Sziasztok, Egy bind-ot szeretnek a belso halon beproxy-zni a firewall-on keresztul. sajna most meg gyenge kezdemenyezesem sincsen, mert nem igazan ertem, hogy mivel tudok a tuzfalon UDP portot nyini? a listener az tcp portot nyit. vagy tevedek? mas ehhez gondolom a DatagramProxy-t kell majd hasznalnom, de azt mivel tudom ralancolni a belso halon egy gepre? A DirectedChainerre probalkoztam megint, de szintaktikai hibara hivatkozott es nem ment tovabb a kov konfig mellett tovabbra sem foglalkoztam azzal ki milyen szolgaltatassal honnan jon egyenlore csak az alapokat probalgatom, hogy a proxy-kat, hogyan lehet letrehozni. ezt azert irom, ha valaki megbotrankozna a InetZone konfigokon - egyebkent megtudnam erteni. --policy.py-- from Zorp.Core import * from Zorp.Proxy import DatagramProxy from Zorp.Router import * Zorp.firewall_name = 'Zorp@FireWall' InetZone("localnet", "192.168.1.0/24", inbound_services=["*"], outbound_services=["*"]) InetZone("internet", "0.0.0.0/0", inbound_services=["*"], outbound_services=["*"]) def Inet2Intra(): Service("intra_bind", DirectedChainer(self, SockAddr(192.168.1.1,53), SockAddrInet("195.38.115.47",53) forge_addr=0), DatagramProxy) --syslog-- Jul 30 18:42:35 tractor Inet2Intra[5430]: Verbosity level: 5 Jul 30 18:42:35 tractor Inet2Intra[5430]: zorp version 1.4.4 starting up Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): File "/etc/zorp/policy.py", line 20 Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): SockAddr(192.168.1.1,53), Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): ^ Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): SyntaxError: invalid syntax Jul 30 18:42:35 tractor Inet2Intra[5430]: (zorp/nosession): Error opening policy file /etc/zorp/policy.py Jul 30 18:42:35 tractor Inet2Intra[5430]: zorp version 1.4.4 going down. A DirectedRouter az mar megint gondolom nem jo (probaltam de nem mukodott ;-) , mert tcp kapcsolatot nyit...en legalabbis ugy vettem ki. szoval jol jonne egy kis segitseg. egy szep peldanak nagyon tudnek orulni ;-] sziasztok, Istvan
Szia! Mi a dns-t altalaban chroot-olt, cap-mentesitett bind-al szoktuk megoldani, ami forward only uzemmodban megy. amugy az UDP-s forgalmat igy kell atvinni: Servive("innen_BIND_oda", PlugProxy, router=DirectedRouter(SockAddrInet("266.266.266.266", 53)), snat=ForgeClientSourceNAT()) Receiver(SockAddrInet("366.366.366.366", 98765), "inned_BIND_oda") termeszetesen ipchains-ben, az "innen" interface-en tessek az 53-as portot beengedni er redirectelni a 98765-os portra, es az "oda" oldalon is beengedni a 266.266.266.266-os gep 53-as protjarol az UDP-s csomagokat (valasz udp-s csomag) atz snat=... meg akkor kell, ha a 366.366.366.366-on szeretned latni az eredeti kliens IP-cimet. Ebben az esetben viszont ne felejtd el feltenni innen (http://www.balabit.hu/downloads/kernel-patches/2.2.21/) az UDP patch-et, mert a 2.2.X-es kernel nem tud UDP-n idegen cimre bind-olni kulonben. remelem ez egy szep pelda, szep ipkkel es portokkal Holtzl Peter
Egy bind-ot szeretnek a belso halon beproxy-zni a firewall-on keresztul. sajna most meg gyenge kezdemenyezesem sincsen, mert nem igazan ertem, hogy mivel tudok a tuzfalon UDP portot nyini? a listener az tcp portot nyit. vagy tevedek?
mas ehhez gondolom a DatagramProxy-t kell majd hasznalnom, de azt mivel tudom ralancolni a belso halon egy gepre? A DirectedChainerre probalkoztam megint, de szintaktikai hibara hivatkozott es nem ment tovabb a kov konfig mellett
tovabbra sem foglalkoztam azzal ki milyen szolgaltatassal honnan jon egyenlore csak az alapokat probalgatom, hogy a proxy-kat, hogyan lehet letrehozni. ezt azert irom, ha valaki megbotrankozna a InetZone konfigokon - egyebkent megtudnam erteni.
