[zorp-hu] Re: [tproxy] tproxy 2.6.10+

Pásztor Lénárd Zoltán lenard.pasztor at wonderline.hu
Fri Jun 24 13:02:27 CEST 2005 

                Sziasztok!


Koszonom a valaszokat!
A HTTPS-es dologgal amit irtal utananeztem (nem talaltam a listaban 
kereses funkciot ezert google),
de vagy nem mukodo vagy regi peldakat talaltam.
Pliiz kuldj egy linket ha van ra pelda.

Hogy egyszerubb legyen bemasolom a jelenlegi teszt configot:

...

# Reverse HTTP Proxy
class ReverseHostHttpProxy(HttpProxy):

        def config(self):
                HttpProxy.config(self)

# Reverse HTTPS Proxy
class ReverseHostHttpsProxy(PsslProxy):

        def config(self):
                PsslProxy.config(self);
                self.copy_to_server     = TRUE;
                self.copy_to_client     = TRUE;
                self.client_need_ssl    = TRUE;
                self.server_need_ssl    = TRUE;
                self.shutdown_soft      = TRUE;
                self.client_verify_type = SSL_VERIFY_NONE;
                self.server_verify_type = SSL_VERIFY_NONE;
                self.client_cert        = "/etc/zorp/certs/test.crt";
                self.client_key         = "/etc/zorp/keys/test.key";
                self.stack_proxy        = ReverseHostHttpProxy;

# Instance definition
def reverse_http():
        Service(
                "http",
                ReverseHostHttpProxy,
                router=InbandRouter(forge_addr=TRUE),
                resolver=DNSResolver()
                )
        Service(
                "https",
                ReverseHostHttpsProxy,
                router=InbandRouter(forge_addr=TRUE),
                chainer=SideStackChainer(ReverseHostHttpProxy)
                )
        Listener(SockAddrInet('10.3.6.253', 1200), "http")
        Listener(SockAddrInet('10.3.6.253', 1201), "https")


A cel: transparent http/http zorp proxy beallitasa oly modon, hogy ha 
https protokollon kerdezik o is https-en csatlakozzon
a DNS alapjan meghatarozott cimhez.

Jelenlegi allapot: A http igy megy, a https ezt dobja (kliens oldalon 
timeoutol):

reverse_http[10227]: (reverse_http at zorp@test/https): Starting service; 
name='https'
reverse_http[10227]: (reverse_http at zorp@test/https:1): Starting proxy 
instance; client_fd='18', client_address='AF_INET(10.3.6.55:43362)', 
client_zone='Zone(internet, 0.0.0.0/0)', 
client_local='AF_INET(10.3.6.253:443)', client_protocol='TCP'
reverse_http[10227]: (reverse_http at zorp@test/https:1/pssl): Proxy 
starting; class='ReverseHostHttpsProxy', module='pssl'
reverse_http[11660]: (reverse_http at zorp@test/https:1/pssl): 
Side-stacking proxy instance; server_fd='21', client_fd='22', 
proxy_class='ReverseHostHttpProxy'
reverse_http[11660]: (reverse_http at zorp@test/https:1/http): Proxy 
starting; class='ReverseHostHttpProxy', module='http'
reverse_http[11661]: (reverse_http at zorp@test/https:1/http): Invalid 
line, embedded NUL character found; buffer='|'
reverse_http[11661]: (reverse_http at zorp@test/https:1/http): Proxy 
ending; class='ReverseHostHttpProxy', module='http'
reverse_http[11660]: (reverse_http at zorp@test/https:1/pssl): SSL 
handshake failed on the server side; 
error='error:00000000:(null):lib(0):(null):func(0):(null):reason(0)'
reverse_http[11660]: (reverse_http at zorp@test/https:1/pssl): Proxy 
ending; class='ReverseHostHttpsProxy', module='pssl'
reverse_http[11660]: (reverse_http at zorp@test/https:1): Ending proxy 
instance;
reverse_http[11660]: (reverse_http at zorp@test/https:1/pssl/client): 
accounting info; type='stream', duration='0', sent='918', received='309'

Kerdeseim:

- mi a problema a https resszel?
- van-e felesleges kod?
- amennyiben mukodo konfig lesz belole mit celszeru meg rogziteni a 
configban biztonsagi es teljesitmeny szempontbol (amire idaig gondoltam 
ezek)?
       - hany zorp proces futhat
       - mennyi ramot ehet osszesen
       - halozati zonak definialasa es ez alapjan a szolgaltatas 
engedelyezese vagy tiltasa
- hogyan definialhatok hibauzeneteket a zorp-ban vagy hogyan vaghatom 
felul mas html oldallal az altala generalt uzeneteket?

udv,

 Lenard

ago at lsc.hu wrote:

>szia,
>
>  
>
>>Pontositok, mert asszem eleg nagy butasagot kerdeztem... :(
>>    
>>
>nem kérdeztél butaságot. Amit leírsz egy élő dolog.
>
>  
>
>>Szoval adott 1 fw ahol a Zorp csucsul, mogotte
>>n darab webszerver. A szerverek mas-mas domaineket szolgalnak ki.
>>    
>>
>A megoldás nem az amit leírsz, hanem az, hogy vagy a tűzfal /etc/hosts
>fileban legyen benne az a belső címe a www.domain1.hu stb. gépeknek és
>akkor a zorp a névfeloldás alapján tudja majd, hogy merre irányítsa a
>csomagot. Sima HTTP-val működik, mindenfajta különösebb varázslat nélkül
>(bár egy ideje már csak copyzom az ilyen beállításokat, egyszer kell vele
>"megszenvedni"). "Gond" ott lesz, ha HTTPS-t is akarsz, azt is meg lehet
>oldani, de akkor egymás mellék kell stackelni a proxykat, a
>SideStackChainer-rel. A listaarchívumban volt már bőven hivatkozás rá.
>
>  
>
>>hanem DNS alapjan visszaadott IP-t hasznalja?
>>    
>>
>na most ,ez alapján van DNS. Akkor viszont nem privát címeken vannak a
>webszerverek? Teszem azt a .129-es gép a tűzfal, ami routerként funciónál
>a .130,.131 astb. végű gépek előtt? Vagy egy belső DNS-ed van? Mert akkor
>a resolv.conf-ban kellene elsődleges névkiszolgálónak azt beállítanod.
>Vagy a fentebb említett /etc/hosts fájl is megoldás, ha kevés szerver van.
>100%-ig korrekt persze a DNS.
>
>üdv,
>Ago
>
>_______________________________________________
>zorp-hu mailing list
>zorp-hu at lists.balabit.hu
>https://lists.balabit.hu/mailman/listinfo/zorp-hu
>  
>

More information about the zorp-hu mailing list