[zorp-hu] Re: =?iso-8859-2?Q?=5Bzorp-hu=5D_Fork=2C_stop=2F-9=2C_t=F6bb_instance?=

Balazs Scheidler bazsi@balabit.hu
Thu, 8 Nov 2001 14:08:16 +0100 

On Thu, Nov 08, 2001 at 01:31:02PM +0100, Narancs v1 wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> 
> Következő kérdéseim merültek fel:
> 
> 1. érdemes minden 1es szolgáltatást külön instance-ként, külön policy-ből
> futtatni? pro-kontra?

altalaban zonankent csinalunk egy peldanyt, de mindegyik peldany ugyanazt a
policy-t hasznalja.

> 
> 2. minden új session-nél forkol a zorp? lehet állítani hogy mikor?

minden session-nel uj threadet indit. 

> 
> 3. terveztek irc proxy-t? (transzparens-et, mint a tircproxy a la
> freshmeat) - mondjuk én nem irczek, de a userek felvetették :-)

tervezunk, de van elotte mas protokoll a listaban (pl SMTP)

> 
> 4. Hiába mondom azt hogy /etc/init.d/zorp stop, az összes process, de
> legalább 1, a Listener megmarad és csak -9-el lehet kilőni. Ez a 088-asnál
> is így volt.

szerintem 2.2-es libc-d van. ott mar tudunk a hibarol, bar eddig nem neztuk
meg mi okozza. 2.1-es libcnel nincs ez, es mi egyenlore azon fejlesztunk.

> 
> 5. az ftp-nél van protokoll loggolás, pl. GET, PUT loggolása?

van, csak be kell kapcsolnod a logolasat. javaslom a -T kapcsolot (kiirja az
egyes uzenetek kategoriajat), es a --log-spec-et, amivel meg tudod adni
melyik kategoriaban milyen szintu uzenetek latszodjanak.

> 
> 6. hol van leírás, hogy melyik parancsokat hogy lehet lekorlátozni? az
> ftp-nél láttam, hogy vannak jó kis előredefiniált profilok, ami nagyon
> tetszik, van http-re is hasonló lehetőség? a header-filter nagyon tetszik,
> pl. cookie-k kidobása

http-re kevesebb elore definialt profil letezik, leven egyszerubb protokoll.
minden protokoll elemre definialhatsz callbacket, ami aztan utasithatja a
proxyk motorjat, hogy mit csinaljon. a protokollokrol pedig a kapcsolodo
rfc-ben olvashatsz.

> 
> 7. ugye nem akartok csinálni jávás, vindosos GUI config felületet a
> zorp-hoz? :-)

javasat nem, vindozosat igen. de jo lesz :) a terv az, hogy olyan gui-t
csinaljunk, amit meg en is hasznalnek.

> 
> 8. ha transzparens módón összefűzöm squid-del a zorp-ot http-re és a
> web-cache nem a neten van, hanem benn a localneten, akkor DMZbe?

marmint, hogy a squid dmz-ben vagy intraneten legyen? ez leginkabb izles
kerdese, esetleg egy kulon zonaban, keresztkabellel osszekotve a tuzfallal.

> 
> 9. és olyat, hogy a squid cache-elte a https-es objektumokat (embedded
> izé), mondjuk ez a userek szemponjából elég durva lenne :-)

ez tenyleg durva lenne, de nem is nagyon lehet osszehozni.

> 10. az 1.4-esben láttam valami conection tracking-ot, ez a linux2.4-el
> 1ütt , vagy ez más? és mire jó és hogyan kell haszn?

ez mas. sot stock 2.4-es kernelen nem is mukodik. ez az UDP alapu
protokollok rendes proxyzasat teszi lehetove. Tehat pl. ketiranyu udp-s
plugot igy tudsz csinalni:

Service("dns", PlugProxy)
Receiver(SockAddrInet('192.168.0.1', 53), "dns")

(A Listener helyett Receiver kell)

a commercialban erre alapozva mar van egy app level radius proxy.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1