[zorp-hu] portok be és kiengedése

Kzoli kovats.zoltan at adu-csepel.hu
2010. Sze. 22., Sze, 12:46:57 CEST 

Sziasztok!
Péternek válaszolva: írtad:

> Szia!


> On Wed, 2010-09-22 at 08:44 +0200, Kzoli wrote:

>> A Zorp modulban van egy intra instance-ünk,  amelyben többek között
>>  van egy intra_HTTPS_inter szolgáltatás, amelyik a belső hálózat
>>  443-as portján figyel. Ezt kiegészítettem azzal, hogy figyeljen a
>>  8080-as porton is, és küldje tovább a Tproxy 58080 -as portjára a
>>  csomagot.

> Kérdés: mindkét porton (443 és 8080) HTTPS protokol van, mert különben
> nem fog menni! Akkor kell 2 külön Service kell!

Lehet, hogy nem értettem a kérdést.
A https://neo.itcorp.hu:8080 honlapra szeretnénk kijutni. Ez a honlap
HTTPS-sel komunikál.
Az általatok beállított konfigban volt egy intra_HTTPS_inter service
beállítva, amelyiknek a listener-je a 443-as porton figyelt, és
továbbította a csomagot a tproxy 50443 portra.
A listeners fülön felvettem mégegy intra_HTTPS_inter service-t,
amelyik a 8080-as porton figyel, és a csomagot a tproxy 58080 portra
továbbítja.
Ha most visszakapcsolok a services fülre és kiválasztom az
intra_HTTPS_inter szolgáltatást, akkor a jobb oldalon alul a listener
ablakban az látható, hogy mind a 443, mind a 8080 porton figyel

>> A csomagszűrőben beállítottam, hogy ha a belső lábról 8080 portról
>>  érkezik csomag, az kerüljön a Tproxyhoz. Ezt a Tproxy tábla
>>  Prerouting szekciójában állítottam be.
>>  Uploaddal feltöltöttem a szerverre, restarttal újraindítottam a
>>  szolgáltatást.
>> 
>>  És a 8080-as portot továbbra is lenyeli.

>> tcpdumppal ráhallgatva a belső lábra, néhány csomag látszik, amíg
>>  felépül a kapcsolat, azután megszakad.
>>  A /var/log/syslogban nem látszik semmi ebből, és a
>>  /var/log/messages-ben sem jelenik meg a 8080-as porttal kapcsolatban
>>  semmi.

> Kellene lennie egy olyan lognak, hogy "Starting proxy instance", abban
> az esetben, ha a kapcsolat eljutott a Listener-ig. Ha egyáltalán nem
> látsz ilyet, akkor még a csomagszűrő nyelte le ezt a kapcsolatot. Ezt az
> "iptables -L -n -v -t prerouting" parancsal lehet megnézni. Fontos lenne
> kideríteni, h mi nyelte le a kapcsolatot. A PF vagy a Zorp. Ez csak a
> logokból derül ki (/var/log/messages).

Megnéztem a /var/log/messages állományt, természetesen egy csomó
"Starting proxy instance" üzenet van benne,de egy sincs, amely a
8080-as portra lenne találat. A 8080-as port a messages-ben egyáltalán
nem jelenik meg.


>> A /etc/zorp/policy.py - ban nem jelennek meg a változtatások. Ennek
>>  az állománynak a dátuma 2009 novemberi keltezésű. Nem ebbe kellene a
>>  ZMS-nek generálni a beállításokat?

> Ha jól értem ez még 3.0 vagy 3.1. Csináltál mindkét komponensre (Packet
> Filter és Zorp) commit/upload/restart-ot?

Természetesen mind a packet filterre, mind a zorp modulra megléptem a
commit/upload/restart-ot.

A futó Zorp az alábbi:
Zorp 3.0.14d
Revision: devel at balabit.hu--zorp-1/zorp-core--mainline--3.0--patch-480
Compile-Date: Nov  6 2007 12:01:32
Config-Date: 2007/11/06
Trace: off
Debug: off
IPOptions: off
IPFilter-Tproxy: off
Netfilter-Tproxy: on
Netfilter-Linux22-Fallback: on
Linux22-Tproxy: off
Conntrack: on

Zorplib 3.0.6.9
Revision: devel at balabit.hu--zorp-1/zorp-lib--mainline--3.0--patch-145
Compile-Date: Jan 18 2007 17:28:18
Trace: off
MemTrace: off
Caps: on
Debug: off
StackDump: on

Nekem az a furcsa, hogy a ZMC-ben a view current configuration menüpont
által megjelenített tartalom első két sora:
Component 'Zorp' will have these files on host 'ZMS_Host':
 File '/etc/zorp/instances.conf':
 a fenti állomány -linuxon megnézve- létrejöttének dátuma viszont 2006.
májusi keltezésű, és a ZMC-ben találhatókhoz képest szinte semmi nincs
benne. Ezek elbeszélnek egymás mellett?


> Üdv,

> Légyszi a listát válaszolj!

> Péter

  előre is köszi a válaszokat
   Kováts Zoli


-- 
Üdvözlettel,
 Kzoli                            mailto:kovats.zoltan at adu-csepel.hu

További információk a(z) zorp-hu levelezőlistáról