[zorp-hu] zorp gpl default policy hole?

[Gabor Halasz]

H=D6LTZL P=E9ter wrote:
> Szia!
>=20
> On Fri, 2004-10-29 at 13:51, Gabor Halasz wrote:
>=20
>>InetZone("Wan", "0.0.0.0/0",
>>     inbound_services=3D["Ftp_S", "Http_S", "HttpS_S", "ImapS_S",=20
>>"Neptun_S", "PopS_S", "Ssh_S", "Imap_S", "Pop_S"],
>>     outbound_services=3D["*"])
>=20
>=20
> Az elso hiba, hogy itt minden visszaengedtel. Ez durvan azt jelenti,
> hogy ha a Http_S-t (is meg minden mast) visszaengedtel a Wan zonaba,
> akkor ne csodalkozz, hogy a Zorp kienged, ha ki akar menni!
>=20

Igen, mindent ki akarok engedni, amit a zorp gener=E1l, l=E9v=E9n ez a bo=
rdergw.

>=20
>>Service("Http_S",  Http_C,  InbandRouter())
>=20
>=20
> InbandRouter-t csak akkor hasznalj, ha:
>   * nem transzparens proxyd van

Nem transzparens proxy

>   * egy fix IP-n es porton figyel

Egy fix ip/porton figyel

>   * host header alapjan tobb szerver fele akarod tovabb kuldeni=20
>     a kapcsolatot
>=20

host header alapj=E1n t=F6bb szerver fel=E9 akarom tov=E1bb k=FCldeni a k=
apcsolatot


>=20
>>>Valamint
>>>az access controll miatt eleg valoszinutlen, hogy mondjuk valaki az
>>>internet iranybol becsatlakozzon egy zorpra, es utana az internet
>>>iranyaba vissza is csatlakozzon (legalabbis ertelmes konfigot
>>>feltetelezve)
>=20
>=20
> Pont ezt rontottad el, mert az access controlban _megengedted_ ezt.
>=20

=C9s? Hogyan tiltsam ki?

> Es meg valami:=20
>=20
> Meg lehetne oldani, hogy ellenorizzuk a celportot, de ez a konfig akkor=

> is open proxy lenne, mert jol hasznalhato (a kliens szempontjebol)
> anonymizer-nek. Mivel barmit le tud kerni a te nevedben...
>=20

Nem a c=E9lportot kell ellen=F5rizni, hanem a dest addresst.

--=20
Gabor HALASZ <halasz.g@freemail.hu>