[zorp-hu] policy
Balazs Scheidler
zorp-hu@lists.balabit.hu
Wed, 12 Nov 2003 10:15:30 +0100
On Tue, Nov 11, 2003 at 10:29:51PM +0000, Magosányi Árpád wrote:
> A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
> > > A Zorp tproxy patch nélkül is tud transzparens lenni bizonyos
> > Milyen korulmenyekre gondolsz? Mindig szivesen tanulok...
>
> Ahogyan emlékszem, szabályonként két rule kellett, egy a
> nat/prerouting és egy a forward/input chainbe, nem lehetett
> forráscímet hazudni, és volt valami kavarás a címekkel.
> Lehet hogy az eredeti célcím veszett el?
az eredeti celcim nem veszik el REDIRECT-nel sem. a kulonbseg REDIRECT es
TPROXY kozott:
- kulon tabla, ezert a proxyzott es natolt szabalyok szepen elvalnak a
- TPROXY megjeloli a kapcsolat _minden_ csomagjat (nem csak az elsot), ugy,
hogy a '-m tproxy' match illeszkedik ra, igy konnyu atengedni a filter
tablan, ugyanez REDIRECT-nel egy kulon szabalyt igenyel REDIRECT-enkent
- a TPROXY UDP-nel teljesen maskepp viselkedik, ott ugyanis az elso csomagot
NATolja, de rogton eldobja a CONNTRACK allapotot is, mert a Zorp proxyk
ezt a viselkedest feltetelezik.
>
> > A 2.2-es sorozat volt. De a 2-es Zorpot lehet hasznalni 2.2-es kernellel
> > is?
>
> A releváns define-ok a zorpconfig.h-ból:
> -------------------------
> /* Use the transparent proxy support of linux 2.2 */
> #define ENABLE_LINUX22_TPROXY 0
>
> /* If no transporxy support, fallback to linux 2.2 behaviour */
> #define ENABLE_NETFILTER_LINUX22_FALLBACK 1
>
> /* Use the transparent proxy features of netfilter */
> #define ENABLE_NETFILTER_TPROXY 1
> -------------------------
>
> A fentiek szerint ha nem találja a tproxy patchet, a 2.2-es
> viselkedést fogja produkálni.
>
> konkrétan a kód úgy néz ki, hogy a megfelelő függvényben egy
> változót beinicializál Z_SD_TPROXY_LINUX22 értéküre, és ha
> talál tproxy patch támogatást, akkor megváltoztatja az értékét
> Z_SD_TPROXY_NETFILTER értékűre...
korrekt.
--
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1