[linux-l] iptables "dynamische regeln"

[Gregor Laemmel]

> Sicher? Die Regeln werden grundsätzlich für alle Pakete abgearbeitet;
> oder hast Du established und related schon vorher abgefischt und
> bearbeitet?
Nein 

> Übrigens solltest Du tcp-Verbindungen ein "-j REJECT --reject-with
> tcp-reset" geben, dieser Zaunpfahl wirkt erheblich besser.
Hilft leider auch nicht.

> 
> Aber warum das alles überhaupt?
> 
O.K. wie folgt: es gibt Da einen kostenpflichtigen Service, um auf
einen Datanebank zuzugreifen. Autheifiziert wird man da anhand seiner
IP Adresse. Momentan ist da nur eine IP Adresse regestriert aber den
Datenbankservice teilen sich mehrere Lehrstühle. Also habe ich einen
Router aufgesetzt, der alle eingehenden Packete auf Port XX mittels NAT
zum Datenbankservice routet (natürlich nur von erlaubten IP adressen...)

also folgende Regel

 iptables -t nat -A PREROUTING -p tcp --dport XXX -i eth0 -s XXX.XXX.XXX.XXX -j DNAT \
  --to YYY.YYY.YYY.YYY:YY
 
 vorher wird das noch geloggt, na klar!

 O.K. also das ganze funktioniert so, super. Der Hagen: sobald eine Person einmal eingeloggt
 ist - kann keine weiter Person den Service in anspruch nehmen.
 Mein Chef ist aber der Meinung, dass die anderen Lehrstühle das ganze zu exzessiv nutzen.
 Also will ich den User mittels
 "REJECT --reject-with tcp-reset" rausschmeißen aber irgendwie funktioniert, das erst 
 wenn der User sich ausgeloggt hat und eine neue Verbindung aufbauen will.
 Es wird definitiv nur TCP verwendet

 Als Testszenario betreibe ich das mit einem forwarding von ssh
 (Rechner A macht ssh auf port 21 nach Rechner B und kommt bei Rechner C auf
 port 22 raus)
 
 
 cheers, gregor
--