[zorp-hu] Zorp IPF resze

[Balazs Scheidler]

On Wed, Jan 29, 2003 at 11:10:47AM +0100, Attila Nagy wrote:
> Hello,
> 
> > Csak annyira, amennyire egy kereskedelmi szoftver bináris patch-e GPL-es
> > lehet. Meg az IPF-hez sem volt sok köze:)
> Jo, felejtsuk el a Solarist, beszeljunk az IPF-rol.
> Az INSTALL-ban ez szerepel:
>             ipfilter  -- assumed on non-Linux platforms (your OS might not be
>                          supported, as ipfilter needs to be patched as well)
>                          Currently only Solaris is fully supported,
>                          otherwise you will not be able to forge the source
>                          address of firewall initiated connections.
>                          (webserver in the DMZ)
> 
> Ha jol sejtem a masodik mondat azt jelenti, hogy "Jelenleg csak a Solaris
> tamogatott teljesen, egyeb esetekben a tuzfal altal kezdemenyezett
> kapcsolatok forrascime nem hamisithato".
> 
> Jo, ne legyen hamisithato. Ettol fuggetlenul azonban az osszes tobbi
> funkcionak mukodnie kene? Ilyen esetben (peldaul egy nem Solaris, de nem
> is Linux OS-en) --disable-tproxy-val kene a configure-t futtatni, hogy jo
> is legyen nekem? (egyelore csak elmeletben probalkozom :)
> 
> Amit egyebkent eredetileg felvetettem, az az, hogy az
> ENABLE_IPFILTER_TPROXY eset kezelese gyakorlatilag hianyzik a kodbol
> (zorp-2.0rc3). Gondolom ehhez semmi koze annak, hogy a Solarist patchelni
> kell...
> Na ennek fenyeben nem teljesen ertem, hogy mi az a reszleges TPROXY
> tamogatas, amelyet a Zorp nem Solaris rendszereken nyujtani tud. (lasd
> fenti szoveg)
> 
> De az is lehet, hogy tulsagosan belegabalyodtam ;)

az --enable-ipfilter kapcsolo 1.4-es maradvany, jelenleg nem mukodik.

> 
> > Ahhoz először kellene egy használható csomagszűrő FreeBSD-re...
> Valoban, az IPF tenyleg nem a vilag legjobb csomagszuroje, bar erdekes,
> hogy Harald Weltenek (Netfilter core team tag) mas velemenye van errol:
> http://lists.netfilter.org/pipermail/netfilter-devel/2002-June/008187.html
> (1 piros pont annak, aki rajon, hogy miert talaltam ra erre a levelre :)

nezd meg a valaszomat, majd az arra erkezett valaszt. az ipf felhasznaloi
szempontbol nem feltetlenul rossz, de a kodja eleg ronda. Ezzel mar Harald
sem vitatkozott.

> ui: egy meglehetosen bugyuta kerdes kovetkezik, nyilvan trivialis ra a
> valasz: miben ter el a Zorp es mondjuk a Squid altal vegzett cimhamisitas?

ipf-ben lehet teljesen specifikalt tuple-t tenni az allapottablaba
userspace-bol. (valami PUT-os setsockopt), annak idejen ezt neztem, de
voltak vele problemak.

pl. teljesen specifikalt tuple-t kell neki atadni, ami routing dontes
nelkul nehez, a routing dontes pedig onmagaban nincs kivezetve.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1