[BSD] ipfilter+https

Pólya Balázs polya at bnet.hu
2005. Okt. 28., P, 09:23:49 CEST


Tisztelt Kovacs,

2005. október 27., 18:30:04, írta:

KS> Sziasztok!

KS> A kovetkezo lenne a problema, amiben a segitsegeteket kernem. Van egy
KS> Freebsd 4.10-RELEASE-p5 tuzfalam ipfilterrel, ami tokeletesen ellatja a
KS> dolgat, uzemel rajta squid proxy, forgalommeres, egyes IP-cimekrol
KS> kulonbozo portok elerhetoek rajta (pl. VNC es hasonlo celokbol), stb.
KS> Fix IP cimmel rendelkezik, mogotte pedig egy belso halozat van. A 
KS> problemam az lenne, hogy felmerult az igeny, hogy a belso halozaton
KS> uzmelo https szervert el kene erni az internetrol is kulonbozo 
KS> IP-cimekrol. Gondoltam semmi gond, vegulis VNC-vel mar csinaltam ilyet
KS> be is irtam a megfelelo sorokat az ipf.rules es az ipnat.rules 
KS> file-jaimba, amikor is ert a meglepetes, hogy nem megy a dolog. Az ipnat
KS> meg megcsinalja a cimforditast (az ipmon szerint), a kezdo csomagot is
KS> elkuldi es innen nincs tovabb, timeouttal eldobja a kapcsolatot. 
KS> Ugyanakkor VNC-vel gyakorlatilag ugyanez a szabaly gond nelkul megy. Itt
KS> vannak a vonatkozo sorok:

KS> ipnat.rules:
KS> rdr bge1 0.0.0.0/0 port 443 -> 10.1.20.3 port 443 tcpudp

KS> ipf.rules:
KS> pass in quick on bge1 proto tcp from any to any port = 443 flags S keep
KS> state keep frags

KS> Az ipfilter nincs beleforgatva a kernelbe, rc.conf-bol inditom igy:
KS> ipfilter_enable="YES"
KS> ipnat_enable="YES"
KS> ipfilter_rules="/etc/ipf.rules"
KS> ipmon_enable="YES"
KS> ipmon_flags="-Dv -P /var/run/ipmon.pid /var/log/firewall.log"
KS> ipfs_enable="YES"

KS> A sysctl.conf-ban van meg ket ilyen sorom:

KS> kern.ipc.somaxconn=1024         #default=128
KS> kern.ipc.nmbclusters=32768      #default=4560

KS> Mar mindent megprobaltam, ami eszembe jutott (pl. a tuzfal kulso cimen a
KS> 60000-es portrol iranyitom at a belso gep 443-as portjara), de kifogytam
KS> az otletekbol. Ha barmi egyeb informacio szukseges lenne, akkor kuldom
KS> azt is. Elore is kosz a segitseget!

KS> Shan
KS> _______________________________________________
KS> BSD levlista
KS> BSD at hu.freebsd.org
KS> http://www.hu.freebsd.org/hu/mailman/listinfo/bsd

a http-t es https-t kifele nem transparens-en proxy-zod?
ha igen akkor azoknal a szabalyoknal kene finomitani hogy ezt a
forgalmat ne redirect-elje a squid-hez.

-- 
Üdvözlettel,
 Pólya Balázs

 Tel:  06-70-3804619
 Fax:  06-70-9018384
 Mail: polya at bnet.hu




További információk a(z) BSD levelezőlistáról