Hello! Bocsanat, hogy mar megint ilyen hosszu levelet irok, de ugy latszik, kicsit nehez a felfogasom :) Igyekeztem belezsufolni mindent, amire szuksegem lehet, de megint van egy par kerdesem. Egy kupacba tettem az osszetartozo dolgokat, de csak a konnyebb erthetoseg (szamomra) miatt. Tudom, hogy a valosagban nem igy kell. # A tuzfal belso halo feloli laba: 192.168.0.250 eth2 # A tuzfal DMZ feloli laba: 192.168.1.1 eth1 # A tuzfal internet feloli laba: 100.100.100.100 eth0 # Egy altalanos kerdes: hogyan tudom szabalyozni, hogy # (ip-cim szerint) mely gepek milyen szolgaltatasokat # erhetnek el a tuzfalon keresztul? Ez a konfig melyik # zorp verzioval mukodik stabilan? Ugyanis ugy lattam, # hogy a 0.7.11-es verzional mar mas a konfig. from Zorp import Zorp, SockAddr, Listener, Zone, Service, Chainer from Zorp import Stream, Plug, POP3, AnyPy, Ftp, Session, Sink from Zorp import Receiver, Http, Auth from Zorp.Zorp import * Zorp.firewall_name = 'zorp1@teszt.hu' Zorp.zones = [ InetZone("intranet","192.168.0.0","255.255.255.0", None, outbound_services["BIHttp", "BIFtp", "BIPop", "BDHttp", "BDSsh", "BDPop"], inbound_services[]), InetZone("DMZ", "192.168.1.0", "255.255.255.0", None, outbound_services[], inbound_services["BDHttp", "BDSsh", "BDPop", "IDHttp", "IDPop"]), InetZone("internet", "0.0.0.0", "0.0.0.0", None, outbound_services["IDHttp", "IDPop"], inbound_services["BIHttp", "BIFtp", "BIPop"])] #---------------------------------------------------------# # A belso halorol az internet elerese http-n keresztul class BIHttp(Http.HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 # self.request["POST"] = (Http.HTTP_DROP) def init(name): BIHttp_service = \ Service("BIHttp", InbandChainer(), BIHttp) # A kesobbiekben szeretnek egy proxyt is kesziteni a belso # halozatra, de egyelore direktben szeretnem kiengedni a # usereket. Erdemes-e beletenni a "-s 192.168.0.0/24" reszt? # ipchains -A input -i eth2 -d 0/0 80 -j REDIRECT 3128 Listener(SockAddrInet("192.168.0.250", 3128), BIHttp_service) # Ha kesz lesz a proxy-szerver (squid), akkor csak az # atiranyitast kell megvaltoztatnom? Ahogy en gondolom: # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 80 -j REDIRECT 3128 # Es ekkor a proxyn nem kell semmit beallitani, ugye? #---------------------------------------------------------# #---------------------------------------------------------# # A belso halorol az internet elerese ftp-n keresztul class BIFtp(FtpProxyAllow): def config(self): FtpProxy.config(self) self.fw_server_data.ip_s="100.100.100.100" self.fw_client_data.ip_s="192.168.0.250" NAT = 1 def init(name): BIFtp_service = \ Service("BIFtp", TransparentChainer(), BIFtp) # A Windowsos kliensek tudnak-e igy ftp-zni? # ipchains -A input -i eth2 -d 0/0 21 -j REDIRECT 2021 # ipchains -A input -i eth2 -d 0/0 1024: -j REDIRECT 0 Listener(SockAddrInet("192.168.0.250", 2021), BIFtp_service) # Ha kesz lesz a proxy-szerver (squid), akkor ezeket az # atiranyitasokat is at kell irni. Ahogy en kepzelem: # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 21 -j REDIRECT 2021 # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 1024: -j REDIRECT 0 # A Windowsos kliensek tudnak-e igy ftp-zni (proxyn # keresztul)? #---------------------------------------------------------# #---------------------------------------------------------# # A belso halorol az internet elerese pop3-mon keresztul class BIPop(PlugProxy): def config(self): pass def init(name): BIPop_service = \ Service("BIPop", TransparentChainer(), BIPop) # ipchains -A input -i eth2 -d 0/0 110 -j REDIRECT 2110 Listener(SockAddrInet("192.168.0.250", 2110), BIPop_service) # Ha korlatozni szeretnem, hogy mely gepek mehetnek ki ezen # a szolgaltatason keresztul, akkor azt hogyan kell # beallitani? Ha azt is korlatozni szeretnem, hogy mely # gepeket erhetik el a neten pop3-mal (pl. matav, elender), # akkor kulon kell bontanom a matavos es elenderes elerest, # es az ipchains-szel iranyitani a megfelelo porton figyelo # service-hez? Akkor megint felmerul az ip-cim szerinti # megkulonboztetes kerdese, illetve itt meg felmerul az is, # hogy mi a helyzet azzal, aki mindkettot szeretne # hasznalni? #---------------------------------------------------------# #---------------------------------------------------------# # A belso halorol a DMZ elerese pop3-mon keresztul class BDPop(PlugProxy): def config(self): pass def init(name): BDPop_service = \ Service("BDPop", TransparentChainer(), BDPop) # ipchains -A input -i eth2 -d 192.168.1.3 110 -j REDIRECT 3110 Listener(SockAddrInet("192.168.0.250", 3110), BIPop_service) #---------------------------------------------------------# #---------------------------------------------------------# # Az internetrol a DMZ elerese pop3-mon keresztul class IDPop(PlugProxy): def config(self): pass def init(name): IDPop_service = \ Service("IDPop", TransparentChainer(), IDPop) # ipchains -A input -i eth0 -d 192.168.1.3 110 -j REDIRECT 4110 Listener(SockAddrInet("100.100.100.100", 4110), BIPop_service) # Ezt inkabb DirectedChainer-rel kellene megoldani? #---------------------------------------------------------# #---------------------------------------------------------# # A belso halorol a DMZ elerese http-n keresztul class BDHttp(HttpProxy): def config(self): self.transparent_mode = 1 def init(name): BDHttp_service = \ Service("BDHttp", TransparentChainer(), BDHttp) # A 192.168.1.2 80-as portjan figyel a www-szerver. # ipchains -A input -i eth2 -d 192.168.1.2 80 -j REDIRECT 3080 Listener(SockAddrInet("192.168.0.250", 3080), BDHttp_service) #---------------------------------------------------------# #---------------------------------------------------------# # A belso halorol a DMZ elerese ssh-n keresztul class BDSsh(PlugProxy): def config(self): pass def init(name): BDSsh_service = \ Service("BDSsh", TransparentChainer(), BDSsh) # ipchains -A input -i eth2 -d 192.168.1.0/24 22 -j REDIRECT 3022 Listener(SockAddrInet("192.168.0.250", 3022), BDSsh_service) #---------------------------------------------------------# #---------------------------------------------------------# # Az internetrol a DMZ elerese http-n keresztul class IDHttp(HttpProxy): def config(self): self.transparent_mode = 0 def init(name): # A 192.168.1.2 cimen a 80-as porton van a www szerver IDHttp_service = \ Service("IDHttp", DirectedChainer(SockAddrInet("192.168.1.2", 80), IDHttp) Listener(SockAddrInet("100.100.100.100", 80), IDHttp_service) #---------------------------------------------------------# -- Udvozlettel Zsiga
# A tuzfal belso halo feloli laba: 192.168.0.250 eth2 # A tuzfal DMZ feloli laba: 192.168.1.1 eth1 # A tuzfal internet feloli laba: 100.100.100.100 eth0
# Egy altalanos kerdes: hogyan tudom szabalyozni, hogy # (ip-cim szerint) mely gepek milyen szolgaltatasokat # erhetnek el a tuzfalon keresztul? Ez a konfig melyik
A gépeket funkciók szerint zónákba sorolod. A hozzáférésvezérlésnél ezeket a zónákat használod.
