NAT nur für einen Dienst/Client IP m. iptables
Niels Dettenbach
linux at eichsfeld.net
Sam Jan 10 14:17:42 CET 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo Liste,
habe kräftig gegoogelt, aber bisher nix passendes gefunden. Vielleicht habe
ich auch nur Tomaten auf den Augen, na mal schaun...
Ich stricke gerade an einer Firewallkonfig (iptables). Bisher wurden alle
Dienste ausschließlich über Proxies abgewickelt, sodas ich kein NAT bzw.
forwarding aktiv zu haben brauchte (-> Sicherheit).
Nun möchte ich für einige Clients den aus guten alten "sicheren"
BTX-Banking-Zeiten überlebenden T-Online Authentifizierungsmechanismus
erreichbar machen. Der Dienst liegt auf Ziel-Port 866 auf einer festen IP
(oder auf mehrere IP's in einem Sub-Class C wahlweise mögl.) - dem sog.
T-Online-Classic Gateway" (schöner Name ~ß). Ein Snif ergab, das es sich
offenbar um ein eigenes, verschlüsseltes Protokoll handelt (kein http - also
nicht über Proxy schaufelbar)
Die Docs der T-Online, wie auch der Banken die das nutzen, geben da nicht viel
mehr her. In den OB-Programmen unter Windoof kann man unter "Firewall" die
Firewall-IP sowie den Port (866) angeben oder eben direkt per "ohne Firewall"
per NAT direkt zugreifen.
Nun wäre es frevelhaft, gerade wegen einer "sicheren" Bankinganwendung NAT
für's ganze Netz freigeben zu müssen und dann alle anderen Dienste einzeln
sperren zu müssen. Wie kann ich also am elegantesten den "Router/Firewall"
mit iptables dazu bewegen, mir nur genau DIESEN Dienst auf DEN Adressbereich
von DEN Client-IP's zuzulassen und sonst keinerlei NAT/Masquerading? Wie kann
ich den Dienst "auf" die interne-Firewall-IP "legen" (Port forwarding o.ä.)?
Habe da wohl Verständnisprobleme mit iptables. geht es auch ohne NAT, wenn
ich den Port auf dem internen Interface zur Verfügung stellen möchte?
39,95 Euro Firewalls regeln das ganz einfach, indem Sie einfach alles
durchlassen bzw. gerade mal eine stateful inspection durchführen - dies ist
mir aber zu offen. Manche Firmen regeln das offenbar "ganz leicht" - sie
bauen eine ISDN-Karte in den "Banking-PC" und machen darüber gleich ganz
offenherziges IP - geht ja schließlich auch... ~ß)
Hat da jemand - vielleicht auch speziell mit T-Online Classic Banking -
Erfahrungen gemacht? Bin für jede Hilfe dankbar.
Da es bisher offenbar keine Doku für diese Problematik - speziell auchDetails
zum Classic-Gate f. T-Online Banking gibt, würde ich die Ergebnisse gern in
einem kurzen OS HowTo veröffentlichen. -> URL geht dann auch an diese Liste
zurück.
Beste Grüße,
Niels.
- --
- ---
WWW: http://linux.eichsfeld.net
PGP public key: http://linux.eichsfeld.net/nd_pub_key.asc
Key fingerprint = 6B96 F205 0F3E FC8C BD1F A8C2 BE0D 6B99 E07A 90B9
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE///t2vg1rmeB6kLkRAj9CAJ9BV3dtDYYHlas+bks7fea6Y/Z7tQCeJSz4
+ymRT7kwccEFlfoRtb4ijro=
=QJ5U
-----END PGP SIGNATURE-----