[zorp-hu] Kezdjuk elolrol :)
Kosa Attila
atkosa@shinwa.hu
Thu, 18 Jan 2001 11:05:04 +0100
On Thu, Jan 18, 2001 at 10:46:47AM +0100, Balazs Scheidler wrote:
> > Es ehhez kell egy ipchains is:
> > ipchains -A input -p tcp -i kartya -s belsohalo/cime -d smtp.cime 25 -j REDIRECT 2025
>
> Nem muszaly REDIRECT-el jatszanod, ha DirectedChainer-t hasznalsz. Szimplan
> felhuzhatod a Zorp listener-jet a 25-os porton is. (persze ehhez szukseges a
> cap_net_bind_service capability, mert 1024 alatt van)
Azert gondoltam a REDIRECT-re, mert - elkepzelesem szerint -
az nem art, ha a tuzfalon is fut mail-szerver, de csak
lokalisan tovabbitja a levelet, nem fogad kulso kapcsolatokat
egyik labon sem. Ennek azert erzem szukseget, hogy a kulonbozo
cron, snort, stb. jobok eredmenyet megkapjam. Viszont, ha fut
egy mail-szerver a tuzfalon, az elfoglalja a 25-os portot.
Tehat elteszem onnan (doksiolvasas, hogy hogyan kell), vagy
REDIRECT :) Vagy a REDIRECT nelkul is fel tudom huzni a Zorp-ot
a 25-os portra, annak ellenre, hogy ott van a mail-szerver?
> Amugy jonak tunik, csak arra vigyazz, hogy a fenti modszerrel a belso mail
> szerver a tuzfal cimet fogja latni klienskent, ezert a relay control
> megszunik. Ha ezt el akarod kerulni, akkor be kell kapcsolnod a forge_addr
> parameteret a DirectedChainer-nek, igy:
>
> DirectedChainer(SockAddrInet('ipcim', 25), forge_addr=1)
Erre talan nincs szukseg, ha nem a mail-szerver ellenorzi a
kliensek jogosultsagat, hanem a tuzfal nem engedi oda azt,
aki nem levelezhet.
> > Egy masik kerdesem az lenne, hogy az szerintetek rossz
> > elkepzeles-e, ha a tuzfalon nincs mail-szerver, hanem a
> > zorp dobja at az smtp kapcsolatokat a dmz-ben levo
> > szerverre?
>
> mindegyiknek van elonye is, hatranya is.
Ujra nekifutok :) Mondjuk van mail-szerver, de csak lokalis
levelkuldest vegez. Es a Zorp csinalja az "atdobalast".
Olyan hatranya van-e ennek a felallasnak, ami a biztonsagot
komolyan veszelyezteti?
--
Udvozlettel
Zsiga