[zorp-hu] zorp gpl default policy hole?

Balazs Scheidler zorp-hu@lists.balabit.hu
Sat, 30 Oct 2004 12:12:31 +0200 

hali,

On Fri, 2004-10-29 at 18:18, Gabor Halasz wrote:
> HÖLTZL Péter wrote:
> > Szia!
> > 
> > On Fri, 2004-10-29 at 13:51, Gabor Halasz wrote:
> > 
> >>InetZone("Wan", "0.0.0.0/0",
> >>     inbound_services=["Ftp_S", "Http_S", "HttpS_S", "ImapS_S", 
> >>"Neptun_S", "PopS_S", "Ssh_S", "Imap_S", "Pop_S"],
> >>     outbound_services=["*"])
> > 

> > 
> >>Service("Http_S",  Http_C,  InbandRouter())
> > 
> > 
> > InbandRouter-t csak akkor hasznalj, ha:
> >   * nem transzparens proxyd van
> 
> Nem transzparens proxy
> 
> >   * egy fix IP-n es porton figyel
> 
> Egy fix ip/porton figyel
> 
> >   * host header alapjan tobb szerver fele akarod tovabb kuldeni 
> >     a kapcsolatot
> > 
> 
> host header alapján több szerver felé akarom tovább küldeni a kapcsolatot

hmm.. ez most kintrol jon befele, vagy bentrol megy kifele? ha bentol
megy kifele, akkor TransparentRouter, ha kintrol megy befele akkor
InbandRouter, de ne engedd vissza.

> 
> 
> > 
> >>>Valamint
> >>>az access controll miatt eleg valoszinutlen, hogy mondjuk valaki az
> >>>internet iranybol becsatlakozzon egy zorpra, es utana az internet
> >>>iranyaba vissza is csatlakozzon (legalabbis ertelmes konfigot
> >>>feltetelezve)
> > 
> > 
> > Pont ezt rontottad el, mert az access controlban _megengedted_ ezt.
> > 
> 
> És? Hogyan tiltsam ki?

ld lent.

> 
> > Es meg valami: 
> > 
> > Meg lehetne oldani, hogy ellenorizzuk a celportot, de ez a konfig akkor
> > is open proxy lenne, mert jol hasznalhato (a kliens szempontjebol)
> > anonymizer-nek. Mivel barmit le tud kerni a te nevedben...
> > 
> 
> Nem a célportot kell ellenőrizni, hanem a dest addresst.

az engedelyezett utvonalakat az access control-lal irod le. azaz a
zonaidnal az inbound es outbound services tombokkel.

te beengeded a wan iranybol a HTTP kereseket, majd visszaengeded
ugyanezt a szolgaltatast, ezzel effektive engedelyezed a "pattintast".
Vedd ki a '*'-ot a Wan zona inbound_services-ei kozul.

a zorp kizarolag a zonakat hasznalja a "cim" ellenorzesre, amugy nincs
arrol informacioja, hogy mi van kint, es mi van bent.

A default policy-ban levo '*' mintakent szerepel, eles konfigban erosen
ellenjavalt. A mintabol is kiveszem, a felreerteseket elkerulendo.

-- 
Bazsi