--policy.py-- from Zorp.Core import * from Zorp.Proxy import DatagramProxy from Zorp.Router import *
Zorp.firewall_name = 'Zorp@FireWall'
InetZone("localnet", "192.168.1.0/24", inbound_services=["*"], outbound_services=["*"])
InetZone("internet", "0.0.0.0/0", inbound_services=["*"], outbound_services=["*"])
def Inet2Intra(): Service("intra_bind", DirectedChainer(self, SockAddr(192.168.1.1,53), SockAddrInet("195.38.115.47",53) forge_addr=0), DatagramProxy)
--syslog-- Jul 30 18:42:35 tractor Inet2Intra[5430]: Verbosity level: 5 Jul 30 18:42:35 tractor Inet2Intra[5430]: zorp version 1.4.4 starting up Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): File "/etc/zorp/policy.py", line 20 Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): SockAddr(192.168.1.1,53), Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): ^ Jul 30 18:42:35 tractor Inet2Intra[5432]: (zorp/nosession): SyntaxError: invalid syntax Jul 30 18:42:35 tractor Inet2Intra[5430]: (zorp/nosession): Error opening policy file /etc/zorp/policy.py Jul 30 18:42:35 tractor Inet2Intra[5430]: zorp version 1.4.4 going down.
A DirectedRouter az mar megint gondolom nem jo (probaltam de nem mukodott ;-) , mert tcp kapcsolatot nyit...en legalabbis ugy vettem ki.
szoval jol jonne egy kis segitseg.
egy szep peldanak nagyon tudnek orulni ;-]
sziasztok, Istvan
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
-- Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
sziasztok,
Mi a dns-t altalaban chroot-olt, cap-mentesitett bind-al szoktuk megoldani, ami forward only uzemmodban megy.
Ez nagyon jo otlet nekem eszembe nem jutott volna (most mar biztos, hogy igy csinljuk), de lenne egy kerdesem, a chroot-ol dns-t az ertem, az tiszta sor, de mi az a cap mentesitett? megneztem a BIND9 referencia konyvet es rakerestem benne erre a szora, ha en sajnos nem talaltam rolla semmit? ez minek a roviditese ebben a kontextusban? Efektiven mit kell tennem, hogy cap mentes legyen es mi az a cap?
amugy az UDP-s forgalmat igy kell atvinni:
Servive("innen_BIND_oda", PlugProxy, router=DirectedRouter(SockAddrInet("266.266.266.266", 53)), snat=ForgeClientSourceNAT())
Receiver(SockAddrInet("366.366.366.366", 98765), "inned_BIND_oda")
koszonom szepen, megint sikerult ezen a modon, amit javasoltatok, de kellett tennem egy kis kiegeszitest. Ugyanis szukseg volt meg egy tcp listener-re is hogy mukodjon rendesen a Bind. de a lenyeg, hogy muxik rendesen. sziasztok,
2002. augusztus 1. 04:19 dátummal Ifj. Darvas Istvan ezt írta:
sziasztok,
Mi a dns-t altalaban chroot-olt, cap-mentesitett bind-al szoktuk megoldani, ami forward only uzemmodban megy.
Ez nagyon jo otlet nekem eszembe nem jutott volna (most mar biztos, hogy igy csinljuk), de lenne egy kerdesem, a chroot-ol dns-t az ertem, az tiszta sor, de mi az a cap mentesitett? megneztem a BIND9 referencia konyvet es rakerestem benne erre a szora, ha en sajnos nem talaltam rolla semmit? ez minek a roviditese ebben a kontextusban? Efektiven mit kell tennem, hogy cap mentes legyen es mi az a cap?
cap=capability http://www.balabit.hu/hu/downloads/spinoff/ Udv -- Danoczy Peter
On 2002 Jul 31, Ifj. Darvas Istvan wrote:
sziasztok,
Mi a dns-t altalaban chroot-olt, cap-mentesitett bind-al szoktuk megoldani, ami forward only uzemmodban megy.
