Port 3000 freischalten unter SuSE Firewall2

#1 Hi allz,

hab folgende Konstellation: SuSE 8.0 mit SuSE Firewall2. Mit aktiviertem Routing und Masquerading funzt alles soweit gut. Nun habe ich aber Routing
und Masquerading deaktiviert (für zusätzliche Sicherheit), einen transparenten
Proxy zum Serven aufgesetzt (funzt 1a), Mailserver eingerichtet und einen ftp-proxy
installiert um ftp nutzen zu können. Haut alles supi hin - Portscans zeigen das
auch. Einziges Manko: HBCI mit Port3000. Egal was ich versuche - ich schaffs
einfach nicht. Ich habe custom-Rules eingefügt, bei ext_tcp und int_tcp den
Port 3000 eingetragen: keine Chance!

Hat jemand nen Tip für mich?

#2 mh...

was macht denn die fw mit paketen die von den clients kommen und zielport 3000 haben? sie verwirft sie sicher...

was soll mit solchen paketen gemacht werden?
sicher geroutet oder?

dann wirst wohl das routing aktivieren müssen oder mittels iptables die pakete so verändern, dass sie weitergeleitet werden

voraussetzung meiner tips ist, dass die clients als gw für HBCI die FW eingetragen haben

greez

#3 mhhh...

Also eigentlich sollten Pakete auf Port 3000 nicht verworfen werden da ich sie ja
explizit freigeben (int_tcp "3000"). Das die Pakete geroutet werden sollen wäre
ja mein Ziel, aber mittlerweile bin ich zu der Überzeugung gekommen daß dies
ohne aktiviertes Routing und NAT nicht funzt. Ausser es gäbe dafür ein Prog
ähnlich der ftp-proxy Suite...

Gruss

#4 Hi Du hast int_tcp "3000" freigegeben dürfen die denn auch wieder raus?
teste mal iptables -I OUTPUT -p tcp --dport 3000 -j ACCEPT


Gruß Tiggar

#5 Hi Tiggar,

grad getestet, funzt leider auch nicht. Denke mal ich lass daß Routing und NAT
an.

Trotzdem danke für den Tip.

Gruss

#6 Hi,
habe gestern was vergessen du musst es als FORWARD laufen lassen oder arbeitest du auf dem Router? Wohl nicht also dann:

iptables -I FORWARD -i eth0 -o ppp0 -p tcp --dport 3000 -j ACCEPT
iptables -I FORWARD -i ppp0 -o eth0 -p tcp --sport 3000 -j ACCEPT


Gruß Tiggar

#7 Hi Tiggar,

ich denke daß kann grundsätzlich nicht funzen. Wenn das Routing deaktiviert
ist werden die Pakete nicht weitergeleitet, ist ja imho der Sinn vom Routing.
Hab deinen Tip getestet - hat leider nichts gebracht. Hier wird wohl nur eine
Applikation auf dem Router was bringen die den Port 3000 überwacht und die
dazugehörigen Pakete entsprechend weiterleitet (so wie das eine FTP Proxy-
Suite von SuSE macht).

Ich werd da mal weiter auf die Suche gehen, bis dahin lass ich daß Routing und
NAT an.

Gruß

#8 Wichtig zu wissen wäre erstmal wo die Packete genau hinsollen wo sollen sie hingeroutet werden von außen nach innen oder umgekehrt beschreibe das erstmal ganz genau dann liefere ich dir die Lösung
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Imho ist es ganz einfach: Die Applikation kommuniziert über Port 3000 mit dem
HBCI Rechner der Bank. Die Kommunikation muss also in beide Richtungen er-
folgen. Testen kannst du das z. B. mit www.hbci-kernel.de auf Port 3000. Ich
hab's bisher nicht geschafft ohne aktiviertes Routing und NAT von einem Client
aus eine Verbindung herzustellen.
Für eine Lösung wär ich natürlich dankbar!!!

