[zorp-hu] Inbandrouter nyug ;)

[Balazs Scheidler]

2004-02-27, p keltezéssel 11:48-kor Ifj. Darvas Istvan ezt írta:
> Sziasztok,
> 
> > hat a setServerAddress override-olasa elegge belepiszkit a Zorp altal
> > elkepzelt dolgokba (mondhatni a setServerAddress egy 'internal'
> > interface), amit lehet ugyan modositani, de ott kell lebegjen egy "Don't
> > mess with this unless you know what you are doing"
> 
> 
> Igazabol azt szeretnem csinalni,  hogy van nekm 2 gepem is, es az egyik gep
> a domain1.hu-t szolgalja ki, a masik gep meg a domain2.hu-t es ezek tuzfal
> mogott vannak. Ha jon a keres https-en, akkor belenezve itt is a forgalomba
> el tudjam donteni egy inband routerrel, hogy hova kuldjem a csomagokat.
> 
> HTTP mar megy, de a HTTPS-es nem ;( , mert nem igazan ertem, hogy hogyan
> tudnek requestet ellnorzni a HTTPS-nek a pssl proxy-jaba agyazott http
> proxy-ban ;)

> 
> Szoval a kerdesem az lenne, hogy ezt hogyan kell megcsinalni?

termeszetesen egymas melle stackelessel (mert olyat is lehet). Tehat a
Pssl-ben HTTP-vel az a problema, hogy a Pssl elobb becsatlakozik a
szerverhez, mint ahogy elinditja a beagyazott proxyjat, tehat a HTTP mar
mindenkeppen tul keson van.

A megoldas valahogy igy nez ki:

Service('https', DecryptPsslProxy, 
        router=InbandRouter(), 
        chainer=SideStackChainer(HttpProxy, chainer=SideStackChainer(CryptPsslProxy)))

azaz az elso Pssl egy feloldalas SSL, ami a kliens oldalon SSL-es, a
szerver oldalan cleartext, ez dekodolja a forgalmat, majd amikor a
szerverhez akarna kapcsolodni elindul a HttpProxy, ami amikor a
szerverhez akar kapcsolodni akkor elinditja a masik iranyba kodolo SSL-t
(kliens oldalon cleartext, szerver oldalon SSL)

Ha a szervered igazabol nem SSL-t beszel a tuzfal mogott, akkor a
masodik (encryptalo SSL) elhagyhato.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1