# zorp verzioval mukodik stabilan? Ugyanis ugy lattam, # hogy a 0.7.11-es verzional mar mas a konfig.
from Zorp import Zorp, SockAddr, Listener, Zone, Service, Chainer from Zorp import Stream, Plug, POP3, AnyPy, Ftp, Session, Sink from Zorp import Receiver, Http, Auth from Zorp.Zorp import *
Zorp.firewall_name = 'zorp1@teszt.hu'
Zorp.zones = [ InetZone("intranet","192.168.0.0","255.255.255.0", None, outbound_services["BIHttp", "BIFtp", "BIPop", "BDHttp", "BDSsh", "BDPop"], inbound_services[]), InetZone("DMZ", "192.168.1.0", "255.255.255.0", None, outbound_services[], inbound_services["BDHttp", "BDSsh", "BDPop", "IDHttp", "IDPop"]), InetZone("internet", "0.0.0.0", "0.0.0.0", None, outbound_services["IDHttp", "IDPop"], inbound_services["BIHttp", "BIFtp", "BIPop"])]
#---------------------------------------------------------# # A belso halorol az internet elerese http-n keresztul class BIHttp(Http.HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 # self.request["POST"] = (Http.HTTP_DROP)
def init(name): BIHttp_service = \ Service("BIHttp", InbandChainer(), BIHttp)
# A kesobbiekben szeretnek egy proxyt is kesziteni a belso # halozatra, de egyelore direktben szeretnem kiengedni a # usereket. Erdemes-e beletenni a "-s 192.168.0.0/24" reszt? # ipchains -A input -i eth2 -d 0/0 80 -j REDIRECT 3128
Mindig mindent érdemes specifikálni:)
Listener(SockAddrInet("192.168.0.250", 3128), BIHttp_service) # Ha kesz lesz a proxy-szerver (squid), akkor csak az # atiranyitast kell megvaltoztatnom? Ahogy en gondolom: # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 80 -j REDIRECT 3128 # Es ekkor a proxyn nem kell semmit beallitani, ugye?
Ez egy megoldás, ami működik. De meg lehet azt csinálni, hogy definiálsz pl egy web-user zónát, amineka címtartománya eredetileg az intranet, és ha megvan a www cache-ed, akkor leszűkíted arra. Ha elég paranoid vagy akkor mindkettőt csinálod.
#---------------------------------------------------------#
#---------------------------------------------------------# # A belso halorol az internet elerese ftp-n keresztul class BIFtp(FtpProxyAllow): def config(self): FtpProxy.config(self) self.fw_server_data.ip_s="100.100.100.100" self.fw_client_data.ip_s="192.168.0.250" NAT = 1
def init(name): BIFtp_service = \ Service("BIFtp", TransparentChainer(), BIFtp)
# A Windowsos kliensek tudnak-e igy ftp-zni? # ipchains -A input -i eth2 -d 0/0 21 -j REDIRECT 2021 # ipchains -A input -i eth2 -d 0/0 1024: -j REDIRECT 0
Most nincs kedvem gondolkozni, de úgy tűnik hogy tudnak, sőt a data porthoz elég az ACCEPT.
Listener(SockAddrInet("192.168.0.250", 2021), BIFtp_service) # Ha kesz lesz a proxy-szerver (squid), akkor ezeket az # atiranyitasokat is at kell irni. Ahogy en kepzelem: # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 21 -j REDIRECT 2021 # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 1024: -j REDIRECT 0
Ugyanaz a helyzet mont a http esetében.
# A Windowsos kliensek tudnak-e igy ftp-zni (proxyn # keresztul)?
Igen.
#---------------------------------------------------------#
#---------------------------------------------------------# # A belso halorol az internet elerese pop3-mon keresztul class BIPop(PlugProxy): def config(self): pass
def init(name): BIPop_service = \ Service("BIPop", TransparentChainer(), BIPop)
# ipchains -A input -i eth2 -d 0/0 110 -j REDIRECT 2110 Listener(SockAddrInet("192.168.0.250", 2110), BIPop_service) # Ha korlatozni szeretnem, hogy mely gepek mehetnek ki ezen # a szolgaltatason keresztul, akkor azt hogyan kell # beallitani? Ha azt is korlatozni szeretnem, hogy mely # gepeket erhetik el a neten pop3-mal (pl. matav, elender), # akkor kulon kell bontanom a matavos es elenderes elerest, # es az ipchains-szel iranyitani a megfelelo porton figyelo # service-hez? Akkor megint felmerul az ip-cim szerinti # megkulonboztetes kerdese, illetve itt meg felmerul az is, # hogy mi a helyzet azzal, aki mindkettot szeretne # hasznalni?
