Port 3000 freischalten unter SuSE Firewall2 |
||
---|---|---|
#0
| ||
05.03.2003, 14:00
schmalzz
zu Gast
|
||
|
||
07.03.2003, 00:04
Member
Beiträge: 907 |
#2
mh...
was macht denn die fw mit paketen die von den clients kommen und zielport 3000 haben? sie verwirft sie sicher... was soll mit solchen paketen gemacht werden? sicher geroutet oder? dann wirst wohl das routing aktivieren müssen oder mittels iptables die pakete so verändern, dass sie weitergeleitet werden voraussetzung meiner tips ist, dass die clients als gw für HBCI die FW eingetragen haben greez |
|
|
||
08.03.2003, 10:03
...neu hier
Themenstarter Beiträge: 6 |
#3
mhhh...
Also eigentlich sollten Pakete auf Port 3000 nicht verworfen werden da ich sie ja explizit freigeben (int_tcp "3000"). Das die Pakete geroutet werden sollen wäre ja mein Ziel, aber mittlerweile bin ich zu der Überzeugung gekommen daß dies ohne aktiviertes Routing und NAT nicht funzt. Ausser es gäbe dafür ein Prog ähnlich der ftp-proxy Suite... Gruss |
|
|
||
08.03.2003, 20:09
Tiggar
zu Gast
|
#4
Hi Du hast int_tcp "3000" freigegeben dürfen die denn auch wieder raus?
teste mal iptables -I OUTPUT -p tcp --dport 3000 -j ACCEPT Gruß Tiggar |
|
|
||
09.03.2003, 01:17
...neu hier
Themenstarter Beiträge: 6 |
#5
Hi Tiggar,
grad getestet, funzt leider auch nicht. Denke mal ich lass daß Routing und NAT an. Trotzdem danke für den Tip. Gruss |
|
|
||
09.03.2003, 10:41
Tiggar
zu Gast
|
#6
Hi,
habe gestern was vergessen du musst es als FORWARD laufen lassen oder arbeitest du auf dem Router? Wohl nicht also dann: iptables -I FORWARD -i eth0 -o ppp0 -p tcp --dport 3000 -j ACCEPT iptables -I FORWARD -i ppp0 -o eth0 -p tcp --sport 3000 -j ACCEPT Gruß Tiggar |
|
|
||
09.03.2003, 11:41
...neu hier
Themenstarter Beiträge: 6 |
#7
Hi Tiggar,
ich denke daß kann grundsätzlich nicht funzen. Wenn das Routing deaktiviert ist werden die Pakete nicht weitergeleitet, ist ja imho der Sinn vom Routing. Hab deinen Tip getestet - hat leider nichts gebracht. Hier wird wohl nur eine Applikation auf dem Router was bringen die den Port 3000 überwacht und die dazugehörigen Pakete entsprechend weiterleitet (so wie das eine FTP Proxy- Suite von SuSE macht). Ich werd da mal weiter auf die Suche gehen, bis dahin lass ich daß Routing und NAT an. Gruß |
|
|
||
11.03.2003, 03:51
Member
Beiträge: 5291 |
#8
Wichtig zu wissen wäre erstmal wo die Packete genau hinsollen wo sollen sie hingeroutet werden von außen nach innen oder umgekehrt beschreibe das erstmal ganz genau dann liefere ich dir die Lösung
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.03.2003, 21:13
...neu hier
Themenstarter Beiträge: 6 |
#9
Imho ist es ganz einfach: Die Applikation kommuniziert über Port 3000 mit dem
HBCI Rechner der Bank. Die Kommunikation muss also in beide Richtungen er- folgen. Testen kannst du das z. B. mit www.hbci-kernel.de auf Port 3000. Ich hab's bisher nicht geschafft ohne aktiviertes Routing und NAT von einem Client aus eine Verbindung herzustellen. Für eine Lösung wär ich natürlich dankbar!!! |
|
|
||
11.03.2003, 23:16
Member
Beiträge: 5291 |
#10
Okay jetzt wo ich weiß wo das Problem ist schildere ich dir die Lösung:
# Forward würd auf "ein" gesätzt. echo "1" /proc/sys/net/ipv4/ip_forward # Hiermit forwarden wir alle Packete die von tcp/3000 stammen. iptables -A FORWARD -i ppp0 -p tcp --sport 3000 -j ACCEPT # Hiermit routen wir das initial packet das von tcp/3000 stammt zu unserem ziel Rechner oder zu unserem Zielnetz. iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport 3000 -j DNAT --to-destination 192.168.1.1:3000 # Hiermit forwarden wir alle tcp/3000 Packete zur Bank iptables -A FORWARD -i eth0 -s 192.168.1.1 -p tcp --dport 3000 -j ACCEPT # Hiermit maskieren wir den Rechner oder ein Netz das ein Packet mit dem zielport 3000 abschickt. iptables -A POSTROUTING -t nat -s 192.168.1.1 -p tcp --dport 3000 -j MASQUERADE So das sind die Regeln, ich werde sie noch mal kurz erleutern: ppp0 ist das incoming device (DSL) wenn du isdn benutzt bitte ippp0 benutzen. eth0 ist das interne Netzwerkdevice wenn du nur eine Netzwerkkarte hast nicht ändern wenn aber eine zweite Netzwerkkarte mit deinem lan verbunden ist dann benutze eth1. ich bin davon ausgegangen das die Packete die zum client gerichtet sind von Port 3000 stammen falls dies nicht der fall ist änderst du die Port nummer bei --sport. Ich habe es so verstanden das ein Rechner in deinem lan einen bestimmten Port (3000) bei deiner Bank ereichen will. dann ist --dport 3000 richtig andernfalls änderst du die Portzahl. MFG Georg Bege __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.03.2003, 23:18
Member
