On Tue, Jan 21, 2003 at 08:26:32PM +0100, Balazs Czigany wrote:
Az fmirror sehogy sem bír átkeveredni a zorp-on.
Biztosan nalad van valami problema, mert nekem mukodik.
Vegre valami remeny :))))
További tulajdonságok - wget-tel illetve sima ftp klienssel remekül megy aktív mód-ban - passive módban egyik kliens sem működik. Hasonlót produkál mint
az
fmirror
A csomagszuro beallitasok?
Mivel Wget-el es normal ftp-vel atmegy szerintem ez a resze rendben van. Amikor tcpdump-pal nézem a forgalmat az ftp kliensen csak annyi látszik, hogy az ftp szerver küldött egy tcp reset-et, ami a zorp volt..... Még arra goldoltam, hogy a kernelem nincsen meg patch-elve. Nem okozhatja-e ez a problémát, például a tranzsparencia patch hiányzik? Üdv Czigi
On Wed, Jan 22, 2003 at 11:00:02AM +0100, Balazs Czigany wrote:
Még arra goldoltam, hogy a kernelem nincsen meg patch-elve. Nem okozhatja-e ez a problémát, például a tranzsparencia patch hiányzik?
Ugye nem ipchains-t hasznalsz a 2.4.20-as kernellel? Ha nem, akkor bizony kell a tproxy patch a kernelhez. Megtalalod a www.balabit.hu/downloads link alatt. -- Udvozlettel Zsiga
Balazs Czigany wrote:
További tulajdonságok - wget-tel illetve sima ftp klienssel remekül megy aktív mód-ban - passive módban egyik kliens sem működik. Hasonlót produkál mint
szerintem nem pecs kerdese, de lehet...
ez csomagszuro problema. be lehet parameterezni hogy hogyan nyisson vissza. 2 resz van, eccer ki kell nyitni egy port tartomanyt akkor ha a kliens aktiv es a zorp passziv, ezsek szerint ez neked megy, eccer pedig ha a kliens passziv es a zorp aktiv akkor pedig valami ilyesmi. iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT de javiccsatok ki ha hulyeseg! nekem igy megy jol. na most a dport az self.data_port_min = 40000 self.data_port_max = 41000 kozott kellene hogy menjen ha jol tudom... ha ugy nem megy akkor prosza 1024:
On Wed, Jan 22, 2003 at 11:57:06AM +0100, narancs wrote:
Balazs Czigany wrote:
További tulajdonságok - wget-tel illetve sima ftp klienssel remekül megy aktív mód-ban - passive módban egyik kliens sem működik. Hasonlót produkál mint
szerintem nem pecs kerdese, de lehet...
ez csomagszuro problema. be lehet parameterezni hogy hogyan nyisson vissza.
2 resz van, eccer ki kell nyitni egy port tartomanyt akkor ha a kliens aktiv es a zorp passziv, ezsek szerint ez neked megy, eccer pedig ha a kliens passziv es a zorp aktiv akkor pedig valami ilyesmi.
iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED.
de javiccsatok ki ha hulyeseg! nekem igy megy jol. na most a dport az self.data_port_min = 40000 self.data_port_max = 41000
kozott kellene hogy menjen ha jol tudom... ha ugy nem megy akkor prosza 1024:
A zorp a passziv adatkapcsolatot a szerver IP cimevel nyitja vissza a kliens fele, ehhez 2.4-es kernelen mindenkeppen kell a patch. a patch hasznalatarol es a hozza kapcsolodo iptables dolgokrol talaltok egy leirast a http://www.balabit.hu/en/downloads/zorp-gpl/docs/zorp-tutorial.txt cimen. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Balazs Scheidler <bazsi@balabit.hu> irta:
iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED. ja, elég vicces lenne beengedni egy NEW csomagot ami úgy jön, mintha válasz lenne. De ha jól emlékszem a Zorp itt még segít, nem? Emlékeim szerint figyeli, hogy nem-e nyitottak vissza tunnelt es hasonlok illetve, hogy valóban élő kapcsolathoz tartozik-e? Így végülis nem túl nagy hiba a fenti, ha annak tekintjük egyátalán az esztétikait... üdv, Ago
On Wed, Jan 22, 2003 at 12:18:22PM +0100, Deim Agoston wrote:
Balazs Scheidler <bazsi@balabit.hu> irta:
iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED. ja, elég vicces lenne beengedni egy NEW csomagot ami úgy jön, mintha válasz lenne. De ha jól emlékszem a Zorp itt még segít, nem? Emlékeim szerint figyeli, hogy nem-e nyitottak vissza tunnelt es hasonlok illetve, hogy valóban élő kapcsolathoz tartozik-e? Így végülis nem túl nagy hiba a fenti, ha annak tekintjük egyátalán az esztétikait...
kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul. TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo, akar kimeno) megoldhato egyetlen szaballyal: iptables -A INPUT -m tproxy -j ACCEPT -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Balazs Scheidler wrote:
On Wed, Jan 22, 2003 at 12:18:22PM +0100, Deim Agoston wrote:
Balazs Scheidler <bazsi@balabit.hu> irta:
iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED.
ja, elég vicces lenne beengedni egy NEW csomagot ami úgy jön, mintha válasz lenne. De ha jól emlékszem a Zorp itt még segít, nem? Emlékeim szerint figyeli, hogy nem-e nyitottak vissza tunnelt es hasonlok illetve, hogy valóban élő kapcsolathoz tartozik-e? Így végülis nem túl nagy hiba a fenti, ha annak tekintjük egyátalán az esztétikait...
kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
csodalkoztam is :-) en anno addig probalgattam ezeket a dolgokat amig ossze nem jott. és ez esetben is biztos hogy a távoli gép a zorp által definiált tartományba nyit vissza, vagy 1024+? mindenesetre forgatnom kell egy új kernelt ...
TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo, akar kimeno) megoldhato egyetlen szaballyal:
iptables -A INPUT -m tproxy -j ACCEPT
ezt nem igazán értem... akkor hol konfigolod fel a portokat? a zorp szól a kernelnek hogy mit kell kinyitni?
On Wed, Jan 22, 2003 at 01:12:35PM +0100, narancs wrote:
Balazs Scheidler wrote:
kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
csodalkoztam is :-) en anno addig probalgattam ezeket a dolgokat amig ossze nem jott. és ez esetben is biztos hogy a távoli gép a zorp által definiált tartományba nyit vissza, vagy 1024+?
az FTP proxy minden adatkapcsolati kezdemenyezest a sajat oldalan beszorit egy porttartomanyba, ami alapbol 40000:41000. Ez 2.0-nal is igy van, csak most mar ezt a tenyt nem hasznaljuk ki a csomagszuronel. Nagyjabol a Zorpban megbizunk, hogy o tudja milyen dinamikus kapcsolatokat kell nyitnia. A csomagszurot most mar szinte csak a TPROXY-s elteritesekre hasznaljuk, illetve az egyeb aranyos lehetosegekre, mint a SYN limit, ami alkalmazas szintrol nehezen lenne elerheto.
mindenesetre forgatnom kell egy új kernelt ...
TPROXY patchel az osszes Zorp-hoz kapcsolodo TCP kapcsolat (akar bejovo, akar kimeno) megoldhato egyetlen szaballyal:
iptables -A INPUT -m tproxy -j ACCEPT
ezt nem igazán értem... akkor hol konfigolod fel a portokat? a zorp szól a kernelnek hogy mit kell kinyitni?
igen. a portokat tovabbra is beallithatod az FTP proxynak, de mar nem muszaj. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Balazs Scheidler wrote:
On Wed, Jan 22, 2003 at 01:12:35PM +0100, narancs wrote:
Balazs Scheidler wrote:
kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul.
az FTP proxy minden adatkapcsolati kezdemenyezest a sajat oldalan beszorit egy porttartomanyba, ami alapbol 40000:41000. Ez 2.0-nal is igy van, csak most mar ezt a tenyt nem hasznaljuk ki a csomagszuronel.
ertem
Nagyjabol a Zorpban megbizunk, hogy o tudja milyen dinamikus kapcsolatokat kell nyitnia.
es ezert a tproxy modulba erkezo csomagokat acceptaljuk...