Zónákat definiálj mindezekre, és azokkal oldd meg a dolgot.
#---------------------------------------------------------#
#---------------------------------------------------------# # A belso halorol a DMZ elerese pop3-mon keresztul class BDPop(PlugProxy): def config(self): pass
Kicsit sok az inited.
def init(name): BDPop_service = \ Service("BDPop", TransparentChainer(), BDPop)
# ipchains -A input -i eth2 -d 192.168.1.3 110 -j REDIRECT 3110 Listener(SockAddrInet("192.168.0.250", 3110), BIPop_service) #---------------------------------------------------------#
#---------------------------------------------------------# # Az internetrol a DMZ elerese pop3-mon keresztul class IDPop(PlugProxy): def config(self): pass
def init(name): IDPop_service = \ Service("IDPop", TransparentChainer(), IDPop)
# ipchains -A input -i eth0 -d 192.168.1.3 110 -j REDIRECT 4110 Listener(SockAddrInet("100.100.100.100", 4110), BIPop_service) # Ezt inkabb DirectedChainer-rel kellene megoldani?
Úgy tűnik. [] -- GNU GPL: csak tiszta forrásból
On Thu, Jan 11, 2001 at 03:24:39PM +0100, Magosányi Árpád wrote:
# Egy altalanos kerdes: hogyan tudom szabalyozni, hogy # (ip-cim szerint) mely gepek milyen szolgaltatasokat # erhetnek el a tuzfalon keresztul? Ez a konfig melyik
A gépeket funkciók szerint zónákba sorolod. A hozzáférésvezérlésnél ezeket a zónákat használod.
Hogyan tudok ilyen zonakat definialni? Lehetseges-e olyan, hogy egy fajlban felsorolom a jogosult ip-cimeket, es csak a fajl nevet adom meg az InetZone definialasakor? Vagy mi a helyes eljaras?
# zorp verzioval mukodik stabilan? Ugyanis ugy lattam, # hogy a 0.7.11-es verzional mar mas a konfig.
A 0.6.0-1-el a Listener definiciojanal jelez hibat, a 0.7.11-1-nel pedig masnal (bocs elfelejtettem, hogy minel). Akkor melyik a nyero? A 0.7.11-1-hez teljesen at kell irni, es a doksiban levo peldak sem teljesen jok.
Kicsit sok az inited.
Csak szamomra igy konnyebben ertheto volt, hogy mindent egy kupacba raktam. Az igazi konfigban termeszetesen nem igy lesz. -- Udvozlettel Zsiga
# Egy altalanos kerdes: hogyan tudom szabalyozni, hogy # (ip-cim szerint) mely gepek milyen szolgaltatasokat # erhetnek el a tuzfalon keresztul? Ez a konfig melyik
A gépeket funkciók szerint zónákba sorolod. A hozzáférésvezérlésnél ezeket a zónákat használod.
Hogyan tudok ilyen zonakat definialni? Lehetseges-e olyan, hogy egy fajlban felsorolom a jogosult ip-cimeket, es csak a fajl nevet adom meg az InetZone definialasakor? Vagy mi a helyes eljaras?
