Egy kis csemege: ab-bigfile-80.txt:Transfer rate: 43511.69 [Kbytes/sec] received ab-bigfile-82.txt:Transfer rate: 81620.74 [Kbytes/sec] received ab-k-bigfile-80.txt:Transfer rate: 57123.91 [Kbytes/sec] received ab-k-bigfile-81.txt:Transfer rate: 58070.11 [Kbytes/sec] received ab-k-bigfile-82.txt:Transfer rate: 84042.16 [Kbytes/sec] received ab-k-mediumfile-80.txt:Transfer rate: 46780.05 [Kbytes/sec] received ab-k-mediumfile-81.txt:Transfer rate: 50427.26 [Kbytes/sec] received ab-k-mediumfile-82.txt:Transfer rate: 77882.35 [Kbytes/sec] received ab-k-smallfile-80.txt:Transfer rate: 16491.81 [Kbytes/sec] received ab-k-smallfile-81.txt:Transfer rate: 24495.35 [Kbytes/sec] received ab-k-smallfile-82.txt:Transfer rate: 40841.31 [Kbytes/sec] received ab-mediumfile-81.txt:Transfer rate: 17114.91 [Kbytes/sec] received ab-mediumfile-82.txt:Transfer rate: 62904.04 [Kbytes/sec] received ab-smallfile-80.txt:Transfer rate: 2228.95 [Kbytes/sec] received ab-smallfile-81.txt:Transfer rate: 2238.59 [Kbytes/sec] received ab-smallfile-82.txt:Transfer rate: 23522.93 [Kbytes/sec] received Kis magyarazat: --------------- A teszt ab-vel keszult (apache bench), a szerveren apache futott, 30-as keepalive limittel. a vas: gigabit ethernet kartyakkal (1500-as MTU) kliens: 900Mhz Celeron, 256MB RAM, 32 bit PCI tuzfal: Intel alaplap, 2x PIII 1.26Ghz server proci, 512MB RAM, 64bit PCI szerver: Compaq Proliant DL380 (1x PIII 1Ghz), 512MB RAM, 64bit PCI A filenevek igy epulnek fel: ab- konstans -k ha van, akkor az ab hasznal HTTP keep-alive-t smallfile 10k-s file mediumfile 100k-s file bigfile 1M-s file -<szam> a szam egy portszam 3 lehetseges ertekkel: 80: Zorp HTTP proxy 81: Zorp Plug proxy 82: forwarding, conntrack-el Az eredmenyeken tisztan latszik, hogy a proxy tuzfal session inditasa eleg draga, de ha egyszer mar megy (foleg a keepalive-s eredmenyeknel), akkor eleg jol felveszi a versenyt a csomagszurokkel is. A session inditas netfilternek is eleg draga, ez latszik a nem keepalive-os teszten. A Zorp legjobb eredmenye: 58070 kByte/sec (plug), ami majdnem 600MBit !!! Ugyanez a teszt HTTP proxy eseten alig valamivel alacsonyabb 57123 kB/sec A legrealisabb terhelest webszerver elott az ab-k-smallfile jelenti (keepalive, 10k-s filemeret) itt is kb 160MBit-et kepes atvinni teljes protokoll elemzessel. Masodik processzor eseten meg van mit javitanunk (a Zorp-on illetve a kernelen) Magas lock contention eseten ugyanis erosen romlik a teljesitmeny. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
ezek szerint a zorp 1.4.4 tamogatja a http keepalive-ot? es a http/1.1 -et teljesen? koszi ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
On Tue, Jul 16, 2002 at 12:40:24PM +0200, Narancs v1 wrote:
ezek szerint a zorp 1.4.4 tamogatja a http keepalive-ot? es a http/1.1 -et teljesen?
mindig is tamogatta. a http/1.1-et is, amin lehetne meg javitani az az egyes fejlecek jobb elemzese (pl. Accept: */*), viszont attol tartok, hogy ez meg tobb interoperabilitasi problemat hozna fel (bugos kliensek, es bugos szerverek) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Tue, 16 Jul 2002, Balazs Scheidler wrote:
On Tue, Jul 16, 2002 at 12:40:24PM +0200, Narancs v1 wrote:
ezek szerint a zorp 1.4.4 tamogatja a http keepalive-ot? es a http/1.1 -et teljesen?
