[zorp-hu] Re: [tproxy] tproxy 2.6.10+
Balazs Scheidler
bazsi at balabit.hu
Fri Jun 24 10:09:46 CEST 2005
On Fri, 2005-06-24 at 00:21 +0200, ago at lsc.hu wrote:
> szia,
>
> > 3.0.5-ben mar van un. Resolver interface, bar meg csak experimental
> > jelleggel,
> akkor ezek szerint maradunk még a jól bevált módszereknél. Addig mások
> szívjanak :-) lehetőleg a tesztlabor.
nem errol van szo, a ZMS meg nem tamogatja, a jelenlegi 3.0-as
megvalositas pedig meg nem tud 'policy'-kat.
3.1-ben megjelenik a policy, es a ZMS is tamogatni fogja.
Experimental-nak azert hivom, mert gyanitom, meg senki nem hasznalja a
tesztkonfigon kivul.
A 3.1-es valtozas nagy valoszinuseggel felfele kompatibilis marad.
>
> > valoszinuleg 3.1-ben egy csoppet valtozni fog. Annak az a lenyege, hogy
> > egy
> > fuggetlen objektum oldja fel a celcimet, ami alapbol DNS, de akar sajat
> > modszerrel
> > is megoldhatja a nev->IP lekepezest. Pl:
> ez jó. Ezek szerint akár - bár nem látom be most miért ne lehetne, de
> valahogy a leírtak alapján ez könnyebb lesz - feltételekkel is
> meghatározható, hogy milyen irányból milyen névlekérdezés valósul meg.
> Eddig bind szinten cseszegettük, most már Zorp szintjén is közbe tudunk
> majd avatkozni, de szebben, policykkal. Ha jól értettem. Bár kicsit késő
> van, leragad a szemem is.
nagyjabol igy. eddig fel kellett venned a belso gepeket a DNS-be,
esetleg az /etc/hosts-ba. Mostantol ez is _lehet_ a zorp konfig resze,
nem jon be egy ujabb komponens.
>
> > Ami varhato 3.1-ben az az, hogy a Resolver-bol is "policy" lesz, mint a
> > NATPolicy vagy az AuthPolicy, azaz nevvel letrehozott objektum lesz,
> > amire a Service-nel mar csak hivatkozni kell, azaz kb igy:
> > ResolverPolicy('web', HashResolver({'www.alma.hu': '1.2.3.4',
> > 'www.korte.hu': '4.5.6.7'})
> Ez a hashresolver nagyon visszatérő :-) Talán csak nem lesz egy ilyen
> beépítve? Eddig úgy tűnik. Viszont ahogyan látom semmi nem akadályozza
> meg, hogy a policyban a hashresolver helyett saját classt hívogassak, csak
> létezzen és megfelelő módon adjon vissza értékeket. Legalábbis úgy látom
> errefelé megy el a dolog.
Pontosan. Ha neked LDAP-ban vannak tarolva a host->cim lekepezesek, az
is megvalosithato.
>
> > Service("http", HttpProxy,
> > router=InbandRouter(),
> > resolver_policy='web')
> Erről jut eszembe, az előbbi kérdéshez. Fontos, hogy több ugyanolyan
> szolgáltatású (protokoll) szervernél inbandrouter-t kell használni, ha név
> alapú feloldást és irányítást akarsz, nem directedrouter-t. A másikkal
> eléggé megerőszakolnád a zorp működési elvét, ha mindig átvasalsz rajta
> egy címet. Ráadásul eléggé nehezen karbantarthatónak tűnik nekem az a
> megoldás.
ezt nem ertem.
> InbandRouter pedig olyan esetben tud lehetőséget adni routingra, mármint,
> hogy a ConnectChainer ki tudja választani hova, melyik szerverre kell
> kapcsolódnia, ha a protokoll erre lehetőséget ad. http és ftp-n kívül van
> olyan protokoll ami támogatja ezt a virtuális lehetőséget? És van is hozzá
> natív proxy a zorpon belül, persze. Jelenleg nem tudok ilyet, de ez az én
> hibám is lehet.
sqlnet
--
Bazsi
More information about the zorp-hu
mailing list