A csomagszurot most mar szinte csak a TPROXY-s elteritesekre hasznaljuk, illetve az egyeb aranyos lehetosegekre, mint a SYN limit, ami alkalmazas szintrol nehezen lenne elerheto.
jo lenne latni 1 full csomagszuro konfigot, amiben a lokalhoszt vedelme, az smtp,ntp,dns forgalom, a lokal generalt forgalom es ami persze a legfontosabb a zorppal kapcsolatos szabalyok le vanak irva. eddig mindig a sajat eszemre es gyakorlatozasra hagyatkoztam hogy megfejtsem hogy mukodik egyutt a zorp es a netfilter. a tproxy most mindent felborit :-) es minden sokkal egyszerubb lesz...
ezt nem igazán értem... akkor hol konfigolod fel a portokat? a zorp szól a kernelnek hogy mit kell kinyitni?
igen. a portokat tovabbra is beallithatod az FTP proxynak, de mar nem muszaj.
asszem ez zsenialis :-) gratula!
On Wed, Jan 22, 2003 at 01:38:13PM +0100, narancs wrote:
A csomagszurot most mar szinte csak a TPROXY-s elteritesekre hasznaljuk, illetve az egyeb aranyos lehetosegekre, mint a SYN limit, ami alkalmazas szintrol nehezen lenne elerheto.
jo lenne latni 1 full csomagszuro konfigot, amiben a lokalhoszt vedelme, az smtp,ntp,dns forgalom, a lokal generalt forgalom es ami persze a legfontosabb a zorppal kapcsolatos szabalyok le vanak irva.
a tutorialban elvileg ilyen is van: *tproxy :PREROUTING ACCEPT :OUTPUT ACCEPT :PRintra - :PRinter - :PRdmz - -A PREROUTING -i IFintra -j PRintra -A PREROUTING -i IFinter -j PRinter -A PREROUTING -i IFdmz -j PRdmz // PRintra chain -A PRintra -p tcp --dport 80 -j TPROXY 50080 -A PRintra -p tcp --dport 443 -j TPROXY 50443 -A PRintra -p tcp --dport 21 -j TPROXY 50021 // PRinter chain -A PRinter -p tcp --dport 80 -j TPROXY 50080 // PRdmz chain // no services permitted COMMIT *filter :INPUT DENY :FORWARD DENY :OUTPUT ACCEPT :noise - :spoof - :spoofdrop DROP :LOintra - :LOinter - :LOdmz - -A INPUT -j noise -A INPUT -j spoof // permit all traffic initiated by transparent proxies -A INPUT -m tproxy -j ACCEPT // // permit all TCP traffic initiated by local processes, or allowed by rules // below, we don't trust the state match for UDP traffic, they will be handled // by individual rules below. // -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT // permit all loopback traffic -A INPUT -i lo -j ACCEPT -A INPUT -i IFintra -j LOintra -A INPUT -i IFinter -j LOinter -A INPUT -i IFdmz -j LOdmz -A INPUT -j DROP -A FORWARD -j LOG --log-prefix "FORWARD DROP: " -A FORWARD -j DROP // LOintra -A LOintra -p udp --dport 53 -j ACCEPT -A LOintra -p udp --dport 123 -j ACCEPT -A LOintra -p tcp --syn --dport 25 -j ACCEPT -A LOintra -j LOG --log-prefix "LOintra DROP: " -A LOintra -j DROP // LOinter // permit DNS replies, bind is configured to send out DNS packets from this // port. We could also use the state match in our INPUT chain. -A LOinter -p udp -s DNS_SERVERS --dport 53000 -j ACCEPT -A LOinter -p udp -s NTP_SERVERS --dport 123 -j ACCEPT -A LOinter -p tcp --syn --dport 25 -j ACCEPT -A LOinter -j LOG --log-prefix "LOinter DROP: " -A LOinter -j DROP // LOdmz -A LOdmz -p udp --dport 53 -j ACCEPT -A LOdmz -p udp --dport 123 -j ACCEPT -A LOdmz -p tcp --syn --dport 25 -j ACCEPT -A LOdmz -j LOG --log-prefix "LOdmz DROP: " -A LOdmz -j DROP // // noise chain, should drop all packets which need not be logged, // otherwise it should return to the main ruleset // -A noise -p udp --dport 137:139 -j DROP -A noise -j RETURN // // spoof chain, should drop all packets with spoofed source address // otherwise it should return to the main ruleset // -A spoof -i lo -j RETURN -A spoof ! -i lo -s 127.0.0.0/8 -j spoofdrop -A spoof -i IFintra ! -s NETintra -j spoofdrop -A spoof ! -i IFintra -s NETintra -j spoofdrop -A spoof -i IFdmz ! -s NETdmz -j spoofdrop -A spoof ! -i IFdmz -s NETdmz -j spoofdrop -A spoof -j RETURN // -A spoofdrop -j LOG --log-prefix "Spoofed packet: " -A spoofdrop -j DROP COMMIT
ezt nem igazán értem... akkor hol konfigolod fel a portokat? a zorp szól a kernelnek hogy mit kell kinyitni?