Beiträge: 5291 |
#11
ähm ach ja ich hab hier als beispiel 192.168.1.1 genommen wenn dein Client um den es geht eine andere ip hat dann änderst du diese bitte überall. Wenn es um ein gesamtes Netz geht dann setzt du am ende eine 0, also zb. 192.168.1.0
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
12.03.2003, 20:48
...neu hier
Themenstarter Beiträge: 6 |
#12
Hallo,
erstmal vielen Dank für deine Bemühungen! Weiß gar nicht mit was ich das ver- diene ;-) ! Zum zweiten: Leider funzt es nicht! Hab das ganze mal auf mein Netz umgemünzt: iptables -A FORWARD -i ppp0 -p tcp --sport 3000 -j ACCEPT iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport 3000 -j DNAT --to-destination 10.10.1.41:3000 iptables -A FORWARD -i eth1 -s 10.10.1.41 -p tcp --dport 3000 -j ACCEPT iptables -A POSTROUTING -t nat -s 10.10.1.41 -p tcp --dport 3000 -j MASQUERADE iptables -L zeigt bei der FORWARD Regel folgendes: Chain FORWARD (policy DROP) target prot opt source destination TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU ACCEPT tcp -- anywhere anywhere tcp spt:hbci ACCEPT tcp -- xp.********.de anywhere tcp dpt:hbci Tja, wie gesagt: Der Client kriegt so keine Verbindung zum HBCI-Server über Port 3000 (Fehler: Verbindung konnte nicht hergestellt werden). Verstanden hast du das ganze richtig: Die Kommunikation wird über Port 3000 abgewickelt. Der Client baut zum Bankrechner über Port3000 die Verbindung auf. Die gesamte Kommunikation läuft dann über diesen Port ab. Gruß und schönen Dank schmalzz |
|
|
||
13.03.2003, 00:29
Member
Beiträge: 5291 |
#13
Hmm Klasse A wird sowieso nirgendwohin geroutet jedenfalls nicht im Internet. Warum Klasse A?
"Der Client baut zum Bankrechner über Port3000 die Verbindung auf. Die gesamte Kommunikation läuft dann über diesen Port ab." Vom Port tcp/3000 oder zum Port tcp/3000? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
13.03.2003, 06:29
Member
Beiträge: 13 |
#14
lass doch mal einen sniffer mitlaufen, ob es überhaupt der richtige port ist, oder ob vielleicht noch ein weiter port oder ein udp protokoll benötigt wird.
Gruß Tiggar |
|
|
||
13.03.2003, 21:42
...neu hier
Themenstarter Beiträge: 6 |
#15
Hi Leute,
ich hab mal gegoogelt, alles was ich zum Thema HBCI und Protokoll finde ist: TCP/IP?!? Der Client stellt eine Verbindung zum Bankrechner über Port 3000 her. Die Komunikation vom Client zum Bankrechner und zurück läuft über diesen Port ab. Also geht der Datenaustausch in beide Richtungen, der Bankrechner schickt ja Daten auch an den Client zurück. Nichts anderes finde ich zu diesem Thema. Leider geht die Seite www.hbci.de nicht. Dort wären viele technische Details zum HBCI. @Tiggar: Also ein weiterer Port wird mit Sicherheit nicht benötigt. Der Datentrans- port bei Banktransaktionen wird mit Sicherheit nicht über ein Protokoll versen- det bei dem die korrekte Datenübertragung nicht festgestellt werden kann. Da dies aber nur meine Mutmaßungen sind erhebe ich keinen Anspruch auf Richtigkeit. Vielleicht weiß jemand genaueres oder hat entsprechende Quellen zur Verfügung und äußert sich mal zu dem Thema. |
|
|
||
hab folgende Konstellation: SuSE 8.0 mit SuSE Firewall2. Mit aktiviertem Routing und Masquerading funzt alles soweit gut. Nun habe ich aber Routing
und Masquerading deaktiviert (für zusätzliche Sicherheit), einen transparenten
Proxy zum Serven aufgesetzt (funzt 1a), Mailserver eingerichtet und einen ftp-proxy
installiert um ftp nutzen zu können. Haut alles supi hin - Portscans zeigen das
auch. Einziges Manko: HBCI mit Port3000. Egal was ich versuche - ich schaffs
einfach nicht. Ich habe custom-Rules eingefügt, bei ext_tcp und int_tcp den
Port 3000 eingetragen: keine Chance!
Hat jemand nen Tip für mich?