a 7.x-ben levo InetZone-nak tudsz adni IP cim felsorolast: # belso zone, csak http-zhet InetZone("intranet", "192.168.0.0/24", outbound_services=["http"]) # a belso resz zonaja, orokli a belso zona osszes jogat + joga van FTP-zni InetZone("privileged", ["192.168.0.1", "192.168.0.2"], admin_parent="intranet", outbound_services=["ftp"]) InetZone("internet", "0.0.0.0/0", inbound_services=["*"]) az admin_parent jelenti azt, hogy a jogokat orokolni kell a megadott zonatol. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1 url: http://www.balabit.hu/pgpkey.txt
On Thu, Jan 11, 2001 at 04:02:05PM +0100, Balazs Scheidler wrote:
a 7.x-ben levo InetZone-nak tudsz adni IP cim felsorolast:
Ezek szerint jobban jarok, ha egybol a 7.x-es sorozatot uzemelem be? Megprobalom atirni a konfigot, aztan jelentkezem ujra :) A tuzfalra milyen mail-szervert javasoltok? Csak tovabbitania kellene az igazi mail-szerver fele. -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
On Thu, Jan 11, 2001 at 04:02:05PM +0100, Balazs Scheidler wrote:
a 7.x-ben levo InetZone-nak tudsz adni IP cim felsorolast:
Ezek szerint jobban jarok, ha egybol a 7.x-es sorozatot uzemelem be? Megprobalom atirni a konfigot, aztan jelentkezem ujra :)
A tuzfalra milyen mail-szervert javasoltok? Csak tovabbitania kellene az igazi mail-szerver fele.
Ezekben a nehéz időkben ezt bonyolult megmondani;) Delorie bácsival egy kicsit hadilábon állok, mert szerintem pocsék ahogy programoz, és auditálhatatlan a kódja. De talán ugyanezért nehéz benne exploitot fogni, és ugye eléggé figyel a fazon. A mai napom azzal ment el hogy tőle olvasgattam kódokat, hát elég matyóhímzés. Szóval az egyik lehetőség a qmail. Ez egy veszprémi szokás:) A sendmail egy öreg darab, be van járatva ezerrel, de egészen egy idővel ezelőttig elég gyakori volt benne a lyuk. De már egy ideje nem. Szóval lehet sendmail. Erre pl Buci esküszik:) Vagy postfix. Direkte biztonságosra írták, eléggé ott vannak a topon akik csinálták, akár jó is lehet. Az a lényeg hogy ne legyen local delivery, és hermetikusan capmentes jailben legyen. -- GNU GPL: csak tiszta forrásból
On Thu, Jan 11, 2001 at 04:02:05PM +0100, Balazs Scheidler wrote:
a 7.x-ben levo InetZone-nak tudsz adni IP cim felsorolast:
# belso zone, csak http-zhet InetZone("intranet", "192.168.0.0/24", outbound_services=["http"])
# a belso resz zonaja, orokli a belso zona osszes jogat + joga van FTP-zni InetZone("privileged", ["192.168.0.1", "192.168.0.2"], admin_parent="intranet", outbound_services=["ftp"])
az admin_parent jelenti azt, hogy a jogokat orokolni kell a megadott zonatol.
Ez tobb zona melysegben is egymasbaagyazhato? Ugy ertem, hogy ha meg a fentiekhez csinalnek egy uj zonat, es annak admin_parent-kent a privileged-et adnam meg, akkor orokolne az intranet es a privileged jogait is? Gondolom a cimek felsorolasat egy \ jellel megtorve folytathatom uj sorban is, ugye? Nagy gondot jelentene, ha bekuldenem az egesz atirt konfigomat? Ahogy szoktam :) -- Udvozlettel Zsiga
szia
Ez tobb zona melysegben is egymasbaagyazhato? Ugy ertem, hogy ha meg a fentiekhez csinalnek egy uj zonat, es annak admin_parent-kent a privileged-et adnam meg, akkor orokolne az intranet es a privileged jogait is?
igen. Ha viszont ezt nem akarod, a legbelso uj zonanal arra ket modszered van: 1. A felsorolt ip-hez ujra felirod a szolgaltatasokat es nem adsz meg neki admin parentet. 2. A privileged zonanak megmondod, hogy o umbrella, es akkor a 3. zona nem orokli a legkulso jogait. admin_parent="intranet", umbrella=1,
Gondolom a cimek felsorolasat egy \ jellel megtorve folytathatom uj sorban is, ugye?
en is igy gondolom. sot ha tombot irsz le , azaz [] belul vagy, akkor nem kell \ jel sem.