mindig is tamogatta. a http/1.1-et is, amin lehetne meg javitani az az egyes fejlecek jobb elemzese (pl. Accept: */*), viszont attol tartok, hogy ez meg tobb interoperabilitasi problemat hozna fel (bugos kliensek, es bugos szerverek)
ezek szerint a zorp/http jobb mint nehany kereskedelmi fw/ http? ;-) ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
On Tue, Jul 16, 2002 at 01:10:40PM +0200, Narancs v1 wrote:
On Tue, 16 Jul 2002, Balazs Scheidler wrote:
On Tue, Jul 16, 2002 at 12:40:24PM +0200, Narancs v1 wrote:
ezek szerint a zorp 1.4.4 tamogatja a http keepalive-ot? es a http/1.1 -et teljesen?
mindig is tamogatta. a http/1.1-et is, amin lehetne meg javitani az az egyes fejlecek jobb elemzese (pl. Accept: */*), viszont attol tartok, hogy ez meg tobb interoperabilitasi problemat hozna fel (bugos kliensek, es bugos szerverek)
ezek szerint a zorp/http jobb mint nehany kereskedelmi fw/ http? ;-)
A Zorp is kereskedelmi, legalabbis van kereskedelmi verzioja is. amugy pedig a kerdesedre adando valasz nem ketseges. :) a legutolso sqlnet proxyval lassan mar tulteszunk a gauntleten is proxyszamban. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Tue, 16 Jul 2002, Balazs Scheidler wrote:
A Zorp is kereskedelmi, legalabbis van kereskedelmi verzioja is.
amugy pedig a kerdesedre adando valasz nem ketseges. :)
a legutolso sqlnet proxyval lassan mar tulteszunk a gauntleten is proxyszamban.
ha most azt akarod mondani hogy implementaltatok az oracle sql-net-et akkor itt az idõ hogy meggyõzzem a fõnökömet. gaunlet 6: 1. ck-gw (jo lenne, ha a b-wall is resze lenne a zorp-nak, kompatibilitas miatt) 2. finger 3. ftp 4. gopher 5. http 6. iiop (Internet Inter-ORB Protocol) 7. info 8. lp 9. netshow 10. oracle sqlnet 11.pop3 12. rsh 13. rlogin 14. realaudio 15. RSTP 16. SMTP 17. SNMP 18. SOCKS 5 19. MS SQL 20. Sybase SQL 21. streamworks 22. telnet 23. VDOlive 24. whois 25. X még most is tartod? :-) persze örülnék ha az értelmesebb protokollokat ti is megcsinálnátok. pl. az SQL-ek. Az SMTP-t szerintem bízzátok a postfix-re, csak a konfigolását be lehetne illeszteni a zorp-ba. most mi a pénzes zorp proxy felhozatala? ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
On Tue, Jul 16, 2002 at 02:16:41PM +0200, Narancs v1 wrote:
On Tue, 16 Jul 2002, Balazs Scheidler wrote:
A Zorp is kereskedelmi, legalabbis van kereskedelmi verzioja is.
amugy pedig a kerdesedre adando valasz nem ketseges. :)
a legutolso sqlnet proxyval lassan mar tulteszunk a gauntleten is proxyszamban.
ha most azt akarod mondani hogy implementaltatok az oracle sql-net-et
igen.
akkor itt az id? hogy meggy?zzem a f?nökömet.
