[zorp-hu] CSZoneDispatcher DAC violation

HÖLTZL Péter holtzl.peter at balabit.hu
2009. Feb. 3., K, 14:19:49 CET


Sziasztok!

> > A ZoneDispatcher megnézi a kliens zónáját, az annak megfelelő Service-t
> > indítja el (pl. mert más szabályokat akarsz hazsnálni a kapcsolatban -
> > különféle proxyk, esetleg eltérő NAT policy használatával). Mindegy,
> > hogy a kapcsolat (hálózati szinten) transzparens -e vagy sem.
> 
> Van kulon zonedispatcher? Olyat nem tudok kivalasztani, csak dispatcher 
> es zonedispatcher-t latok a zmc-ben es a doksiban is.

Ugyan ez egy GPL lista, de...

Zorp,ZMS<=3.1:

Zorp komponens -> Instances -> Listener tab (az Instance-ok alatt, a
Service mellett) -> New (vagy Edit) -> Legfelül legördülő (csatoltam
screenshot-ot). A magyarázat:

Van olyan, hogy Dispatcher abból származik minden. A Listener egy TCP
Dipatcher (a Receiver UDP):

zorp:~#/usr/share/zorp/pylib/Zorp$ grep ^class Dispatch.py 
class AbstractDispatch:
class Dispatcher(AbstractDispatch):
class ZoneDispatcher(Dispatcher):
class CSZoneDispatcher(Dispatcher):

Ha Zone/CSZoneListenert használsz akkor nem fix Service-t indítasz,
hanem egy hast-t adsz meg neki, ami a kliens zóna alapján választ
Service-t. GPL-eseknek:

Listener(SockAddrInet('4.5.6.7', 50080), 'intra_HTTP')

ZoneListener(bindto=SockAddrInet('5.6.7.8', 50080),
	services={"intranet":"intra_HTTP",
		"*":"intra_HTTP2"},
	transparent=TRUE, follow_parent=FALSE)

CSZoneListener(bindto=SockAddrInet('8.7.6.5', 50021),
	services={("intranet", "internet"):"intra_FTP", 
		("sales", "website"):"intra_FTP2",
		("it", "*"):"intra_FTP3"},
	transparent=TRUE, follow_parent=TRUE)	
	


Zorp,ZMS=3.3:

Itt csak annyi változott, hogy megszűnt a Listener, Receiver. Van
dispatcher Ă©s van benne TCP/UDP kapcsolĂł (protocol=TCP). Ez
egyszerűsödés, ha tetszik:)

MĂ©g valami (most olvasom a $Subject-et;-) figyelj oda, hogy a Serivce
kiválasztó nem DAC funkció --> a megfelelő zónákból/ba ki és be kell
engedni a szolgáltatást!

Ăśdv,

Höltzl Péter

ps: az AG-ben is benne van:

http://www.balabit.hu/dl/html/zorp-gateway-v3.1-guide-admin-en.html/ch08s04.html
http://www.balabit.hu/dl/html/zorp-gateway-v3.1-guide-admin-en.html/ch08s04.html#czonelistener

de a 3.3-ban is:

http://www.balabit.hu/dl/html/zorp-gateway-v3.3-guide-admin-en.html/ch08s07.html
http://www.balabit.hu/dl/html/zorp-gateway-v3.3-guide-admin-en.html/ch08s07.html#zorp_cszonedispatcher


-- 
Höltzl Péter
IT biztonsági tanácsadó
holtzl.peter at balabit.hu
+36 20 366 9667

BalaBit IT Security
1115 Budapest
XI. Bártfai u. 54.
Tel +36 1 371 0540
Fax +36 1 208 0875

Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt
áll, a nyilvános közléstõl védett. Az üzenetet kizárólag a címzett,
illetve az általa meghatalmazottak használhatjak fel. Ha Ön nem az
üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse
errõl az üzenet küldõjét és törölje az üzenetet, valamint annak összes
csatolt mellékletét a rendszeréböl. Ha Ön nem az üzenet címzettje, abban
az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét
lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal
visszaélnie.
--------- következő rész ---------
Egy nem text típusú csatolt állomány át lett konvertálva...
NĂ©v: dispatcher.png
TĂ­pus: image/png
MĂ©ret: 55210 bytes
Leírás: nem elérhető
Url : http://lists.balabit.hu/pipermail/zorp-hu/attachments/20090203/8020ec48/attachment-0001.png 
--------- következő rész ---------
Egy nem text típusú csatolt állomány át lett konvertálva...
Név: nem elérhető
TĂ­pus: application/pgp-signature
MĂ©ret: 189 bytes
Leírás: This is a digitally signed message part
Url : http://lists.balabit.hu/pipermail/zorp-hu/attachments/20090203/8020ec48/attachment-0001.pgp 


További információk a(z) zorp-hu levelezőlistáról