[zorp-hu] (no subject)

zorp-hu@lists.balabit.hu zorp-hu@lists.balabit.hu
Tue, 10 May 2005 06:59:44 +0200 (CEST)


Szia,

A ha jól értettem a következő megoldás nekem jó:

from Zorp.Core import *
from Zorp.Http import *

# internet zona
InetZone('internet', '0.0.0.0/0',
         inbound_services=['http'],
         outbound_services=[])

# belso zona
InetZone('intranet', '10.10.10.0/24',
         inbound_services=[],
         outbound_services=['http'])

# a fenti ket zona egy intranet->internet iranyu 'http' nevu
# szolgaltatast enged

# intra peldany
def intra():
        Service('http', HttpProxy)
        Listener(SockAddrInet('10.10.10.1', 50080), 'http')

intra -v3 -T -p /etc/zorp/policy.py
iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080

Szépen elindul nem látok hibát ps ax jelzi hogy fut. a netstat -a val
viszont nem látom hogy 50080-as porton lisenelne valami.

Másik kérdés az lenne hogy tudom a tűzfalas gépnek megmondani hogy a
webszerver 10.10.10.10-es gép

Köszönettel Zoli.


> On Sat, 2005-05-07 at 09:02 +0200, iceman@gds.hu wrote:
>> Sziasztok
>>
>> Számomra a Zorp teljesen új dolog. Egy webszervert szeretnék vele védeni
>> egyenlőre teszt jelleggel (HTTP, FTP, SSH, SMTP, POP3).
>> Amin a Zorp lenne az van az Interneten, és csak azon keresztül lenne
>> elérhető a webszervert.
>>
>> Inet--(IP: xxx.xxx.xxx.xxx)Zorpos(GNU)(IP: 10.10.10.1)---(IP:
>> 10.10.10.2)webszervert
>>
>> Egy Deb sarge-ra felraktan apt-vel a zorp-gpl-os 3.0-át, frissitettem a
>> rendszert,
>> felraktam a zorp csomagot, kernel tartalmazza a TPROXY modult.
>
> roviden:
>
> * letre kell hoznod egy policy-t, amit az /etc/zorp/policy.py fileba
> kell tenned, es nagyjabol igy nez ki:
>
> #######################################
> from Zorp.Core import *
> from Zorp.Http import *
>
> # internet zona
> InetZone('internet', '0.0.0.0/0',
> 	 inbound_services=['http'],
> 	 outbound_services=[])
>
> # belso zona
> InetZone('intranet', '192.168.0.0/24',
> 	 inbound_services=[],
> 	 outbound_services=['http'])
>
> # a fenti ket zona egy intranet->internet iranyu 'http' nevu
> # szolgaltatast enged
>
> # intra peldany
> def intra():
> 	Service('http', HttpProxy)
> 	Listener(SockAddrInet('192.168.0.254', 50080), 'http')
>
> ### END ###
>
> A fenti konfig egy darab HTTP-t fog atengedni, hogy hasznalni is tudd,
> modositani kell benne a cimtartomanyokat, hogy illeszkedjen a sajat
> halozatodra, illetve letre kell hoznod egy '/etc/zorp/instances.conf'
> nevu allomanyt, ami a zorpctl hasznalatahoz kell:
>
> ############
> intra -v3 -T -p /etc/zorp/policy.py
> ### END ###
>
> Ezek utan "zorpctl start" utan elindul az intra nevu Zorp peldanyod, ezt
> nezd meg a logban, ott mindenfele startup uzenetet kell latnod.
>
> A Zorp konfiguralasa mellett letre kell hozni egy szabalyrendszert is,
> az angol Tutorial-ban van erre reszletes pelda, a lenyeg:
>
> iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port
> 50080
>
> --
> Bazsi
>
> _______________________________________________
> zorp-hu mailing list
> zorp-hu@lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu
>