NAT nur für einen Dienst/Client IP m. iptables

Niels Dettenbach linux at eichsfeld.net
Sam Jan 10 14:17:42 CET 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Liste,

habe kräftig gegoogelt, aber bisher nix passendes gefunden. Vielleicht habe 
ich auch nur Tomaten auf den Augen, na mal schaun...

Ich stricke gerade an einer Firewallkonfig (iptables). Bisher wurden alle 
Dienste ausschließlich über Proxies abgewickelt, sodas ich kein NAT bzw. 
forwarding aktiv zu haben brauchte (-> Sicherheit).

Nun möchte ich für einige Clients den aus guten alten "sicheren" 
BTX-Banking-Zeiten überlebenden T-Online Authentifizierungsmechanismus 
erreichbar machen. Der Dienst liegt auf Ziel-Port 866 auf einer festen IP 
(oder auf mehrere IP's in einem Sub-Class C wahlweise mögl.) - dem sog. 
T-Online-Classic Gateway" (schöner Name ~ß). Ein Snif ergab, das es sich 
offenbar um ein eigenes, verschlüsseltes Protokoll handelt (kein http - also 
nicht über Proxy schaufelbar)

Die Docs der T-Online, wie auch der Banken die das nutzen, geben da nicht viel 
mehr her. In den OB-Programmen unter Windoof kann man unter "Firewall" die 
Firewall-IP sowie den Port (866) angeben oder eben direkt per "ohne Firewall" 
per NAT direkt zugreifen.

Nun wäre es frevelhaft, gerade wegen einer "sicheren" Bankinganwendung NAT 
für's ganze Netz freigeben zu müssen und dann alle anderen Dienste einzeln 
sperren zu müssen. Wie kann ich also am elegantesten den "Router/Firewall" 
mit iptables dazu bewegen, mir nur genau DIESEN Dienst auf DEN Adressbereich 
von DEN Client-IP's zuzulassen und sonst keinerlei NAT/Masquerading? Wie kann 
ich den Dienst "auf" die interne-Firewall-IP "legen" (Port forwarding o.ä.)? 
Habe da wohl Verständnisprobleme mit iptables. geht es auch ohne NAT, wenn 
ich den Port auf dem internen Interface zur Verfügung stellen möchte?

39,95 Euro Firewalls regeln das ganz einfach, indem Sie einfach alles 
durchlassen bzw. gerade mal eine stateful inspection durchführen - dies ist 
mir aber zu offen. Manche Firmen regeln das offenbar "ganz leicht" - sie 
bauen eine ISDN-Karte in den "Banking-PC" und machen darüber gleich ganz 
offenherziges IP - geht ja schließlich auch...  ~ß)

Hat da jemand - vielleicht auch speziell mit T-Online Classic Banking - 
Erfahrungen gemacht? Bin für jede Hilfe dankbar.

Da es bisher offenbar keine Doku für diese Problematik - speziell auchDetails 
zum Classic-Gate f. T-Online Banking gibt, würde ich die Ergebnisse gern in 
einem kurzen OS HowTo veröffentlichen. -> URL geht dann auch an diese Liste 
zurück.

Beste Grüße,

Niels.


- -- 
- ---
WWW:		http://linux.eichsfeld.net
PGP public key:	http://linux.eichsfeld.net/nd_pub_key.asc
Key fingerprint = 6B96 F205 0F3E FC8C BD1F  A8C2 BE0D 6B99 E07A 90B9
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE///t2vg1rmeB6kLkRAj9CAJ9BV3dtDYYHlas+bks7fea6Y/Z7tQCeJSz4
+ymRT7kwccEFlfoRtb4ijro=
=QJ5U
-----END PGP SIGNATURE-----