Nagy gondot jelentene, ha bekuldenem az egesz atirt konfigomat? Ahogy szoktam :)
Es miutan egy nyilvanos levlistara elkuldod, utana ezt is hasznalod? Mert ha ez teged nem zavar akkor kuld. Egyebkent nagyon jol csinalod, beloled fogom osszeallitani a FAQ-t, koszonjuk...:) Udv. -- Györkő Zoltán BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu
On Fri, Jan 12, 2001 at 01:22:21PM +0100, Gyorko Zoltan wrote:
2. A privileged zonanak megmondod, hogy o umbrella, es akkor a 3. zona nem orokli a legkulso jogait.
admin_parent="intranet", umbrella=1,
Inkabb irom ujra :) (kicsit vazlatosan): zona intranet zona privileged admin_parent="intranet", umbrella=1, zona uj admin_parent="privileged", Ebben az esetben az uj zona csak a privileged zona jogaival bir. Jol ertettem?
Es miutan egy nyilvanos levlistara elkuldod, utana ezt is hasznalod? Mert ha ez teged nem zavar akkor kuld.
Termeszetesen nem ezt fogom hasznalni, csak arra kell, hogy megertsem. De hirtelen felmerult bennem a kerdes, hogy mit szamitana az, hogy valaki tudja, mi szerepel a konfigfajlban?
Egyebkent nagyon jol csinalod, beloled fogom osszeallitani a FAQ-t, koszonjuk...:)
Akkor vitatkozni fogunk azon, ki segitett tobbet a masiknak? :))) Es mit nyer a legjobb kerdeseket feltevo? :))) -- Udvozlettel Zsiga
On Fri, Jan 12, 2001 at 02:03:16PM +0100, Kosa Attila wrote:
On Fri, Jan 12, 2001 at 01:22:21PM +0100, Gyorko Zoltan wrote:
2. A privileged zonanak megmondod, hogy o umbrella, es akkor a 3. zona nem orokli a legkulso jogait.
admin_parent="intranet", umbrella=1,
Inkabb irom ujra :) (kicsit vazlatosan): zona intranet
zona privileged admin_parent="intranet", umbrella=1,
zona uj admin_parent="privileged",
Ebben az esetben az uj zona csak a privileged zona jogaival bir. Jol ertettem?
Az jutott kozben eszembe, hogy tobb zonat is fel lehet sorolni az admin_parent utan? Mert az jo lenne :) -- Udvozlettel Zsiga
szia
zona intranet
zona privileged admin_parent="intranet", umbrella=1,
zona uj admin_parent="privileged",
Ebben az esetben az uj zona csak a privileged zona jogaival bir. Jol ertettem?
Jol.
De hirtelen felmerult bennem a kerdes, hogy mit szamitana az, hogy valaki tudja, mi szerepel a konfigfajlban?
Ha mast nem is egy reszletes belsohalo terkepet. Egyes penetration testeknel ezert mar jar a sikerdij...
Az jutott kozben eszembe, hogy tobb zonat is fel lehet sorolni az admin_parent utan? Mert az jo lenne :)
Meg nem tud, de lattam amint a fejlesztesi igazgato felirta a todo-ba..:) Egyelore mindennek csak egy szuloje lehet ahonnan orokol.
SyntaxError: non-keyword arg after keyword arg (line 49)
outbound_services["bd_ssh"]), ^^^^^
hianyzik egy egyenloseg jel Helyesen: outbound_services=["bd_ssh"]), es ha nincs szolgaltatas akkor nem kell "" jel tehat: outbound_services=[]),
Es mit nyer a legjobb kerdeseket feltevo? :)))
rengeteg security-s tapasztalatot. -- Györkő Zoltán BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu
A levelezőm azt hiszi, hogy Gyorko Zoltan a következőeket írta:
De hirtelen felmerult bennem a kerdes, hogy mit szamitana az, hogy valaki tudja, mi szerepel a konfigfajlban?
Ez a "crystal box" koncepció, by mjr. Ha a védelmed tökételes, akkor nyugodtan közhírré teheted azt hogy hogy néz ki. Pl a kriptoalgoritmusok ismertek. Persze sajnos egy bonyolultabb rendszerre általában nem áll fennt a peremfeltétel.
