[zorp] http + smtp

Balint Kovacs balint.kovacs at balabit.com
Fri May 24 14:11:32 CEST 2013


Szia,

jelenleg erre a felállásra nincsenek konfigpéldáink, általában a Zorp 
egy külön tu"zfal gépen szokott futni a webszerver farm elo"tt. Sok függ 
attól, hogy mit szeretnél megvalósítani, ebben az esetben a 
csomagszu"ro" szabályok is máshogy néznek ki.

Ha azonos gépen fut a Zorp, akkor hirtelen csak egy-egy dolog jut 
eszembe, HTTP-ben URL/hosztnév alapján más alkalmazásokhoz való 
kapcsolódás, illetve SMTP-ben anti-spammer védelem, hogy csak megadott 
forrásdomainekro"l lehessen levelet kiküldeni. Ha tudsz közelebbit 
mondani, akkor keresek hozzá konfig mintákat.

Elso" körben egy Host header alapján másik IP/port-ra kapcsolódó proxy 
szerintem mindenképp hasznos lehet (nagyobb proxy megkurtítása, így 
teszteletlen, de ránézésre mu"ködnie kéne):

class HostHeaderHttpProxy(HttpProxy):
     def __pre_config__(self):
         #define the hostlist hash, so that we can fill it with values in config()
         self.hostlist = {}
         return super(HostHeaderHttpProxy, self).__pre_config__()
     
     def config(self):
         super(HostHeaderHttpProxy, self).config()

     def setServerAddress(self, host, port):
         #change the target address based on the host header
         if self.hostlist.has_key(host):
             newhost = self.hostlist[host][0]
             port = self.hostlist[host][1]
             host = newhost
             proxyLog(self, CORE_INFO, 5, "Chosen host; host='%s'", (host,))
         return super(HostHeaderHttpProxy, self).setServerAddress(host, port)
         
és egy konkrét példány (HTTPS) így nézne ki:

class RProxyHttpProxy(HostHeaderHttpProxy):
     def config(self):
         HostHeaderHttpProxy.config(self)
         self.ssl.client_verify_type=SSL_VERIFY_NONE
         self.ssl.client_connection_security=SSL_FORCE_SSL
         self.ssl.server_connection_security=SSL_FORCE_SSL
         self.ssl.server_verify_type=SSL_VERIFY_NONE
         self.ssl.client_keypair_files=("/etc/key.d/srv/cert.pem", "/etc/key.d/srv/key.pem")
         self.hostlist["hostname1"]=("127.0.0.1", 8181)
         self.hostlist["hostname2"]=("127.0.0.1", 8182)
         self.hostlist["hostname3"]=("127.0.0.1", 8183)
         self.error_silent=TRUE
         self.ssl.client_cagroup_directories=("/etc/ca.d/groups/srv/certs/", "/etc/ca.d/groups/srv/crls/")

Balint

On 05/13/2013 10:11 AM, Zoltán Gyula Beck wrote:
> Kedves Tagok,
>
>   egyelo"re nagyon kezdo" vagyok a témában, de úgy alakult, hogy 
> tesztelnem kell(ene) a Zorp GPL-t és ebben szeretném kérni a 
> segítségeteket. A tesztelést egy önálló webserveren kellene megtennem, 
> a Zorp is azon lenne (nem külön gateway), kb. ez lenne a cél:
> - bejövo" http (több domain)
> - bejövo" https (több domain)
> - kimeno" smtp
> - kimeno" smtp + TLS
>
>   Nagyon megköszönném ha tudnátok példát mutatni vagy elérheto" 
> dokumentációt, én egyelo"re ezt nézegettem: 
> https://github.com/balabit/zorp-examples/blob/master/policy.py de ez 
> alapján nem látom, hogy az iptables hogyan kellene kinézzen, illetve a 
> zonákat sem látom, hogyan kellene felépíteni egy standalone szerveren.
>
>   Üdv és köszönöm,
> bzg
>
>
> _______________________________________________
> zorp mailing list
> zorp at lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.balabit.hu/pipermail/zorp/attachments/20130524/d2041b98/attachment.htm 


More information about the zorp mailing list