Ez nagyon jo otlet nekem eszembe nem jutott volna (most mar biztos, hogy igy csinljuk), de lenne egy kerdesem, a chroot-ol dns-t az ertem, az tiszta sor, de mi az a cap mentesitett? megneztem a BIND9 referencia konyvet es rakerestem benne erre a szora, ha en sajnos nem talaltam rolla semmit? ez minek a roviditese ebben a kontextusban? Efektiven mit kell tennem, hogy cap mentes legyen es mi az a cap?
Ennek nem a bind-hoz van koze, hanem a linux-hoz! A Linux capability rendszererol. bovebben: linux kernel source, azon belul: include/linux/capability.h illetve itt: ftp://ftp.guardian.no/pub/free/linux/capabilities/capfaq.txt illetve itt: Linuxvilag magazin 17. szam (2002. junius) 29. oldal
amugy az UDP-s forgalmat igy kell atvinni:
Servive("innen_BIND_oda", PlugProxy, router=DirectedRouter(SockAddrInet("266.266.266.266", 53)), snat=ForgeClientSourceNAT())
Receiver(SockAddrInet("366.366.366.366", 98765), "inned_BIND_oda")
koszonom szepen, megint sikerult ezen a modon, amit javasoltatok, de kellett tennem egy kis kiegeszitest. Ugyanis szukseg volt meg egy tcp listener-re is hogy mukodjon rendesen a Bind. de a lenyeg, hogy muxik rendesen.
igen. ez azert van, mert a zona transfer (master-slave dns szerverek kozott) tcp-n megy. -- Höltzl Péter Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
On Wed, Jul 31, 2002 at 09:02:46AM +0200, HOLTZL Peter wrote:
amugy az UDP-s forgalmat igy kell atvinni:
Servive("innen_BIND_oda", PlugProxy,
^^^^^^^^^^^^
router=DirectedRouter(SockAddrInet("266.266.266.266", 53)), snat=ForgeClientSourceNAT())
Receiver(SockAddrInet("366.366.366.366", 98765), "inned_BIND_oda")
A jelzett helyre mindenkeppen PlugProxy -t kell irni? -- Udvozlettel Zsiga
On 2002 Aug 01, Kosa Attila wrote:
On Wed, Jul 31, 2002 at 09:02:46AM +0200, HOLTZL Peter wrote:
amugy az UDP-s forgalmat igy kell atvinni:
Servive("innen_BIND_oda", PlugProxy,
^^^^^^^^^^^^
router=DirectedRouter(SockAddrInet("266.266.266.266", 53)), snat=ForgeClientSourceNAT())
Receiver(SockAddrInet("366.366.366.366", 98765), "inned_BIND_oda")
A jelzett helyre mindenkeppen PlugProxy -t kell irni?
Igen. Illetve lehet KisBelaProxy is, ha: class KisBelaProxy(PlugProxy): pass Na felre a trefat! UDP-t csak a Plug proxy tud, illetve a RadiusProxy is de azon nem megy at a DNS. Tervben volt/var DNS elotet proxy (a bind ele) de az meg a jovo muzsikaja! Höltzl Péter -- Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint: BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6
On Thu, Aug 01, 2002 at 01:04:48PM +0200, HOLTZL Peter wrote:
On 2002 Aug 01, Kosa Attila wrote:
On Wed, Jul 31, 2002 at 09:02:46AM +0200, HOLTZL Peter wrote:
Servive("innen_BIND_oda", PlugProxy,
^^^^^^^^^^^^
A jelzett helyre mindenkeppen PlugProxy -t kell irni?
Igen. Illetve lehet KisBelaProxy is, ha:
class KisBelaProxy(PlugProxy): pass
Igy ertettem, koszi. A folytatast lasd a masik threadben. -- Udvozlettel Zsiga
participants (4)
-
HOLTZL Peter
-
Ifj. Darvas Istvan
-
Kosa Attila
-
Peter Danoczy