[zorp-hu] Konfiguralas

Gyorko Zoltan gyorkoz@balabit.hu
Thu, 11 Jan 2001 16:21:08 +0100 

szia

> # (ip-cim szerint) mely gepek milyen szolgaltatasokat
> # erhetnek el a tuzfalon keresztul? 

A zonak beallitasain keresztul, mint a hagyomanyos ip zonak azaz (jatek a
netmask-al):

a.b.c.d/32 a zona definicioban kizarolag az a.b.c.d gepet jelenti 

Ami fontos, hogy a 0.6-osban a zonak feldolgozasa meg soros volt, ezert az
alzonakat elobb kell kijelolni.
(07.11-ben mar nem kell igy)

>Ez a konfig melyik
> # zorp verzioval mukodik stabilan? Ugyanis ugy lattam,
> # hogy a 0.7.11-es verzional mar mas a konfig.

Ugy tunik semelyikkel sem. A zonadefinicio meg a 0.6-bol jon, a
szolgaltatas osztaly mar uj. Ez arra utal, hogy 0.7.8-at hasznalsz, ami a
fejlesztoi sorozat elejerol szarmazik ezert meg vannak benne bugok.

tehat lepned kell. A legjobb az lenne ha atirnad a policy-t 0.7.11-nek
megfelelore. Ha ez nem szimpatikus, akkor allj vissza 0.6-ra.

> 
> #---------------------------------------------------------#
> # A belso halorol az internet elerese http-n keresztul
> class BIHttp(Http.HttpProxy):
>     def config(self):
> 	HttpProxy.config(self)
> 	self.transparent_mode = 1
> #	self.request["POST"] = (Http.HTTP_DROP)
> 
> def init(name):
>     BIHttp_service = \
> 	Service("BIHttp", InbandChainer(), BIHttp)
> 
> # A kesobbiekben szeretnek egy proxyt is kesziteni a belso
> # halozatra, de egyelore direktben szeretnem kiengedni a
> # usereket. Erdemes-e beletenni a "-s 192.168.0.0/24" reszt?

"Mag fele paranoia " (Sasa) eseten erdemes, hogy mindent tobbretuen
lekezelj. A zona definicio es amiatt, hogy a megfelelo interface-n listenel
a zorp is megfogja. 

> # ipchains -A input -i eth2 -d 0/0 80 -j REDIRECT 3128

> Listener(SockAddrInet("192.168.0.250", 3128), BIHttp_service)

> # Ha kesz lesz a proxy-szerver (squid), akkor csak az
> # atiranyitast kell megvaltoztatnom? Ahogy en gondolom:
> # ipchains -A input -i eth2 -s proxy.ip.cim.e -d 0/0 80 -j REDIRECT 3128
> # Es ekkor a proxyn nem kell semmit beallitani, ugye?

Ez is egy jo megoldas. Lehet csak zonadefinicioval
csinalni (squid kulon zona ahonnan csak a HTTP megy, mashonnan meg minden
mas) es akkor a zorp dont. Gusztus dolga. (Mag szerint ugye legjobb mindent
specifikalni)

> #---------------------------------------------------------#
> 
> #---------------------------------------------------------#
> # A belso halorol az internet elerese ftp-n keresztul
> class BIFtp(FtpProxyAllow):
>     def config(self):
> 	FtpProxy.config(self)
> 	self.fw_server_data.ip_s="100.100.100.100"
> 	self.fw_client_data.ip_s="192.168.0.250"
> 	NAT = 1
> 

A 0.7.11 ben mar nem kell fw_server_data.ip_s es client valtozokat
hasznalni, anelkul is transzparens lesz. 0.7.8-ban meg kell, de NAT valtozo
mar ott sincs. (ha lenne is helyesen self.NAT = 1 )


> 	Service("BIPop", TransparentChainer(), BIPop)
> 
> # ipchains -A input -i eth2 -d 0/0 110 -j REDIRECT 2110
> Listener(SockAddrInet("192.168.0.250", 2110), BIPop_service)
> # Ha korlatozni szeretnem, hogy mely gepek mehetnek ki ezen
> # a szolgaltatason keresztul, akkor azt hogyan kell 
> # beallitani? 

Lasd. squid.proxy.ip

>Ha azt is korlatozni szeretnem, hogy mely
> # gepeket erhetik el a neten pop3-mal (pl. matav, elender),
> # akkor kulon kell bontanom a matavos es elenderes elerest,
> # es az ipchains-szel iranyitani a megfelelo porton figyelo
> # service-hez?

Lasd zona definicio. (a popszervereket felveszed szinten kulon zonaba, oda
engedsz pop service-t mashova nem)

> 
> def init(name):
>     IDPop_service = \
> 	Service("IDPop", TransparentChainer(), IDPop)
> 
> # ipchains -A input -i eth0 -d 192.168.1.3 110 -j REDIRECT 4110
> Listener(SockAddrInet("100.100.100.100", 4110), BIPop_service)
> # Ezt inkabb DirectedChainer-rel kellene megoldani?

mivel a dmzben levo szrverednek nem valos ip-je van, nem is tudod maskent
elerni mint directed-el, mivel kifele csak a tuzfal ipje latszik.

> 
> #---------------------------------------------------------#
> # Az internetrol a DMZ elerese http-n keresztul
> class IDHttp(HttpProxy):
>     def config(self):
> 	self.transparent_mode = 0
			  ^^^^^^^^^^

Befele webszerver fele meno kereseknel epp az a lenyeg, hogy kintrol ne
latszon, a szerver nem a valos ip-n van es megis oda csapodjon be (a
directed chainer miatt)	

A fenti beallitas szerint az internetrol jovo klienseknek be kell allitaniuk
proxykent a tuzfaladat, ahhoz, hogy lassak a weblapodat.

kozben mar harman valaszoltak, de nem baj...

udvozletel

-- 
Györkő Zoltán                         BalaBit IT Biztonságtechnikai Kft.
tel/fax:(36-1)-217-14-98              1092 Bp. Köztelek u. 4/b
                                      http://www.balabit.hu