gaunlet 6:
kicsit atrendezve a dolgot:
van zorp-ban is:
2. finger 3. ftp 5. http 8. lp 10. oracle sqlnet 11.pop3 22. telnet 24. whois
ez csak nekunk van: ssl, imap, nntp, radius ilyenunk nincs, de jo lenne:
6. iiop (Internet Inter-ORB Protocol) 16. SMTP (alapvetoen postfix-el nativ proxyzzuk jelenleg) 19. MS SQL 20. Sybase SQL
es persze van nehany, amit most fejlesztunk (es nincs kozte) ezek szerintem nem igazan fontosak (szinten nincs):
9. netshow 7. info (ez mi?) 14. realaudio 15. RSTP 17. SNMP 21. streamworks 23. VDOlive
elavult (ezert szerintem nem kellenek):
1. ck-gw (ehelyett van outband authentikacio) 4. gopher 12. rsh 13. rlogin 25. X (ilyet ki proxyzik?) 18. SOCKS 5 (transzparencia van helyette)
még most is tartod? :-)
es azt is tudod, hogy ezek kozul hany plug? reszlet a Gauntlet 6 ST (security target)-jebol: proxy: telnet, smtp, pop3, ftp, http, sqlnet, mssql, sybase, snmp plug-gal megvalositva: ldap, nntp, ssl, aol, compuserve, notes, nntp, netbios-tcp, netmeeting, x.500 azt nem tudom, hogy az r* protokollok (rshell, rlogin stb) mar miert nincsenek itt felsorolva
persze örülnék ha az értelmesebb protokollokat ti is megcsinálnátok. pl. az SQL-ek.
nyilvan a fejlesztesek sosem allnak le. most is fejlesztes alatt van +3 proxynk.
Az SMTP-t szerintem bízzátok a postfix-re, csak a konfigolását be lehetne illeszteni a zorp-ba.
a gui-n keresztul konfigolhato lesz.
most mi a pénzes zorp proxy felhozatala?
ha a kereskedelmi reszletek erdekelnek, akkor Banfi Tamas, 371-0540, banfi.tamas@balabit.hu -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Tue, Jul 16, 2002 at 02:45:51PM +0200, Balazs Scheidler wrote:
plug-gal megvalositva: ldap, nntp, ssl, aol, compuserve, notes, nntp, netbios-tcp, netmeeting, x.500
Engem most az ldap erintene. Ha jol ertem, akkor sima pluggal lehetne egyelore megvalositani. Van-e kilatasban mas megoldas? Mivel korlatozott parancsokat kellene csak atengednem (egyelore gondolom en kis naiv:)), meg lehetne-e oldani pythonban(?) a dolgot? -- Udvozlettel Zsiga
On 2002 Jul 16, Kosa Attila wrote:
On Tue, Jul 16, 2002 at 02:45:51PM +0200, Balazs Scheidler wrote:
plug-gal megvalositva: ldap, nntp, ssl, aol, compuserve, notes, nntp, netbios-tcp, netmeeting, x.500
Engem most az ldap erintene. Ha jol ertem, akkor sima pluggal lehetne egyelore megvalositani. Van-e kilatasban mas megoldas? Mivel korlatozott parancsokat kellene csak atengednem (egyelore gondolom en kis naiv:)), meg lehetne-e oldani pythonban(?) a dolgot?
ehhez egy H.323 ertelmezo (parser) kell, es mar keszul. Esetleg AnyPy proxyval is meg lehetne csinalni, de csak fakiroknak ajanlva:)))) -- Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
On 2002 Jul 16, HOLTZL Peter wrote:
On 2002 Jul 16, Kosa Attila wrote:
On Tue, Jul 16, 2002 at 02:45:51PM +0200, Balazs Scheidler wrote:
plug-gal megvalositva: ldap, nntp, ssl, aol, compuserve, notes, nntp, netbios-tcp, netmeeting, x.500
Engem most az ldap erintene. Ha jol ertem, akkor sima pluggal lehetne egyelore megvalositani. Van-e kilatasban mas megoldas? Mivel korlatozott parancsokat kellene csak atengednem (egyelore gondolom en kis naiv:)), meg lehetne-e oldani pythonban(?) a dolgot?
ehhez egy H.323 ertelmezo (parser) kell, es mar keszul. Esetleg AnyPy proxyval is meg lehetne csinalni, de csak fakiroknak ajanlva:))))
rosszukl mondtam!!!!! ASN.1 parser kell, a h323 csak ASN.1-re alapszik, mint az snmp, nds etc... mea culpa... -- Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
On Tue, Jul 16, 2002 at 02:58:32PM +0200, HOLTZL Peter wrote:
ehhez egy H.323 ertelmezo (parser) kell, es mar keszul. Esetleg AnyPy proxyval is meg lehetne csinalni, de csak fakiroknak ajanlva:))))
rosszukl mondtam!!!!! ASN.1 parser kell, a h323 csak ASN.1-re alapszik, mint az snmp, nds etc... mea culpa...
