[zorp-hu] CSZoneDispatcher DAC violation

[Balazs Scheidler]

On Wed, 2009-01-28 at 09:56 +0100, Gabor HALASZ wrote:
> Balazs Scheidler wrote:
> > On Tue, 2009-01-27 at 11:49 +0100, Gabor HALASZ wrote:
> >> Balazs Scheidler wrote:
> >>> On Mon, 2009-01-26 at 17:54 +0100, Gabor HALASZ wrote:
> >>>> Helo!
> >>>>
> >>>> En rontom el, hogy a $subject a kliens oldalon timeout formajaban 
> >>>> manifesztalodik errorpage helyett? A connection timeout page elojon, ha 
> >>>> nem tud kapcsolodni a szerverhez. V3.3, ZMC-vel krealt konfig, de a 
> >>>> policy.py-ben sem latok semmi kulonoset.
> >>>>
> >>> a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem
> >>> engedelyezett.
> >> Hogyan juthatok a user altal ertekelheto hibauzenethez?
> >>
> > 
> > arra gondolsz, hogy a DAC policy violation-on kivul?
> > 
> Eppen az a bajom, hogy nem jon elo a dac violation page, csak varakozik 
> a pl browser (nyilvan, ha drop-olodnak a csomagok).
> 

DAC policy violation page eddig sem jott, mivel ilyen esetben a proxy el
sem indul. Eddig sem indult el, csak letrejott a kapcsolat, es aztan
lezarult, adatforgalom nelkul.

DAC policy violation page csak akkor jon, ha a szerver oldalon nem
engedelyezett a forgalom (mert ilyenkor mar a proxy fut, es tud HTTP-s
hibaoldalt adni).

Azt meg tudjuk tenni, hogy ilyen esetekben ne DROP, hanem REJECT legyen
a default mukodes, azaz, hogy a Zorp kuldjon vissza egy RST csomagot,
ami ekvivalens egy "Connection refused"-dal.

Az megfelelo megoldas lenne?

-- 
Bazsi