelt is lehet csinálni. Pl egy dir parancs megy. De utána már egy ugyanott kiadott ugyanolyan dir parancs sem megy.
Aug 4 11:53:58 firewall isa_ftp[20808]: (firewall@firewall.hu/ftp:0): Starting proxy instance; client_fd='14', client_address='AF_INET(1.1.1.1:46025)', client_zone='Zone(intra, 1.1.1.2/32)', client_local='AF_INET(212.108.200.74:21)' Aug 4 11:53:58 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Server connection established; server_fd='17', server_address='AF_INET(212.108.200.74:21)', server_zone='Zone(internet, 0.0.0.0/0)', server_local='AF_INET(1.1.2.1:57230)' Aug 4 11:54:00 firewall kernel: IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:92df, sr->faddr=xxxxxxx:93df, flags=90005 Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Error in setsockopt(SOL_IP, IP_TPROXY_ASSIGN), netfilter-tproxy support required; fd='18', error='Invalid argument' Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): bind() failed; error='Invalid argument' Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Error preparing server listen; Aug 4 11:54:00 firewall intra_ftp[20884]: (firewall@firewall.hu/ftp:0/ftp): Request Rejected; req='PORT'
FTP-nel az adatcsatornanal akkor is van cimhamisitas, ha amugy a szolgaltatasra nincs. A heten volt nehany olyan valtoztatas, ami elvileg javit a helyzeten. A pontos okot meg nem talaltam meg, de egy olyat, ami sulyosbithatja a helyzetet, igen. #20-as verzioszamut probald ki. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Újabb szépség: Kb. 3 nap és 8 óra uptime után a tproxy már csak hibát generál. IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:ef81, sr->faddr=xxxxxxxx:f081, flags=90005 IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:f081, sr->faddr=xxxxxxxx:f181, flags=90005 IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:f181, sr->faddr=xxxxxxxx:f281, flags=90005 És így tovább. Semmilyen kérést nem szolgál ki. A zorp teljes leállítása és elindítása nem segít. A zorp leállítása után -F-el kiírtottam a filter, tproxy és nat táblákat. Ezután rmmod ipt_TPROXY, iptable_tproxy, ipt_REDIRECT. Utána netfilter szabályokat vissza (modul autoload...), zorp indít és megint működik. Slapic
On Mon, Aug 04, 2003 at 09:51:09PM +0200, Czakó Krisztián wrote:
Újabb szépség:
Kb. 3 nap és 8 óra uptime után a tproxy már csak hibát generál.
IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:ef81, sr->faddr=xxxxxxxx:f081, flags=90005 IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:f081, sr->faddr=xxxxxxxx:f181, flags=90005 IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:f181, sr->faddr=xxxxxxxx:f281, flags=90005
És így tovább. Semmilyen kérést nem szolgál ki. A zorp teljes leállítása és elindítása nem segít. A zorp leállítása után -F-el kiírtottam a filter, tproxy és nat táblákat. Ezután rmmod ipt_TPROXY, iptable_tproxy, ipt_REDIRECT. Utána netfilter szabályokat vissza (modul autoload...), zorp indít és megint működik.
akkor most mar biztos, hogy tproxy-t kene frissitened. a 20-as patch egy apro szepseghibaval mukodik, "Unresolved symbol"-t fog mondani, amit ezzel tudsz orvosolni: diff -urN --exclude-from kernel-exclude linux-2.4.21/net/netsyms.c linux-2.4.21-tproxy/net/netsyms.c --- linux-2.4.21/net/netsyms.c Fri Jun 13 16:51:39 2003 +++ linux-2.4.21-tproxy/net/netsyms.c Thu Jul 31 01:11:15 2003 @@ -380,7 +380,6 @@ EXPORT_SYMBOL(tcp_tw_deschedule); EXPORT_SYMBOL(tcp_delete_keepalive_timer); EXPORT_SYMBOL(tcp_reset_keepalive_timer); -EXPORT_SYMBOL(sysctl_local_port_range); EXPORT_SYMBOL(tcp_port_rover); EXPORT_SYMBOL(udp_port_rover); EXPORT_SYMBOL(tcp_sync_mss); @@ -412,6 +411,8 @@ #endif #endif + +EXPORT_SYMBOL(sysctl_local_port_range); EXPORT_SYMBOL(tcp_read_sock); -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
ez a patch mar bekerult a 2.4.21-21 tproxy verzioba, amit most szinkronizaltam fel a weblapunkra.