igen. a portokat tovabbra is beallithatod az FTP proxynak, de mar nem muszaj.
asszem ez zsenialis :-) gratula!
koszi -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Balazs Scheidler <bazsi@balabit.hu> irta:
--dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED. kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul. Javits ki ha rosszul tudom, de a Zorp 2.4-es kernellel nem mukodik jol TPROXY nélkül és nem is ajánlott a fenti módon használni. Persze ha lehet az ok, de miert ne hasznaljuk a lehetosegeket. üdv, Ago
On Wed, Jan 22, 2003 at 01:21:58PM +0100, Deim Agoston wrote:
Balazs Scheidler <bazsi@balabit.hu> irta:
--dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED. kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul. Javits ki ha rosszul tudom, de a Zorp 2.4-es kernellel nem mukodik jol TPROXY nélkül és nem is ajánlott a fenti módon használni. Persze ha lehet az ok, de miert ne hasznaljuk a lehetosegeket.
Hasznalni lehet, de elveszitesz egy csomo ertekes feature-t: 1) az FTP adatkapcsolati resze nem tud a szerver cimevel kapcsolodni a klienshez (sot extra beallitasokat kell tenni, hogy ne is ezzel probalkozzon, mert maskepp hibaval eldobja) 2) a DMZ-ben levo webszerver fele nem tudsz a kliens cimevel tovabb menni (azaz a webszerver a tuzfal IP cimet latja forraskent) 3) a Zorp nem fogja detektalni a TPROXY tamogatast, ezert nem fogja latni a kapcsolatok eredeti celjat (ez mondjuk feloldhato, mert a TPROXY es a sima REDIRECT ilyen szempontbol nem kulonbozik) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Wed, Jan 22, 2003 at 01:49:54PM +0100, Balazs Scheidler wrote:
On Wed, Jan 22, 2003 at 01:21:58PM +0100, Deim Agoston wrote:
Balazs Scheidler <bazsi@balabit.hu> irta:
--dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED. kozben rajottem, hogy a passziv modban a proxy nem kezdemenyez, hanem var, tehat a NEW feltetlenul kell, legalabbis TPROXY patch nelkul. Javits ki ha rosszul tudom, de a Zorp 2.4-es kernellel nem mukodik jol TPROXY nélkül és nem is ajánlott a fenti módon használni. Persze ha lehet az ok, de miert ne hasznaljuk a lehetosegeket.
Hasznalni lehet, de elveszitesz egy csomo ertekes feature-t:
sorry, hulyen fogalmaztam. Szoval TPROXY nelkul veszited el a featureoket. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Balazs Scheidler wrote:
On Wed, Jan 22, 2003 at 11:57:06AM +0100, narancs wrote:
iptables -A INTERNET -s $INTER_NET -d $INTER_IP -p tcp --sport 20 --dport 40000:41000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ha a tuzfal kezdemenyezi a kapcsolatot, akkor sem a NEW sem a RELATED nem kell, maximum az ESTABLISHED.
koszi, ez sokat segit a folyamat megerteseben! sajnos en nem talaltam tul bobeszedunek a netfilter doksikat anno, foleg a connection trackingrol.
A zorp a passziv adatkapcsolatot a szerver IP cimevel nyitja vissza a kliens fele, ehhez 2.4-es kernelen mindenkeppen kell a patch.
aha, ez uj info.
a patch hasznalatarol es a hozza kapcsolodo iptables dolgokrol talaltok egy leirast a http://www.balabit.hu/en/downloads/zorp-gpl/docs/zorp-tutorial.txt cimen.
koszi, olvasgatom! van benne reszletesen az ftp koruli dolgokrol?
participants (5)
-
Balazs Czigany
-
Balazs Scheidler
-
Deim Agoston
-
Kosa Attila
-
narancs