[zorp-hu] 3.9 ssl keybridge nem indul - megoldas

KOVACS Krisztian hidden at balabit.hu
2011. Ápr. 15., P, 09:04:07 CEST


Sziasztok,

On 04/14/2011 12:43 PM, Kosa Attila wrote:
> A csomagszuro tartalma:
> 
> [...]
> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [0:0]
> :OUTPUT ACCEPT [0:0]
> :LOintra -
> :LOinter -
> :icmpk -
> -A INPUT -i lo -j ACCEPT
> -A INPUT -p icmp -j icmpk
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A INPUT -i IFintra -j LOintra
> -A INPUT -i IFinter -j LOinter
> -A INPUT -j LOG --log-prefix "INPUT DROP: "
> -A INPUT -j DROP
> -A FORWARD -j LOG --log-prefix "FORWARD DROP: "
> -A FORWARD -j DROP
> -A LOintra -p tcp --dport 53 -j ACCEPT
> -A LOintra -p udp --dport 53 -j ACCEPT
> -A LOintra -p tcp --dport ZORPKIFELE -j ACCEPT
> -A LOintra -j LOG --log-prefix "LOintra DROP: "
> -A LOintra -j DROP
> -A LOinter -p tcp --dport 22 -j ACCEPT
> -A LOinter -j LOG --log-prefix "LOinter DROP: "
> -A LOinter -j DROP
> -A icmpk -p icmp --icmp-type destination-unreachable -j ACCEPT
> -A icmpk -p icmp --icmp-type time-exceeded -j ACCEPT
> -A icmpk -p icmp --icmp-type parameter-problem -j ACCEPT
> -A icmpk -p icmp --icmp-type source-quench -j ACCEPT
> -A icmpk -p icmp --icmp-type echo-request -j ACCEPT
> -A icmpk -p icmp --icmp-type echo-reply -j ACCEPT
> -A icmpk -j LOG --log-prefix "Icmpk DROP: "
> -A icmpk -j DROP
> COMMIT
> 
> Egy dolog nem egeszen vilagos a mukodesben, a ZORPKIFELE valtozot
> tartalmazo szabaly. Ebbe ugyanis fel kell vennem az osszes
> portot, amit a zorpon keresztul akarok engedni (a fenti peldaban
> a 443-at), kulonben a LOintra agon eldobasra kerulnek a csomagok,
> nem jutnak el a zorp-hoz. Hogy kellene ezt "elegansabban"
> megoldani?

Meg tudod ugy oldani, hogy beteszel egy olyan szabalyt, ami minden olyan
csomagot elfogad, amit a mangle tablaban divertaltal (azaz a Zorp-hoz
fog kerulni):

Azaz mondjuk a "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
szabaly utan beteszel valami ilyesmit:

-A INPUT -m mark --mark 0x1/0x1 -j ACCEPT

Termeszetesen itt sem kotelezo a 0x1 erteket hasznalni (peldaul ha mas
dolgokra is hasznalsz markot egy bonyolultabb csomagszuro rulesetben).
Arra kell csak figyelni, hogy a DIVERT chain-en, a TPROXY targetnel, a
policy routing rule hozzaadasanal es itt, a mark ellenorzesenel is
ugyanaz a mark ertek (bit) legyen beallitva illetve ellenorizve.

-- 
KOVACS Krisztian


További információk a(z) zorp-hu levelezőlistáról