Es az pedig nem keszul? -- Udvozlettel Zsiga
On 2002 Jul 16, Kosa Attila wrote:
On Tue, Jul 16, 2002 at 02:58:32PM +0200, HOLTZL Peter wrote:
ehhez egy H.323 ertelmezo (parser) kell, es mar keszul. Esetleg AnyPy proxyval is meg lehetne csinalni, de csak fakiroknak ajanlva:))))
rosszukl mondtam!!!!! ASN.1 parser kell, a h323 csak ASN.1-re alapszik, mint az snmp, nds etc... mea culpa...
Es az pedig nem keszul?
Ami keszul: ASN.1 parser (ertelmezo) ami csak a protokoll alapja. ASN.1-re epul egy csomo-csomo protokoll es alkalmazas (nds, snmp, voip, ldap etc...), amire lehet proxykat felepiteni. Asszem H.323-lesz ami a VoiIP-hoz kell, meg OpenLDAP proxy is. Tovabbi info az ASN.1-rol itt: http://www.asn1.org/ http://asn1.elibel.tm.fr/en/uses/index.htm -- Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
On Tue, Jul 16, 2002 at 03:30:01PM +0200, HOLTZL Peter wrote:
Ami keszul: ASN.1 parser (ertelmezo) ami csak a protokoll alapja.
Mikorra varhato? :) -- Udvozlettel Zsiga
On Tue, Jul 16, 2002 at 02:55:10PM +0200, HOLTZL Peter wrote:
On 2002 Jul 16, Kosa Attila wrote:
Engem most az ldap erintene. Ha jol ertem, akkor sima pluggal lehetne egyelore megvalositani. Van-e kilatasban
ehhez egy H.323 ertelmezo (parser) kell, es mar keszul. Esetleg AnyPy proxyval is meg lehetne csinalni, de csak fakiroknak ajanlva:))))
Mikorra varhato a megjelenese? Az utobbit nem szivesen vallalnam be igy nyaron :) -- Udvozlettel Zsiga
On Tue, 16 Jul 2002, Balazs Scheidler wrote:
ha most azt akarod mondani hogy implementaltatok az oracle sql-net-et
igen.
konkrétan melyik oracle verziókkal megy? 9.0.1? 8.1.x? esetleg csak a 7-es sorozat? Szóval tud NET8-at?
7. info (ez mi?) Web szervíznek írta, nem derült ki a leírásból :-(
es azt is tudod, hogy ezek kozul hany plug?
egy se! azok másik listában szerepelnek. ezek állítólag mind natív proxyk. köszi az infókat! ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
On Tue, Jul 16, 2002 at 03:00:17PM +0200, Narancs v1 wrote:
On Tue, 16 Jul 2002, Balazs Scheidler wrote:
ha most azt akarod mondani hogy implementaltatok az oracle sql-net-et
igen.
konkrétan melyik oracle verziókkal megy? 9.0.1? 8.1.x? esetleg csak a 7-es sorozat? Szóval tud NET8-at?
net8-at tud.
7. info (ez mi?) Web szervíznek írta, nem derült ki a leírásból :-(
es azt is tudod, hogy ezek kozul hany plug?
egy se! azok másik listában szerepelnek. ezek állítólag mind natív proxyk.
hmm... a security targetben (CC audithoz) mas szerepel. lehet, hogy a tobbi proxy-t nem auditaltak. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
nyilvan a fejlesztesek sosem allnak le. most is fejlesztes alatt van +3 proxynk. Meg lehet tudni, hogy mi az? Udv, Ago
On Tue, Jul 16, 2002 at 04:23:33PM +0200, Deim Agoston wrote:
nyilvan a fejlesztesek sosem allnak le. most is fejlesztes alatt van +3 proxynk. Meg lehet tudni, hogy mi az? tftp ?? Ez utobbit nem ertem, de vegul is ha valakinek kell... ldap pgsql Ezek jogosak. LDAP-nal kerdes: OpenLDAP lesz vagy lehet hasznalni Netscape/SUN iPlanethez is? Kerdes indoka: _elmeletileg_ ugyanaz a szabvany. De mint Tannenbaum ota tudjuk, a szabvanyokban az a jo, ha egy adott dologhoz egyik letezo sem tetszik csak varnod kell egy evet es megjelenik ami neked megfelel. Kerdes 2: MySQL proxy is lesz? Sokan hasznaljak... Udv, Ago
On Tue, Jul 16, 2002 at 04:35:51PM +0200, Balazs Scheidler wrote:
On Tue, Jul 16, 2002 at 04:23:33PM +0200, Deim Agoston wrote:
nyilvan a fejlesztesek sosem allnak le. most is fejlesztes alatt van +3 proxynk. Meg lehet tudni, hogy mi az?
