[zorp-hu] [ANN] Zorp GPL APT repositoryk
Endre Szabo
zorp-hu at end.re
2012. Jún. 9., Szo, 08:36:40 CEST
Sziasztok,
1) Annyira nem mukodik jol a kzorp ebben nekem. Sima userpsace proxy-s
Service-ket nem indit, csak PFService-ket. A jelenseg az, hogy
latszolag a kzorp elnyeli a csomagot logolas nelkul, zorp processt
stracelve nem latom, hogy megkapna, netfilter mangle prerouting KZORP
target utan nyoma vesz a SYN csomagoknak. Ez a setup amugy mukodik ha
az NDimensionDispatchet PFServicet hivogat. Ez a helyet csak ipv4
eseteben van igy, ipv6-nal megamugy nem tortenik semmi (packet loss
log nelkul, akar Service, akar PFService), bar lehet, hogy az ipv4-es
directed router dest_addr miatt van ez (ipv6->ipv4 atjarhatosag? sima
nontransparent listenerrel mukodik).
2) Meg erdekesseg, hogy directedrouter SockAddrInet6 tipusu dest_addr
eseteben nem mukodik, 'kzorp -s' is dob egy szep tracet, mert
valoszinoleg v4 cimet varna a kzorptol.
3) iptables-save is bugos, egybeirja a KZORP targetet annak parameterevel:
"-A POSTROUTING -j KZORP--tproxy-mark 0x80000000/0x80000000"
a tesztkonfigom eleg egyszeru:
--------
from Zorp.Core import *
from Zorp.Proxy import *
from Zorp.Plug import *
from Zorp.Dispatch import NDimensionDispatcher
InetZone("internet", [
"0.0.0.0/0",
"::/0",
],
inbound_services=["*"],
outbound_services=["*"]
)
InetZone("internet.end.re", [
"88.151.99.232/32",
"2a01:270:91e8:fd:195f:db38:31c9:c9ec/32"
],
admin_parent="internet",
inbound_services=["*"],
outbound_services=["*"]
)
InetZone("inside", [
"44.128.156.0/24",
"2a01:368:e001:0::/64"
],
inbound_services=["*"],
outbound_services=["*"]
)
def MAIL():
Service(
name="inside_IMAP_internet.end.re",
router=DirectedRouter(dest_addr=(SockAddrInet('44.128.156.1',
143)), forge_addr=FALSE),
proxy_class=PlugProxy,
)
PFService(
name="PF_inside_IMAP_internet.end.re",
router=DirectedRouter(dest_addr=(SockAddrInet('44.128.156.1',
143)), forge_addr=FALSE),
)
NDimensionDispatcher(
bindto=DBSockAddr(
SockAddrInet6(
'::1',
50143
),
ZD_PROTO_TCP
),
transparent=TRUE,
rules=(
{
'dst_port' : 143,
'src_zone': ('inside',),
#'iface': ('eth0'),
#'dst_zone': ('internet.end.re',),
'service': 'PF_inside_IMAP_internet.end.re'
}
)
)
--------
kzorp bucijaban latszolag rendben vannak a dolgok (felteve ha nem
sockaddrinet6 a DR dest_addr-ja):
# kzorp -d
Dispatcher name='SA(proto=1,addr=AF_INET6(::1:50143))' flags='transparent'
proxy_port='50143', num_rules='1'
rule_id='1', service='PF_inside_IMAP_internet.end.re'
dst_port=[(143, 143)]
src_zone=['inside']
# kzorp -s
Service name='inside_IMAP_internet.end.re', flags='', type='Service',
session_cnt='0'
Service name='PF_inside_IMAP_internet.end.re', flags='',
type='PFService', session_cnt='1'
router_dst='44.128.156.1:143'
# kzorp -z
Zone unique_name='internet.end.re-#2', visible_name='internet.end.re',
admin_parent='internet.end.re',
flags '', range '2a01:270::/ffff:ffff::'
Zone unique_name='internet.end.re-#1', visible_name='internet.end.re',
admin_parent='internet.end.re',
flags '', range '88.151.99.232/255.255.255.255'
Zone unique_name='internet.end.re', visible_name='internet.end.re',
admin_parent='internet',
flags ''
Inbound service: : '*'
Outbound service: : '*'
Zone unique_name='internet-#2', visible_name='internet',
admin_parent='internet',
flags '', range '::/::'
Zone unique_name='internet-#1', visible_name='internet',
admin_parent='internet',
