[zorp-hu] ssh nem megy - megoldva
tusi
tusi at enzim.hu
2013. Jún. 13., Cs, 10:20:15 CEST
Köszönöm mindenkinek a segítséget. A gond az indító shell scriptben
volt. Mint korábban írtam, ez volt benne:
...
${iptables} -t mangle -N DIVERT
${iptables} -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
${iptables} -t mangle -A DIVERT -j MARK --set-mark 1
${iptables} -t mangle -A DIVERT -j ACCEPT
iptables-restore < /etc/zorp/iptables.conf
...
mivel az iptables.conf-ban nem szerepelt a DIVERT chain, ezert az
elozoleg letrehozot DIVERT lancot egybol le is torolte az
iptables-restore.....
igy jar aki maganak faragja a scripteket..
Még egyszer köszönök minden segítséget,
Gábor
On Wed, 2013-06-12 at 10:43 +0200, Kovács Bálint wrote:
> Szia,
>
> On 06/12/2013 09:52 AM, tusi wrote:
> > Szia,
> >
> > köszönöm a választ,
> >
> >> már a linux listán is próbáltam válaszolni, de mivel nem vagyok tag,
> >> ezért az admin majd egyszer kiengedi
> >> A konfigok első ránézésre jónak tűnnek, gyorsan összedobtam egy ilyet
> >> egy kéznél lévő 3.9.5-ös GPL zorp tesztgépre, igaz ez debian wheezy, de
> >> rendben megy.
> > Hogyan tetted fel a zorp-ot, milyen kernel van a gépen?
> Algernon repositoryjából, itt van hozzá a sources.list bejegyzés:
>
> #zorp repo
> deb http://packages.madhouse-project.org/debian/ wheezy zorp
> deb-src http://packages.madhouse-project.org/debian/ wheezy zorp
>
> Zorp 3.9 (3.9.5)
> Revision:
> ssh+git://hidden@git.balabit//var/scm/git/zorp/zorp-core--mainline--4.0#master#e027ddb760607ae05caf8ac3526415a43669eeb3
> Compile-Date: Jun 6 2012 17:30:01
> Config-Date: 2012/06/06
> Trace: off
> Debug: off
> IPOptions: off
> libzorpll 3.9.1.3
> Revision:
> Compile-Date: Jun 1 2012 09:52:52
> Trace: off
> MemTrace: off
> Caps: on
> Debug: off
> StackDump: off
>
>
> A kernel szintén 3.2, a stock debian wheezy-s.
>
> Linux hostname 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2+deb7u2 x86_64 GNU/Linux
>
> >
> >> A policy.py-ban gyakorlatilag ugyanaz van, mint Nálad:
> >>
> >> def zorp_ssh():
> >> Service(name="inter_SSH_intra", proxy_class=PlugProxy,
> >> router=DirectedRouter(dest_addr=(SockAddrInet('<szerver címe>', 22),),
> >> forge_addr=TRUE))
> >> Dispatcher(transparent=FALSE,
> >> bindto=DBIface(protocol=ZD_PROTO_TCP, port=2224, iface="eth0",
> >> family=2), rule_port="2224", service="inter_SSH_intra")
> >>
> > Ez nekem így nem működik, egyből visszautasítja a kapcsolatot. Nem
> > lehet, hogy a port=2224 helyett port=22 kellene )a 2224-es port amúgy
> > engedélyezve van)? port=22-vel ugyanaz a jelenség áll elő, ami az
> > eredeti probléma: befelé kiépül a kapcsolat, a visszajövő csomag viszont
> > eltűnik valahol, majd timeouttal bontja a kapcsolatot.
> Ha Te is egy másik portra teszed, akkor Nálad is működik?
>
> >> Olyan érzésem van, mintha a válaszcsomagok routingja körül lenne a
> >> probléma. Szerintem érdemes lenne tenni egy log targetet a DIVERT láncba
> >> a mark utánra, hogy látsszon, valóban rákerült-e a válaszcsomagra a
> >> MARK, illetve érdemes lenne bekapcsolni a martian és az invalid csomagok
> >> loggolását is (/proc/sys/net/netfilter/nf_conntrack_log_invalid,
> >> /proc/sys/net/ipv4/netfilter/ip_conntrack_log_invalid,
> >> /proc/sys/net/ipv4/conf/all/log_martians), hogy nem ezek fogják-e meg.
> > ezeket bekapcsoltam, nem jelent meg semmi a logban.
> A DIVERT láncba felvetted a log sort? Megjelent ott a válaszcsomag?
>
> >> Milyen kernel verziót használsz?
> > Az ubuntu saját kernelét: 3.2.0-45-generic
> Ez nagyon hasonló az enyémhez, szerintem TPROXY változás ennek a
> környékén nem volt.
>
> Balint
>
> _______________________________________________
> zorp-hu mailing list
> zorp-hu at lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu
További információk a(z) zorp-hu levelezőlistáról