[zorp-hu] Kezdjuk elolrol :)

[SZALAY Attila]

Hi!

On 2001 Jan 17, Kosa Attila wrote:
> 
> from Zorp.Zorp import *
> from Zorp import Zorp
> from Zorp.Zone import InetZone
> from Zorp.Service import Service
> from Zorp.SockAddr import SockAddrInet
> from Zorp.Chainer import TransparentChainer, DirectedChainer, InbandChainer, FailoverChainer
> from Zorp.Plug import PlugProxy
> from Zorp import Http
> from Zorp.Http import HttpProxy
> from Zorp.Ftp import FtpProxyAllow, FtpProxyMinimal
> from Zorp.Listener import Listener
> 
> Zorp.firewall_name = 'zorp1@teszt.hu'
> 
> 
> InetZone("kulso", "192.168.1.1/32",
>     inbound_services=[],
>     outbound_services=[]),
> 
> InetZone("local", "127.0.0.0/8",
>     inbound_services=[],
>     outbound_services=[]),
> 
> InetZone("internet", "0.0.0.0/0",
>     inbound_services=[],
>     outbound_services=[])
> 
> def init(name):
>     debug(5, "Policy init, name=%s" % name)
> 
> Mivel a csillag a szolgaltatas helyen mindent engedelyez,
> ebbol azt gondoltam, hogy az ures pedig semmit. De
> elinditva ezt a konfigot ugyanugy tudom pingetni a
> 127.0.0.1-et, es a 192.168.1.1-et is. Nem jol gondoltam?
> Esetleg a kernelembol hianyzik valami?

A ping nem megy keresztul a zorp-on. (A PING icmp csomag, a zorp pedig
csak UDP-s es TCP-s csomagokkal foglalkozik)
Viszont ez azt jeleti, hogy forward-olsz a ket halokartya kozott,
ami nem jo otlet.
A forward legyen alapbol DENY

> Ezek utan gondoltam engedelyezek valamit (letrehozok egy
> szolgaltatast). Beirtam a konfigba a kovetkezoket:
> 
> class IDHttp(HttpProxy):                                                        
>     def config(self):                                                           
> 	    self.transparent_mode = 1
> 
> Service("id_http", DirectedChainer(SockAddrInet("192.168.1.1", 8080)), IDHttp)
>                                                                    ^^^      ^^^
> 
> Listener(SockAddrInet("192.168.1.1", 80), "id_http")
> 
> Remenyeim szerint azt kellett volna csinalnia, hogy miutan
> elinditottam az apache-ot a 8080-as porton (ellenoriztem,
> tudtam hozza kapcsolodni, a 80-ason pedig nem), ez szepen
> atteszi a 192.168.1.1 cim 80-as portjara erkezo kereseket
> a 8080-as portra. Ehhez beirtam a konfigba az "id_http"-t.
> A vegen kinomban mar minden zona out- es inboundjaba is, de
> igy sem volt hajlando azt csinalni, amit szerettem volna.
> Egyebkent hibauzenet nelkul elindult, de nem csinalta :(
> Ejfelkor abbahagytam... Lehet, hogy a faradsagtol nem
> vettem eszre valamit, de akkor mit? Elkelne egy kis
> segitseg :)

Kerdes, hogy honnan probaltad? Ugye nem localhost-rol?
Egyebkent, ha valamilyen nyugje van a zorp-nak, akkor azt jelzi, felteve,
hogy nem tul alacsony a verbosity level-je. (Az instances.conf-ban
ellenorizheted. A default 3 mar megfelelo, de minel nagyobb ez az ertek,
annal tobb mindent ir ki)

-- 
Szalay Attila                         BalaBit IT Biztonságtechnikai Kft.
tel/fax:(36-1)-217-14-98              1092 Bp. Köztelek u. 4/b
                                      http://www.balabit.hu