[zorp-hu] ssh nem megy

[tusi]

On Tue, 2013-05-28 at 02:33 +0200, LAJOS Janos wrote:
> On Mon, May 27, 2013 at 11:40:45PM +0200, Gabor Tusnady wrote:
> 
> Szia,
> 
> > def o2m_ssh():
> >         Service("om_ssh", MyPlugProxy, router=DirectedRouter(SockAddrInet('aa.bb.cc.dd', 22),TRUE))
> >         Listener(SockAddrInet("xx.yy.zz.vv", 22), "om_ssh")
> > 
> > Most ugyanezt szeretnem megcsinalni egy ubuntu 12.04 LTS alatt levo zorp
> > 3.9.2-vel:
> 
> 
> > May 27 23:24:38 fal zorp/o2m_ssh[6059]: core.debug(6): (svc/om_ssh:0/plug): Attribute fetched; attribute='server_local_tos', value='0'
> > May 27 23:25:08 fal zorp/o2m_ssh[6059]: core.error(2): (svc/om_ssh:0/plug): Connection to remote end failed; local='AF_INET(xx.yy.zz.vv:35463)', remote='AF_INET(aa.bb.cc.dd:22)', error='connection timed out'
> 
> 
> Az általad postolt logok alapján a távoli kliens sikeresen kapcsolódik, viszont a szerver oldali továbbkapcsolódás timeoutra fut.
> 
> Azt írtad, hogy a tűzfalról közvetlenül megy a kapcsolat, ezért azt javaslom próbáld meg úgy, hogy nem viszed a kliens címét (forge_addr=FALSE).
> 
> Ha ezután sikeresen kiépül a kapcsolat, akkor az eredeti felállás az alábbi hibák miatt nem működött:
> * nincs az aa.bb.cc.dd szervernek routeja visszafelé (kliens felé)
> * csomagszűrő lakik az aa.bb.cc.dd szerveren, ami csendben eldobja a neki nem szimpatikus 22/TCP SYN csomagokat
> * nem működik a Zorp forge_addr mechanizmusa
> 
Köszönöm a választ. Valóban, forge_addr=FALSE beállítással működik. Ez
azonban nem lehet végső megoldás.

forge_addr=TRUE mellett tcpdump-pal vizsgálva a folyamatot az
aa.bb.cc.dd szerver megkapja a SYN kérést, válaszolrá ACK-ot, ez
megjelenik a tűzfalon is, de a kliensre már nem megy vissza, valahol a
tűzfalon belül eltűnik. Próbálok logokat gyártani, ha addig is van
valakinek ötlete mi a gond, örömmel veszem.

Gábor