[zorp-hu] zorp gpl default policy hole?

Fri, 29 Oct 2004 16:31:51 +0200

--=-EJ0LBLuuU8bqfkgMRjQM
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: quoted-printable

Szia!

On Fri, 2004-10-29 at 13:51, Gabor Halasz wrote:
> InetZone("Wan", "0.0.0.0/0",
>      inbound_services=3D["Ftp_S", "Http_S", "HttpS_S", "ImapS_S",=20
> "Neptun_S", "PopS_S", "Ssh_S", "Imap_S", "Pop_S"],
>      outbound_services=3D["*"])

Az elso hiba, hogy itt minden visszaengedtel. Ez durvan azt jelenti,
hogy ha a Http_S-t (is meg minden mast) visszaengedtel a Wan zonaba,
akkor ne csodalkozz, hogy a Zorp kienged, ha ki akar menni!

> Service("Http_S",  Http_C,  InbandRouter())

InbandRouter-t csak akkor hasznalj, ha:
  * nem transzparens proxyd van
  * egy fix IP-n es porton figyel
  * host header alapjan tobb szerver fele akarod tovabb kuldeni=20
    a kapcsolatot

> > Valamint
> > az access controll miatt eleg valoszinutlen, hogy mondjuk valaki az
> > internet iranybol becsatlakozzon egy zorpra, es utana az internet
> > iranyaba vissza is csatlakozzon (legalabbis ertelmes konfigot
> > feltetelezve)

Pont ezt rontottad el, mert az access controlban _megengedted_ ezt.

Es meg valami:=20

Meg lehetne oldani, hogy ellenorizzuk a celportot, de ez a konfig akkor
is open proxy lenne, mert jol hasznalhato (a kliens szempontjebol)
anonymizer-nek. Mivel barmit le tud kerni a te nevedben...

Udv,

=20
--=20
H=D6LTZL P=E9ter

BalaBit IT Kft          | Tel:   +36  1 371-0540 | GnuPG Fingerprint:
holtzl.peter@balabit.hu | Mobil: +36 20 366-9667 | 796B C9D3 E492 B006 C8B2
http://www.balabit.hu/  | Fax:   +36  1 208-0875 | 4D1F 5320 28E3 9A1B 3FC6

--=-EJ0LBLuuU8bqfkgMRjQM
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQBBglRXUyAo45obP8YRAibtAJ4vxTIFkcvpcehArerZ50iVr2b24gCfVcWK
k13O2/y1yybqg9taxxTWLFQ=
=BCja
-----END PGP SIGNATURE-----

--=-EJ0LBLuuU8bqfkgMRjQM--