NAT nur für einen Dienst/Client IP m. iptables

Jan-Benedict Glaw jbglaw at lug-owl.de
Sam Jan 10 14:39:43 CET 2004 

On Sat, 2004-01-10 14:17:42 +0100, Niels Dettenbach <linux at eichsfeld.net>
wrote in message <200401101417.43220.linux at eichsfeld.net>:
> Nun möchte ich für einige Clients den aus guten alten "sicheren" 
> BTX-Banking-Zeiten überlebenden T-Online Authentifizierungsmechanismus 
> erreichbar machen. Der Dienst liegt auf Ziel-Port 866 auf einer festen IP 
> (oder auf mehrere IP's in einem Sub-Class C wahlweise mögl.) - dem sog. 
> T-Online-Classic Gateway" (schöner Name ~ß). Ein Snif ergab, das es sich 
> offenbar um ein eigenes, verschlüsseltes Protokoll handelt (kein http - also 
> nicht über Proxy schaufelbar)

Also brauchst Du ganz normales NAT, mit der Einschränkung, daß die
Source-IP "Deine Rechner", die Destionation "Das T-Offline-Netz" und der
Destination-Port 866 sein muß. Wo ist das Problem?

> Nun wäre es frevelhaft, gerade wegen einer "sicheren" Bankinganwendung NAT 
> für's ganze Netz freigeben zu müssen und dann alle anderen Dienste einzeln 
> sperren zu müssen. Wie kann ich also am elegantesten den "Router/Firewall" 

Auch bei einer NAT-Regel kannst Du IIRC angeben, wann diese zutreffen
soll.

> mit iptables dazu bewegen, mir nur genau DIESEN Dienst auf DEN Adressbereich 
> von DEN Client-IP's zuzulassen und sonst keinerlei NAT/Masquerading? Wie kann 
> ich den Dienst "auf" die interne-Firewall-IP "legen" (Port forwarding o.ä.)? 

Das mach lieber nicht...

> Habe da wohl Verständnisprobleme mit iptables. geht es auch ohne NAT, wenn 

Dann zurück zur Doku! Im Ernst. Wenn Du Dir eine Firewall strickst und
danach denkst, daß sie sicher ist _und_ Du *irgendwo*
Verständnis-Probleme hattest, dann solltest Du das Ding wegwerfen. Du
wirst Dich zu sehr darauf verlassen und jemand mit mehr Ahnung nimmt Dir
das Ding auseinander...

Also, für dieses Problem brauchst Du wohl NAT (wenn Du pech hast,
funktioniert das nichteinmal, nämlich dann, wenn die Partner ihre
IP-Adressen in den Nutzdatenstrom einbauen und den mit der
(IP-technischen) Absender-IP-Adresse (ist dann Dein GW) überprüfen.

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
   ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : http://www.tlug.de/pipermail/tlug_allgemein/attachments/20040110/901877f4/attachment.pgp