Az jutott kozben eszembe, hogy tobb zonat is fel lehet sorolni az admin_parent utan? Mert az jo lenne :)
Meg nem tud, de lattam amint a fejlesztesi igazgato felirta a todo-ba..:)
Ha legközelebb találkozom a fejlesztési igazgatóval, majd jól fejlesztésbe verem. A zónahierarchia egy irányított fa, nem szeretnék bele hurkokat. Húzasd ki vele. -- GNU GPL: csak tiszta forrásból
On Fri, Jan 12, 2001 at 02:51:27PM +0100, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Gyorko Zoltan a következőeket írta:
Az jutott kozben eszembe, hogy tobb zonat is fel lehet sorolni az admin_parent utan? Mert az jo lenne :)
Meg nem tud, de lattam amint a fejlesztesi igazgato felirta a todo-ba..:)
Ha legközelebb találkozom a fejlesztési igazgatóval, majd jól fejlesztésbe verem. A zónahierarchia egy irányított fa, nem szeretnék bele hurkokat. Húzasd ki vele.
En csak arra gondoltam, hogy lenne egy olyan zona, amiben az van, amit mindenkinek szeretnek engedni, egy a mail-nek, egy a web-nek, es modjuk egy full (mindenkinek+mail+web). Ebben az esetben jo lenne, mert csak egy helyen kellene felvennem minden gepet, a tobbi jogot tudnam szarmaztatni. Abban viszont igazad van, hogy rosszul osszeallitott zonakkal akar egymassal ellentetes dolgokat is be lehet allitani, ami problemakat okozhat. De en szeretem a kenyelmet, inkabb odafigyelek a konfignal :) (Es megkerdezem tobbszor :))) Jol latom a kerdest? Nem okozhat hasonlo problemat, ha a szarmaztatott csoportban is, es a szulojeben is szerepel ugyanaz az ip cim? -- Udvozlettel Zsiga
On Fri, Jan 12, 2001 at 02:41:57PM +0100, Gyorko Zoltan wrote:
SyntaxError: non-keyword arg after keyword arg (line 49)
outbound_services["bd_ssh"]),
hianyzik egy egyenloseg jel
Helyesen:
outbound_services=["bd_ssh"]),
Kijavitottam, probaltam elinditani, a kovetkezo jott a syslog-ba: zorp-plug[17279]: Verbosity level: 3 zorp-plug[17281]: Traceback (innermost last): zorp-plug[17281]: File "/etc/zorp/policy-plug.py", line 30, in ? zorp-plug[17281]: outbound_services=["bd_http"]), zorp-plug[17281]: TypeError: keyword parameter redefined zorp-plug[17279]: (noname/nosession): Error opening policy file /etc/zorp/policy-plug.py Meg mindig nem megy :( A konfig tobbi resze valtozatlan maradt. -- Udvozlettel Zsiga
szia
# (ip-cim szerint) mely gepek milyen szolgaltatasokat # erhetnek el a tuzfalon keresztul?
A zonak beallitasain keresztul, mint a hagyomanyos ip zonak azaz (jatek a netmask-al): a.b.c.d/32 a zona definicioban kizarolag az a.b.c.d gepet jelenti Ami fontos, hogy a 0.6-osban a zonak feldolgozasa meg soros volt, ezert az alzonakat elobb kell kijelolni. (07.11-ben mar nem kell igy)
Ez a konfig melyik # zorp verzioval mukodik stabilan? Ugyanis ugy lattam, # hogy a 0.7.11-es verzional mar mas a konfig.
Ugy tunik semelyikkel sem. A zonadefinicio meg a 0.6-bol jon, a szolgaltatas osztaly mar uj. Ez arra utal, hogy 0.7.8-at hasznalsz, ami a fejlesztoi sorozat elejerol szarmazik ezert meg vannak benne bugok. tehat lepned kell. A legjobb az lenne ha atirnad a policy-t 0.7.11-nek megfelelore. Ha ez nem szimpatikus, akkor allj vissza 0.6-ra.