flags '', range '0.0.0.0/0.0.0.0'
Zone unique_name='internet', visible_name='internet', admin_parent='None',
flags ''
Inbound service: : '*'
Outbound service: : '*'
Zone unique_name='inside-#2', visible_name='inside', admin_parent='inside',
flags '', range '2a01:368:e001::/ffff:ffff:ffff:ffff::'
Zone unique_name='inside-#1', visible_name='inside', admin_parent='inside',
flags '', range '44.128.156.0/255.255.255.0'
Zone unique_name='inside', visible_name='inside', admin_parent='None',
flags ''
Inbound service: : '*'
Outbound service: : '*'
# dpkg -l | grep -E '(mhp|zorp)'
ii firmware-linux-free 2.6.32-45+kzorp1
ii iptables 1.4.13-1.1+mhp1~squeeze
ii libzorp3.9 3.9.5-4+mhp3~squeeze
ii libzorpll3.9-1 3.9.1.3-1+mhp1~squeeze
ii linux-base 2.6.32-45+kzorp1
ii linux-image-2.6.32-5+kzorp-amd64 2.6.32-45+kzorp1
ii python-kzorp 3.9.5-4+mhp3~squeeze
ii zorp 3.9.5-4+mhp3~squeeze
ii zorp-modules 3.9.5-4+mhp3~squeeze
udv, Endre
2012/6/8 Gergely Nagy <algernon at balabit.hu>:
> Tiszteletem!
>
> Eltartott egy ideig, jopar dologgal meg kellett kuzdeni (idohiannyal
> fokent), de orommel jelentem, hogy elerheto a Zorp GPL APT repository,
> benne a kovetkezok:
>
> - zorp 3.9.5
> - libzorpll 3.9.1.3
> - iptables 1.4.13
>
> - linux 2.6.32, kzorpos dolgokkal patchelve!
>
> A zorp es libzorpll csomagok nagyjabol megegyeznek azzal, ami Debian
> unstable-ben van, apro valtoztatasokkal csak (changelogban korrektul
> dokumentalva). Az iptables szinten unstable alapu, kzorpos patchekkel
> fuszerezve. A kernel squeeze-bol jon, ottani config + kzorp & kapcsolodo
> opciokkal.
>
> Elerhetoseg:
>
> deb http://packages.madhouse-project.org/$DIST $RELEASE zorp
> deb http://packages.madhouse-project.org/zorp-kernel kernel 2.6
>
> Ahol $DIST debian vagy ubuntu, a $RELEASE pedig squeeze, wheezy vagy
> unstable, illetve ubuntu eseten lucid, natty, oneiric, precise vagy
> quantal. Mindket distro eseten elerhetoek a csomagok i386 es amd64
> architekturara is.
>
> A Release fileok gpg-vel ala vannak irva, a kulcs elerheto itt:
> http://packages.madhouse-project.org/debian/archive-key.txt
>
> A tervek szerint a csomagok kovetni fogjak a Debian unstable-beli
> parjukat, es minden egyes platformra elerhetove teszem oket, amig az
> adott platform supportalt. Ha pedig jon ki uj Debian/Ubuntu release,
> akkor az is bekerul majd a repoba. Igy mindenkihez eljut a friss es
> ropogos zorp!
>
> A kernel resze a dolognak egy kicsit kemenyebb dio, jelenleg csak
> 2.6.32-es kernelhez van mukodo patchem (de elobb-utobb lesz 3.x-hez is,
> remelem), igy csak ehhez van jelenleg repo. A kerneles repobol az alabbi
> kernel imagek erhetoek el:
>
> - amd64: linux-image-2.6.32-5+kzorp-amd64
> - i386: linux-image-2.6.32-5+kzorp-amd64, linux-image-2.6.32-5+kzorp-486
>
> (linux-headers, es egyeb csomagok is vannak meg ott, akit erdekel,
> biztosan meg tudja talalni)
>
> A csomagokat minimalis tesztelesnek vetettuk ala (aminek mamutreszet
> Balazs Tibor vegezte, ezer koszonet erte!), es mukodes latszatat
> keltettek, de konnyen lehet, hogy maradt meg bennuk aprobb-cseprobb
> bugocska.
>
> Az esetleges hibakat erre a listara kernem jelenteni, ha a csomagolasban
> van, akkor azt relative gyorsan meg tudom oldani.
>
> --
> |8]
>
> _______________________________________________
> zorp-hu mailing list
> zorp-hu at lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu
További információk a(z) zorp-hu levelezőlistáról