[zorp-hu] udp-plug minta konfig

Balazs Scheidler bazsi@balabit.hu
Wed, 13 Nov 2002 11:59:44 +0100


On Wed, Nov 13, 2002 at 11:40:59AM +0100, Narancs wrote:
> Szervusztok!
> 
> Lenne pár kérdésem:
> 
> - Hol van keresheto" listaarchívum :-)

google://<ezt keresem> zorp-hu site:lists.balabit.hu/

> - Hol van doksi udp plug beizzításáról? milyen elo"feltételek kellenek a
> transzparens mu"ködéséhez 2.4-es kernelen? Régen mintha lett volna már a 
> listán
> erro"l szó... hogy áll a tproxy patch? megy 2.4.19-el?

megy 2.4.19-el, mi .18-on hasznaljuk, de ennek egyedul az az oka, hogy nem
volt idonk frissiteni.

2.4.20-ra is sikerult raizzitani egyedul egy helyen volt komolyabb conflict,
de ez is felodlhato.

az 1.4-es tamogatja ezt a patchet, de _kizarolag_ TCP kapcsolatokhoz

a 2.0-as tamogatja a TCP-t is es az UDP-t is a fenti patch-csel. Hasznalata
eleg egyszeru (pl. az overkill nevu szenzacios jatek atengedese Zorp-on,
masodlagos kapcsolatokat hasznalva (fastpath)):

class OverkillProxy(PlugProxy):
        def config(self):
                PlugProxy.config(self)
                self.secondary_mask = 0xC
                self.secondary_sessions = 10
                self.buffer_size = 32768


def intra_overkill():
        Service("intra_OVERKILL", OverkillProxy,
                router=DirectedRouter(SockAddrInet('24.186.227.192', 6666)))
        Receiver(SockAddrInet('192.168.0.1', 56666), "intra_OVERKILL")


a directedrouter celja egy overkill szerver, megpedig a cat2.ath.cx nevu

> - Mivel és hogyan szoktátok az ntpd-t jailezni, erro"l van-e valami leírás 
> valahol?

restrict-el szoktuk, ez a lenyeg:

export RESTRICT_UID=nobody
export RESTRICT_GID=nogroup
#export RESTRICT_GROUPS=
#export RESTRICT_VERBOSE=1
export RESTRICT_CAPS=cap_sys_time,cap_net_bind_service,cap_sys_nice,cap_ipc_lock=pe
export RESTRICT_CHROOT=/var/chroot/ntp/
export RESTRICT_FAKEUID=0

LD_PRELOAD=/usr/lib/librestrict.so /usr/sbin/ntpd

a jailen belul csak az ntp.cfg kell.


> - Van-e valami biztonságosabb ntpd implementáció az ismerten kívül?
> 
> Gratula a 2.0pre21 csont nélkül lefordult woodyn!
> Hála az égnek glib2.0-val és python 2.1-el is lefordul és nem kell kínlódni 
> a
> python1.5 + extclassal és glib1.3.1-el... Remélem úgyanúgy jól fut ahogy 
> lefordult :-)

en is ;) a commercial valtoztatot teszteljuk egy-ket helyen es menni-megy,
ritkan azert elofordultak eddig elszallasok, ezert a preXX jelzo.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1