[zorp-hu] ssh nem megy

Kovács Bálint kovacs.balint at balabit.hu
2013. Jún. 12., Sze, 10:43:07 CEST 

Szia,

On 06/12/2013 09:52 AM, tusi wrote:
> Szia,
>
> köszönöm a választ,
>
>> már a linux listán is próbáltam válaszolni, de mivel nem vagyok tag,
>> ezért az admin majd egyszer kiengedi
>> A konfigok első ránézésre jónak tűnnek, gyorsan összedobtam egy ilyet
>> egy kéznél lévő 3.9.5-ös GPL zorp tesztgépre, igaz ez debian wheezy, de
>> rendben megy.
> Hogyan tetted fel a zorp-ot, milyen kernel van a gépen?
Algernon repositoryjából, itt van hozzá a sources.list bejegyzés:

#zorp repo
deb http://packages.madhouse-project.org/debian/ wheezy zorp
deb-src http://packages.madhouse-project.org/debian/ wheezy zorp

Zorp 3.9 (3.9.5)
Revision: 
ssh+git://hidden@git.balabit//var/scm/git/zorp/zorp-core--mainline--4.0#master#e027ddb760607ae05caf8ac3526415a43669eeb3
Compile-Date: Jun  6 2012 17:30:01
Config-Date: 2012/06/06
Trace: off
Debug: off
IPOptions: off
libzorpll 3.9.1.3
Revision:
Compile-Date: Jun  1 2012 09:52:52
Trace: off
MemTrace: off
Caps: on
Debug: off
StackDump: off


A kernel szintén 3.2, a stock debian wheezy-s.

Linux hostname 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2+deb7u2 x86_64 GNU/Linux

>
>> A policy.py-ban gyakorlatilag ugyanaz van, mint Nálad:
>>
>> def zorp_ssh():
>>           Service(name="inter_SSH_intra", proxy_class=PlugProxy,
>> router=DirectedRouter(dest_addr=(SockAddrInet('<szerver címe>', 22),),
>> forge_addr=TRUE))
>>           Dispatcher(transparent=FALSE,
>> bindto=DBIface(protocol=ZD_PROTO_TCP, port=2224, iface="eth0",
>> family=2), rule_port="2224", service="inter_SSH_intra")
>>
> Ez nekem így nem működik, egyből visszautasítja a kapcsolatot. Nem
> lehet, hogy a port=2224 helyett port=22 kellene )a 2224-es port amúgy
> engedélyezve van)? port=22-vel ugyanaz a jelenség áll elő, ami az
> eredeti probléma: befelé kiépül a kapcsolat, a visszajövő csomag viszont
> eltűnik valahol, majd timeouttal bontja a kapcsolatot.
Ha Te is egy másik portra teszed, akkor Nálad is működik?

>> Olyan érzésem van, mintha a válaszcsomagok routingja körül lenne a
>> probléma. Szerintem érdemes lenne tenni egy log targetet a DIVERT láncba
>> a mark utánra, hogy látsszon, valóban rákerült-e a válaszcsomagra a
>> MARK, illetve érdemes lenne bekapcsolni a martian és az invalid csomagok
>> loggolását is (/proc/sys/net/netfilter/nf_conntrack_log_invalid,
>> /proc/sys/net/ipv4/netfilter/ip_conntrack_log_invalid,
>> /proc/sys/net/ipv4/conf/all/log_martians), hogy nem ezek fogják-e meg.
> ezeket bekapcsoltam, nem jelent meg semmi a logban.
A DIVERT láncba felvetted a log sort? Megjelent ott a válaszcsomag?

>> Milyen kernel verziót használsz?
> Az ubuntu saját kernelét: 3.2.0-45-generic
Ez nagyon hasonló az enyémhez, szerintem TPROXY változás ennek a 
környékén nem volt.

Balint

További információk a(z) zorp-hu levelezőlistáról