[zorp-hu] 1.4rc11 config / pssl szivas
Narancs v1
narancs@narancs.tii.matav.hu
Thu, 8 Nov 2001 10:17:39 +0100 (CET)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Szóval upgradeltem 0.8.8-as zorpomat a fenti verzióra és több órás szívás
után (ugye végig kellet böngészni a .py fájlokat a szintaktika kedvéért)
nagyjából rájöttem az új policy.py formátumára.
A mellélkelt sample is elég szűkszavú szerintem.
Mindenesetre a balabitről letölthető deb csomagokból hiányzott a
Matcher.py, ami viszont az src-ben benne volt, uh. copy.
Kár, hogy nincs egy jó policy.py howto.
A pylib/* fájlokban böngészve viszont jó kommenteket találtam.
- ------------
Az SSL még most se jött össze, tudna valaki egy működő http/ssl konfigot
küldeni 1.4rc11-hez?
Tegyük fel, hogy van 1 rakás user a localnet-en, akiknek minden CA és
trusted cert korlátozás nélkül internet https-t akarok proxyzni.
Megcsináltam a tf kliensek felé mutatott certjeit,
class IntraHttps(PsslProxy):
class EmbeddedHttp(HttpProxy):
def config(self):
HttpProxy.config(self)
# self.strict_header_checking = 0
self.request_headers["User-Agent"] = [HTTP_CHANGE_VALUE, "Lynx/2.8.3rel.1"]
def config(self):
self.server_need_ssl = TRUE
self.server_verify_type = SSL_VERIFY_REQUIRED_UNTRUSTED
# self.server_ca_directory = '/etc/zorp/cas.certs'
self.server_ca_directory = '/etc/zorp/ca.crt'
self.server_cert = '/etc/zorp/server.crt'
self.client_need_ssl = TRUE
self.client_cert = '/etc/zorp/server.crt'
self.client_key = '/etc/zorp/server.key'
self.client_verify_type = SSL_VERIFY_NONE
self.stack_proxy = self.EmbeddedHttp
Most ebben a felállásban a *_NONE-ra azt modja hogy hülyeség ilyen attr
nincs, persze a pssl.py-ben + van.
Érdekes módon a server_verify_type-ra nem rinyál. A client-re írhatok
akármit, nem teccik neki.
Szóval megköszönnék 1 kis segítséget ez ügyben.
- --------------------------
Más: az filter izé url loggolás nem megy, mer ha bekapcsolom, akkor mindig
policyviolation.html-t kapok.
class IntraHttp(HttpProxy):
def config(self):
HttpProxy.config(self)
self.transparent_mode = TRUE
#self.request_headers["User-Agent"] = (HTTP_CHANGE_VALUE, "Lynx/2.8.3rel.1")
# self.request["GET"] = (HTTP_POLICY, self.filterURL)
# self.strict_header_checking = 0
# self.parent_proxy = "proxy.site.net"
# self.parent_proxy_port = 3128
# self.timeout = 60000
# self.max_keepalive_requests = 10
# def filterURL(self, method, url, version):
# return Z_REJECT here to reject this request
# change self.request_url to redirect to another url
# change connection_mode to HTTP_CONNECTION_CLOSE to force kept-alive connections to close
# log("http.info", 3, "%s: GET: %s" % (self.session.session_id, url))
- --
Szóval ezzel mit csináljak, hogy tudam végre loggolni az url-eket?
Ezzel is volt szívás, mert régen Http.HTTP_POLICY volt, most pedig ez a
"Htpp." eltűnt.
Ja és a user agent felülbírálást ki kellett kapcsolnom, mert a usereket
kidobálta a hotmail és 1éb ms site, hogy az ő böngészőjük nem jó.
Van 1éb ötlet, hogy mire írjam át, modjuk mozilla/linux :-) ?
Köszi mindent!
- -------------------------
Narancs v1
IT Security Administrator
"Security of information is an illusion.
What is in one's mind gets into the collective consciousness (akasha),
so that can be read with meditation ;-) You don't have to hack.
Just 'remember'! You're the one."
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iEYEARECAAYFAjvqTbYACgkQGp+ylEhMCIV7XgCfdoh6y4fEeBToX9J8guwIkrd3
vz8AnivNxFxYbxOpa9OGVR/xVdoY2Z5c
=hroL
-----END PGP SIGNATURE-----