[zorp-hu] zorp 3.3.6 + libzorpll 3.3.0.12 + Debian 6.0 ujra

Kerekes Gyula gyula at harcinyul.hu
2011. Már. 10., Cs, 16:15:54 CET


csütörtök 10 március 2011 15:44:55 dátummal Nyika Csaba az alábbiakat írta:
> Sziasztok!
> 
> A problema megoldodott, koszonom a segitseget mindenkinek.
> Par szoban:
> 
> Gyula irat: >>
> A DIVERT chain-ben teszed a csomagra a mark-ot, ami alapjan a policy
> routing >> (utan a 100-as tabla routingja) localra huzza a csomagot. Igy
> ha feltetelnek >> szabod a 443-as destination portot, akkor a
> valaszcsomagokra nem kerul mark.>> Tehat a DIVERT targetes sorbol vedd ki
> a --dport feltetelt.>>
> 
> Ez igy nem teljesen igaz ebben az esetben. A SYN-es csomagokat a
> --tproxy-mark 0x1/0x1 fogja megjelolni, es mivel a proxy alat kuldot
> valasz csomagok nem fognak a PREROUTING agba kerulni, hanem szepen az
> output-on kinnek, nem is lesznek megjelolve. A -m socket a kliens
> viszont-valaszait teszi a helyere ezert siman lehet adni neki --dport-ot,
> szurni egy kicsit.

Szia!

Azt hiszem, nem fogalmaztam teljesen vilagosan, igy nem ertetted meg, mit is 
akartam irni. Tehat:

Igen, kliens oldalon a valaszcsomagokat (tehat a Zorp->Kliens forgalmat) 
valoban nem kell megjelolni, hiszen azokat nem is kell (es nem is szabad) 
lokalis csomagkent kezelni. De azok - mint irtad - nem is kerulnek PREROUTING-
ra.
Ellenben ha transzparens proxy-t hasznalsz, es a kliens forrascimevel 
kapcsolodsz tovabb, akkor a szerver fele meno kapcsolat valaszcsomagjainak 
lokalisakka kell valni, ami a te konfigoddal nem fog bekovetkezni. Ezert irtam, 
hogy ki kellene venni a --dport kapcsolot.

Gyula


További információk a(z) zorp-hu levelezőlistáról