#---------------------------------------------------------# # A belso halorol az internet elerese http-n keresztul class BIHttp(Http.HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 # self.request["POST"] = (Http.HTTP_DROP)
def init(name): BIHttp_service = \ Service("BIHttp", InbandChainer(), BIHttp)
# A kesobbiekben szeretnek egy proxyt is kesziteni a belso # halozatra, de egyelore direktben szeretnem kiengedni a # usereket. Erdemes-e beletenni a "-s 192.168.0.0/24" reszt?
"Mag fele paranoia " (Sasa) eseten erdemes, hogy mindent tobbretuen lekezelj. A zona definicio es amiatt, hogy a megfelelo interface-n listenel a zorp is megfogja.
# ipchains -A input -i eth2 -d 0/0 80 -j REDIRECT 3128
Listener(SockAddrInet("192.168.0.250", 3128), BIHttp_service)
# Ha kesz lesz a proxy-szerver (squid), akkor csak az # atiranyitast kell megvaltoztatnom? Ahogy en gondolom: # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 80 -j REDIRECT 3128 # Es ekkor a proxyn nem kell semmit beallitani, ugye?
Ez is egy jo megoldas. Lehet csak zonadefinicioval csinalni (squid kulon zona ahonnan csak a HTTP megy, mashonnan meg minden mas) es akkor a zorp dont. Gusztus dolga. (Mag szerint ugye legjobb mindent specifikalni)
#---------------------------------------------------------#
#---------------------------------------------------------# # A belso halorol az internet elerese ftp-n keresztul class BIFtp(FtpProxyAllow): def config(self): FtpProxy.config(self) self.fw_server_data.ip_s="100.100.100.100" self.fw_client_data.ip_s="192.168.0.250" NAT = 1
A 0.7.11 ben mar nem kell fw_server_data.ip_s es client valtozokat hasznalni, anelkul is transzparens lesz. 0.7.8-ban meg kell, de NAT valtozo mar ott sincs. (ha lenne is helyesen self.NAT = 1 )
Service("BIPop", TransparentChainer(), BIPop)
# ipchains -A input -i eth2 -d 0/0 110 -j REDIRECT 2110 Listener(SockAddrInet("192.168.0.250", 2110), BIPop_service) # Ha korlatozni szeretnem, hogy mely gepek mehetnek ki ezen # a szolgaltatason keresztul, akkor azt hogyan kell # beallitani?
Lasd. squid.proxy.ip
Ha azt is korlatozni szeretnem, hogy mely # gepeket erhetik el a neten pop3-mal (pl. matav, elender), # akkor kulon kell bontanom a matavos es elenderes elerest, # es az ipchains-szel iranyitani a megfelelo porton figyelo # service-hez?
Lasd zona definicio. (a popszervereket felveszed szinten kulon zonaba, oda engedsz pop service-t mashova nem)
def init(name): IDPop_service = \ Service("IDPop", TransparentChainer(), IDPop)
# ipchains -A input -i eth0 -d 192.168.1.3 110 -j REDIRECT 4110 Listener(SockAddrInet("100.100.100.100", 4110), BIPop_service) # Ezt inkabb DirectedChainer-rel kellene megoldani?
mivel a dmzben levo szrverednek nem valos ip-je van, nem is tudod maskent elerni mint directed-el, mivel kifele csak a tuzfal ipje latszik.
#---------------------------------------------------------# # Az internetrol a DMZ elerese http-n keresztul class IDHttp(HttpProxy): def config(self): self.transparent_mode = 0
^^^^^^^^^^ Befele webszerver fele meno kereseknel epp az a lenyeg, hogy kintrol ne latszon, a szerver nem a valos ip-n van es megis oda csapodjon be (a directed chainer miatt) A fenti beallitas szerint az internetrol jovo klienseknek be kell allitaniuk proxykent a tuzfaladat, ahhoz, hogy lassak a weblapodat. kozben mar harman valaszoltak, de nem baj... udvozletel -- Györkő Zoltán BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b http://www.balabit.hu
participants (4)
-
Balazs Scheidler
-
Gyorko Zoltan
-
Kosa Attila
-
Magosányi Árpád