ldap
Konyorgom, mikor lesz kesz? :) -- Udvozlettel Zsiga
On Tue, Jul 16, 2002 at 09:08:08PM +0200, Kosa Attila wrote:
On Tue, Jul 16, 2002 at 04:35:51PM +0200, Balazs Scheidler wrote:
On Tue, Jul 16, 2002 at 04:23:33PM +0200, Deim Agoston wrote:
nyilvan a fejlesztesek sosem allnak le. most is fejlesztes alatt van +3 proxynk. Meg lehet tudni, hogy mi az?
ldap
Konyorgom, mikor lesz kesz? :)
idoben :) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Narancs v1 .......................................... (2002. július 16.) Hi!
gaunlet 6:
1. ck-gw (jo lenne, ha a b-wall is resze lenne a zorp-nak, [...] 25. X
Ezeknek elég nagy része plug! A konfigot kell megnyálazni érte... A másik infó: melyik proxy TIS alapú, s melyik kapott új thread motort? Pl. a http nem http, hanem más, s az húzza be a http-t, ha épp sikerül neki (nem szokott). Hasonlóan az smtp is nagyon hamar plug tud lenni valós környezetben! kisza -- Andras Kis-Szabo Security Development, Design and Audit -------------------------/ Zorp, NetFilter and IPv6 kisza@SecurityAudit.hu /-----Member of the BUTE-MIS-SEARCHlab---------->
On Tue, 16 Jul 2002, Andras Kis-Szabo wrote:
Ezeknek elég nagy része plug! A konfigot kell megnyálazni érte... A másik infó: melyik proxy TIS alapú, s melyik kapott új thread motort? Pl. a http nem http, hanem más, s az húzza be a http-t, ha épp sikerül neki (nem szokott). Hasonlóan az smtp is nagyon hamar plug tud lenni valós környezetben!
pont az a bajom a gaunlettel, hogy lassú drága nehézkes és bugosak a proxik és egyébként tényleg sok proxy van benne, csak memory leak van az összesben :-) ------------------------- Narancs v1 IT Security Administrator Warning: This is a really short .sig! Vigyazat: ez egy nagyon rovid szig!
Narancs v1 .......................................... (2002. július 16.) Hi! Gauntlet6 netperm-bejegyzés táblája alapján nem tud ennyit... (adv_admin_60.pdf, GL 6.0 advanced admin guide) 0 plug: aol, cserve, gopher, lnotes, nntp, ssl, whois 1 http: ahttp 2 ck 3 ftp 4 ldap 5 lp 6 mmp (multimedia) netshow, realaudio, VDOLive - info = http + gopher 7 pop3 8 rlogin 9 rsh A snmp - smap / smapd SMTP, de nem proxy, hanem qmail(?) B oracle sqlnet C strmwrks streamworks D syb Sybase E tn telnet F x Többet nem ismer. Esetleg a grafikus felülete, de ha a konfig file nem tud róla... Szóval lehet, h a többi is fordított valami. (Felkapcsolózott plug, http vagy mmp.) kisza -- Andras Kis-Szabo Security Development, Design and Audit -------------------------/ Zorp, NetFilter and IPv6 kisza@SecurityAudit.hu /-----Member of the BUTE-MIS-SEARCHlab---------->
participants (8)
-
Andras Kis-Szabo
-
Andras Kis-Szabo
-
Balazs Scheidler
-
Deim Agoston
-
HOLTZL Peter
-
Kosa Attila
-
mag@bunuel.tii.matav.hu
-
Narancs v1