NAT nur für einen Dienst/Client IP m. iptables

Niels Dettenbach linux at eichsfeld.net
Sam Jan 10 15:22:51 CET 2004


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am Samstag, 10. Januar 2004 14:39 schrieb Jan-Benedict Glaw:

> Also brauchst Du ganz normales NAT, mit der Einschränkung, daß die
> Source-IP "Deine Rechner", die Destionation "Das T-Offline-Netz" und der
> Destination-Port 866 sein muß. Wo ist das Problem?
soweit war ich schon.
>
> > Nun wäre es frevelhaft, gerade wegen einer "sicheren" Bankinganwendung
> > NAT für's ganze Netz freigeben zu müssen und dann alle anderen Dienste
> > einzeln sperren zu müssen. Wie kann ich also am elegantesten den
> > "Router/Firewall"
>
> Auch bei einer NAT-Regel kannst Du IIRC angeben, wann diese zutreffen
> soll.
ok, iyrc war das meine Frage bzw. welche Lösung wohl am eleganteste wäre. Mir 
fallen selbst mehere Wege ein, die sich für mich jedoch alle nicht ganz 
"glatt" anfühlen bzw. wo ich ggf. etwas übersehen könnte. Es "hätte" also 
sein "können", das jemand sich mit diesem speziellen Problem ("T-Onl. Classic 
Gateway") schon mal auseinandergesetzt hat.

>
> > mit iptables dazu bewegen, mir nur genau DIESEN Dienst auf DEN
> > Adressbereich von DEN Client-IP's zuzulassen und sonst keinerlei
> > NAT/Masquerading? Wie kann ich den Dienst "auf" die interne-Firewall-IP
> > "legen" (Port forwarding o.ä.)?
>
> Das mach lieber nicht...
Was meinst Du? Port-Forwarding?
>
> Dann zurück zur Doku! Im Ernst. Wenn Du Dir eine Firewall strickst und
> danach denkst, daß sie sicher ist _und_ Du *irgendwo*
> Verständnis-Probleme hattest, dann solltest Du das Ding wegwerfen.
...mal halblang. Ich habe nicht gesagt, das ich in der bestehenden Konfig 
irgendwas nicht verstehen würde. Gerade WEIL ich nicht bis ins Detail weiss, 
inwieweit diese neue Konfig sicher bzw. nicht sicher ist, stelle ich hier 
Überlegungen an. Galube kaum, das hier irgendjemand ist, der nicht schon mal 
etwas "übersehen" hätte, Du vielleicht?

> Du
> wirst Dich zu sehr darauf verlassen und jemand mit mehr Ahnung nimmt Dir
> das Ding auseinander...
Dann nimm mal ~ß)...
>
> Also, für dieses Problem brauchst Du wohl NAT (wenn Du pech hast,
> funktioniert das nichteinmal, nämlich dann, wenn die Partner ihre
> IP-Adressen in den Nutzdatenstrom einbauen und den mit der
> (IP-technischen) Absender-IP-Adresse (ist dann Dein GW) überprüfen.
Falsch. Mit NAT funktioniert es ja - hatte ich bereits geschrieben. Zudem 
fragte ich nicht, wie NAT funktioniert. dafür gibt es genug Doku...


>
> MfG, JBG

- -- 
- ---
WWW:		http://linux.eichsfeld.net
PGP public key:	http://linux.eichsfeld.net/nd_pub_key.asc
Key fingerprint = 6B96 F205 0F3E FC8C BD1F  A8C2 BE0D 6B99 E07A 90B9
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFAAAq7vg1rmeB6kLkRAlhOAJwIzEMBPiQ3n4DVUz7m/hkmM4KzkgCbBfIx
zgwhaeizlQUcYm4f176NI8w=
=qODf
-----END PGP SIGNATURE-----