[zorp-hu] Egy pelda-konfig

SZALAY Attila sasa@balabit.hu
Tue, 19 Dec 2000 09:37:34 +0100 

On 2000 Dec 19, Kosa Attila wrote:
> 
> > > # Ha transzparensnek allitom be a pop3 service-t, akkor a
> > > # klienseknek a tuzfalat kell megadnom pop3 szerverkent?
> > 
> > Nem, a valódi pop3 szervert. Ha azt akarod hogy ne is tudják hol van
> > igaziból, vagy nem route-olható helyen van, akkor DirectedChainert
> > használj.
> 
> Akkor nem is kell transzparensnek beallitanom? Ha nem akarom, hogy
> tudjak, hogy hol van, akkor is a valodi pop3 szervert kell megadni
> a klienseknek, vagy akkor mar a tuzfalat (DirectedChainer hasznalata
> eseten)?

Szoval, van ket lehetoseg. Az egyik, hogy a DMZ-ben "valodi" IP
cimeket hasznalsz. Ekkor kivulrol ezek direktben megcimezhetoek. Ilyenkor
erdemes TransparentChainer-t hasznalni.

A masik lehetoseg, es ez a preferalt, hogy a DMZ-ben nem route-olhato
IP cimeket hasznalsz. Ekkor ezek kozvetlenul nem cimezhetoek, ezert aztan
a tuzfalnak kell megmonani (DirectedChainer segitsegevel), hogy merre
menjen tovabb. Ilyenkor kivulrol a tuzfal IP cimet kell hasznalni.
(vagy esetleg a tuzfalra aggatni egy masik IP cimet is)

> Az archivumban talaltam egy 0.5.26-ra vonatkozo ftp-s reszt:
> # Mit is csinal ez a proxyallow?
> class MyFtp(Ftp.FtpProxyAllow):

Az FtpProxyAllow osztaly engedelyezi az osszes ftp-vel kapcsolatos rfc
(765, 959, stb.)-ben leirt utasitast. Es persze a hozzajuk tartozo
valaszt is.

> 	def config(self):
> # Mit csinal a debug?
> 		Zorp.debug(0, "MyFtp startUp()")

debug, error, es messages fuggvenyek a nevuknek megfelelo tipusu uzenetek
kiirasat vegzi. Jelen esetben kiirja a logba (ha a debug engedelyezve van),
hogy MyFtp startUp()

> # Az ncftp kulonleges allatfajta, hogy ilyen elbanasban
> # reszesul? Ha squid proxyn keresztul nyomulnak a kliensek,
> # akkor is kell ilyen specialis "segitseget" nyujtani?
> 		# ncftp kliens
> 		self.FtpAnswerENABLE("500", "CLNT")

Igen. Az ncftpd-be beleraktak uj parancsokat. Es amilyen intelligensek,
ezeket nem SITE <parancs> formajaban tettek. Es raadasul az ncftp-be
beepitettek, hogy ezeket a parancsokat hasznalja is. Ilyen pl. a CLNT
parancs, amit minden bejelentkezeskor kuld a szerver fele. Erre persze
egy jolnevelet szerver 500-as valaszt kuld, hogy az utasitast nem ismeri.
De mivel ez semmilyen rfc-ben nincs benne, ezert ezt igy kulon engedelyezni
kell.
Ha squid-en keresztul mesz (ncftp tud hasznalni squid-et?), akkor nem
kell, mert a squid ftp programja nem hasznal ilyen lokott utasitasokat.

> # Ez micsoda?
> 		self.proxy_state = 1

Ez a proxy transzparensseget kapcsolja.
(0 eseten transzparens a proxy, 1 eseten nem. Ebben javit a 0.7-es
Zorp, ahol ez, es az ehhez hasonlo beallitasi lehetosegek egysegesek,
es sokkal intuitivabbak.)

-- 
SaSa