#10 Okay jetzt wo ich weiß wo das Problem ist schildere ich dir die Lösung:

# Forward würd auf "ein" gesätzt.
echo "1" /proc/sys/net/ipv4/ip_forward

# Hiermit forwarden wir alle Packete die von tcp/3000 stammen.
iptables -A FORWARD -i ppp0 -p tcp --sport 3000 -j ACCEPT
# Hiermit routen wir das initial packet das von tcp/3000 stammt zu unserem ziel Rechner oder zu unserem Zielnetz.
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport 3000 -j DNAT --to-destination 192.168.1.1:3000
# Hiermit forwarden wir alle tcp/3000 Packete zur Bank
iptables -A FORWARD -i eth0 -s 192.168.1.1 -p tcp --dport 3000 -j ACCEPT

# Hiermit maskieren wir den Rechner oder ein Netz das ein Packet mit dem zielport 3000 abschickt.
iptables -A POSTROUTING -t nat -s 192.168.1.1 -p tcp --dport 3000 -j MASQUERADE


So das sind die Regeln, ich werde sie noch mal kurz erleutern:

ppp0 ist das incoming device (DSL) wenn du isdn benutzt bitte ippp0 benutzen.
eth0 ist das interne Netzwerkdevice wenn du nur eine Netzwerkkarte hast nicht ändern wenn aber eine zweite Netzwerkkarte mit deinem lan verbunden ist dann benutze eth1.

ich bin davon ausgegangen das die Packete die zum client gerichtet sind von Port 3000 stammen falls dies nicht der fall ist änderst du die Port nummer bei --sport. Ich habe es so verstanden das ein Rechner in deinem lan einen bestimmten Port (3000) bei deiner Bank ereichen will. dann ist --dport 3000 richtig andernfalls änderst du die Portzahl.

MFG

Georg Bege
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 ähm ach ja ich hab hier als beispiel 192.168.1.1 genommen wenn dein Client um den es geht eine andere ip hat dann änderst du diese bitte überall. Wenn es um ein gesamtes Netz geht dann setzt du am ende eine 0, also zb. 192.168.1.0
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#12 Hallo,

erstmal vielen Dank für deine Bemühungen! Weiß gar nicht mit was ich das ver-
diene ;-) ! Zum zweiten: Leider funzt es nicht! Hab das ganze mal auf mein
Netz umgemünzt:

iptables -A FORWARD -i ppp0 -p tcp --sport 3000 -j ACCEPT
iptables -A PREROUTING -t nat -i ppp0 -p tcp --sport 3000 -j DNAT --to-destination 10.10.1.41:3000
iptables -A FORWARD -i eth1 -s 10.10.1.41 -p tcp --dport 3000 -j ACCEPT
iptables -A POSTROUTING -t nat -s 10.10.1.41 -p tcp --dport 3000 -j MASQUERADE

iptables -L zeigt bei der FORWARD Regel folgendes:
Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT tcp -- anywhere anywhere tcp spt:hbci
ACCEPT tcp -- xp.********.de anywhere tcp dpt:hbci

Tja, wie gesagt: Der Client kriegt so keine Verbindung zum HBCI-Server über
Port 3000 (Fehler: Verbindung konnte nicht hergestellt werden).

Verstanden hast du das ganze richtig: Die Kommunikation wird über Port 3000
abgewickelt. Der Client baut zum Bankrechner über Port3000 die Verbindung auf.
Die gesamte Kommunikation läuft dann über diesen Port ab.

Gruß und schönen Dank

schmalzz

#13 Hmm Klasse A wird sowieso nirgendwohin geroutet jedenfalls nicht im Internet. Warum Klasse A?

"Der Client baut zum Bankrechner über Port3000 die Verbindung auf.
Die gesamte Kommunikation läuft dann über diesen Port ab."

Vom Port tcp/3000 oder zum Port tcp/3000?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14 lass doch mal einen sniffer mitlaufen, ob es überhaupt der richtige port ist, oder ob vielleicht noch ein weiter port oder ein udp protokoll benötigt wird.

Gruß Tiggar

#15 Hi Leute,

ich hab mal gegoogelt, alles was ich zum Thema HBCI und Protokoll finde ist:
TCP/IP?!? Der Client stellt eine Verbindung zum Bankrechner über Port 3000 her.
Die Komunikation vom Client zum Bankrechner und zurück läuft über diesen
Port ab. Also geht der Datenaustausch in beide Richtungen, der Bankrechner
schickt ja Daten auch an den Client zurück. Nichts anderes finde ich zu
diesem Thema.

Leider geht die Seite www.hbci.de nicht. Dort wären viele technische Details
zum HBCI.

@Tiggar:
Also ein weiterer Port wird mit Sicherheit nicht benötigt. Der Datentrans-
port bei Banktransaktionen wird mit Sicherheit nicht über ein Protokoll versen-
det bei dem die korrekte Datenübertragung nicht festgestellt werden kann.

Da dies aber nur meine Mutmaßungen sind erhebe ich keinen Anspruch auf
Richtigkeit. Vielleicht weiß jemand genaueres oder hat entsprechende Quellen
zur Verfügung und äußert sich mal zu dem Thema.