[zorp-hu] (no subject)

[Kosa Attila]

On Wed, May 11, 2005 at 08:17:59AM +0200, Nemeth Gyorgy wrote:
> 
> Ezt a listára kellett volna küldened, feltehetőleg nálam szakavatottabb
> válaszolna. De ha már személyesen nekem küldted, megpróbálkozom a

En onnan kaptam :)

> Ha jól értem, te azt szeretnéd, hogy a tűzfalad külső IP-jét címezzék
> meg, és ott figyeljen a http proxy, ami aztán beküldi a kérést a
> webserveredre.

En is igy ertettem.

> Ez esetben nem transzparens működésre lesz szükséged. Úgy kell

Lehet transzparens imho.

> beállítani a Listenert, hogy a 80-as porton figyeljen, és nem kell a
> tűzfalszabály, ami a tproxyt hívja meg.

Jobb az, ha elotte van egy csomagszuro is... Regebben peldaul egy
nmap-tol rettenetesen elhasalt a zorp, ha azonnal o kapta a kapcsolatot.

Ezert en igy csinalnam:

intra -v5 -T -p /etc/zorp/policy.py --autobind-ip 192.168.11.128
A dummy interfesz cime nem egyezhet meg a kulso lab cimevel! Es nem a
dummy interfeszre kell bind-olni a proxy-t, hanem a kulso cimre!

zorp:~# cat /etc/zorp/policy-http.py
from Zorp.Core import *
from Zorp.Http import *

# internet zona
InetZone("internet", "0.0.0.0/0",
    inbound_services=[],
    outbound_services=["http"])

# belso zona
InetZone("intranet", "10.10.10.0/24",
    inbound_services=["http"],
    outbound_services=[])

class IDHttp(HttpProxy):
    def config(self):
            HttpProxy.config(self)
	    self.transparent_mode = 1

def zorp_http():
	Service("id_http", IDHttp, DirectedRouter(SockAddrInet("10.10.10.2", 8080), forge_addr = TRUE))
	Listener(SockAddrInet("kulso.ip.cim", 50080), "id_http")

A csomagkezeloben pedig ennyit kell allitani:
iptables -t tproxy -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 50080

Ha irnal subjectet, akkor konnyebb lenne az archivumban keresgelok
dolga... Ez persze a thread kezdojenek szol :)

-- 
		Udvozlettel
				    Zsiga