diff -urN --exclude-from kernel-exclude linux-2.4.21/net/netsyms.c linux-2.4.21-tproxy/net/netsyms.c --- linux-2.4.21/net/netsyms.c Fri Jun 13 16:51:39 2003 +++ linux-2.4.21-tproxy/net/netsyms.c Thu Jul 31 01:11:15 2003 @@ -380,7 +380,6 @@ EXPORT_SYMBOL(tcp_tw_deschedule); EXPORT_SYMBOL(tcp_delete_keepalive_timer); EXPORT_SYMBOL(tcp_reset_keepalive_timer); -EXPORT_SYMBOL(sysctl_local_port_range); EXPORT_SYMBOL(tcp_port_rover); EXPORT_SYMBOL(udp_port_rover); EXPORT_SYMBOL(tcp_sync_mss); @@ -412,6 +411,8 @@ #endif
#endif + +EXPORT_SYMBOL(sysctl_local_port_range);
EXPORT_SYMBOL(tcp_read_sock);
-- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
-- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
2003-08-05, k keltezéssel 14:16-kor Balazs Scheidler ezt írta:
On Mon, Aug 04, 2003 at 09:51:09PM +0200, Czakó Krisztián wrote:
Újabb szépség:
Kb. 3 nap és 8 óra uptime után a tproxy már csak hibát generál.
IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:ef81, sr->faddr=xxxxxxxx:f081, flags=90005 IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:f081, sr->faddr=xxxxxxxx:f181, flags=90005 IP_TPROXY: socket already assigned, reuse=1, xxxxxxxx:f181, sr->faddr=xxxxxxxx:f281, flags=90005
És így tovább. Semmilyen kérést nem szolgál ki. A zorp teljes leállítása és elindítása nem segít. A zorp leállítása után -F-el kiírtottam a filter, tproxy és nat táblákat. Ezután rmmod ipt_TPROXY, iptable_tproxy, ipt_REDIRECT. Utána netfilter szabályokat vissza (modul autoload...), zorp indít és megint működik.
akkor most mar biztos, hogy tproxy-t kene frissitened. a 20-as patch egy apro szepseghibaval mukodik, "Unresolved symbol"-t fog mondani, amit ezzel tudsz orvosolni:
A 22-es tproxy (gyorsan jönnek az újak:), tproxy hibaüzenet egyelőre nincs (10 perc teszt eddig). Viszont van ez: Aug 6 15:17:09 firewall intra_ftp[1319]: (firewall@firewall.hu/ftp:4/ftp): Rejected answer; from='250 CWD command successful.', to='500 Error parsing answer' Ez vajon miért? Ez fut: class FtpAllow(FtpProxyRW): def config(self): FtpProxyRW.config(self) self.transparent_mode = TRUE self.timeout=600000; self.request["FEAT"] = (FTP_REQ_ACCEPT) def intra_ftp(): Service("ftp", FtpAllow, router=TransparentRouter(), snat=ForgeClientSourceNAT()) Listener(SockAddrInet("1.1.1.1", 30021), "ftp") Bónusz kérdés: hogyan kell iptables INPUT láncon tproxy match-et csinálni? iptables -t filter -A INPUT -m tproxy ???? -j ACCEPT Mi jön a ???? helyett? Slapic
On Wed, Aug 06, 2003 at 03:27:47PM +0200, Czakó Krisztián wrote:
Bónusz kérdés: hogyan kell iptables INPUT láncon tproxy match-et csinálni? iptables -t filter -A INPUT -m tproxy ???? -j ACCEPT Mi jön a ???? helyett?
Semmi. Marci --
participants (4)
-
Balazs Scheidler
-
Czakó Krisztián
-
Illes Marton
-
Kosa Attila