NAT nur für einen Dienst/Client IP m. iptables
Jan-Benedict Glaw
jbglaw at lug-owl.de
Sam Jan 10 17:34:35 CET 2004
On Sat, 2004-01-10 15:22:51 +0100, Niels Dettenbach <linux at eichsfeld.net>
wrote in message <200401101522.53643.linux at eichsfeld.net>:
> Am Samstag, 10. Januar 2004 14:39 schrieb Jan-Benedict Glaw:
> > > mit iptables dazu bewegen, mir nur genau DIESEN Dienst auf DEN
> > > Adressbereich von DEN Client-IP's zuzulassen und sonst keinerlei
> > > NAT/Masquerading? Wie kann ich den Dienst "auf" die interne-Firewall-IP
> > > "legen" (Port forwarding o.ä.)?
> > Das mach lieber nicht...
> Was meinst Du? Port-Forwarding?
Jo.
> > Dann zurück zur Doku! Im Ernst. Wenn Du Dir eine Firewall strickst und
> > danach denkst, daß sie sicher ist _und_ Du *irgendwo*
> > Verständnis-Probleme hattest, dann solltest Du das Ding wegwerfen.
> ...mal halblang. Ich habe nicht gesagt, das ich in der bestehenden Konfig
> irgendwas nicht verstehen würde. Gerade WEIL ich nicht bis ins Detail weiss,
> inwieweit diese neue Konfig sicher bzw. nicht sicher ist, stelle ich hier
> Überlegungen an. Galube kaum, das hier irgendjemand ist, der nicht schon mal
> etwas "übersehen" hätte, Du vielleicht?
Klar:) Fehler noch und nöcher. Aber das hat bei mir auch dazu geführt,
daß ich Lösungen ziemlich bösartig teste. Lösungen kleiner Probleme sind
meist einfach zu testen, aber eine Firewall kann schnell mal > 500
Regeln haben. Das zu testen macht einfach keinen Spaß mehr. Wenn dann
schon erkannte Schwachstellen, weil etwas nicht 100%ig durchschaut
wurde, dann ist das ärgerlich. Aber gerade bei einer Firewall auch zudem
noch sehr gefährlich. Wenn sie erstmal "steht", haben Menschen leider
das Verhalten, sie als gegeben (und auch noch funktionierend) anzusehen.
Führt dann schnell dazu, daß man vergißt, das Ding auch noch ordentlich
zu testen...
> > Also, für dieses Problem brauchst Du wohl NAT (wenn Du pech hast,
> > funktioniert das nichteinmal, nämlich dann, wenn die Partner ihre
> > IP-Adressen in den Nutzdatenstrom einbauen und den mit der
> > (IP-technischen) Absender-IP-Adresse (ist dann Dein GW) überprüfen.
> Falsch. Mit NAT funktioniert es ja - hatte ich bereits geschrieben. Zudem
> fragte ich nicht, wie NAT funktioniert. dafür gibt es genug Doku...
Welche Optionen hast Du noch? Proxy funktioniert nicht, da Protokoll
nicht bekannt. Port-Forwarding halte ich für diesen Zweck nicht gerade
für sexy (macht IMHO mehr Sinn, wenn man intere Dienste draußen zur
Verfügung stellen möchte). Also...
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg
fuer einen Freien Staat voll Freier Bürger" | im Internet! | im Irak!
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : http://www.tlug.de/pipermail/tlug_allgemein/attachments/20040110/b5ee5e59/attachment.pgp