Am Montag, 29. Januar 2018, 09:18:54 CET schrieb Luca Bertoncello:
Zitat von Heiko Schlittermann hs@schlittermann.de:
Hallo Heiko,
Du suchst -j MASQUERADE
Eben nicht, denn damit kann ich am Ziel-Rechner nur die IP der Firewall sehen, und nicht die IP des Rechners, der die Anfrage schickt, was aber genau bei Ziel ist...
Um klar zu sagen (Beispiel):
- 1.2.3.4 ist die IP des Rechners, der eine SSH-Verbindung starten darf
- 192.168.10.1 ist die IP der Firewall
- 192.168.10.2 ist die IP meines Rechners
- 2.3.4.5 ist die öffentliche IP des Routers (also die IP der
PPP-Schnittstelle)
Wenn 1.2.3.4 eine SSH-Verbindung zum 2.3.4.5:22022 startet, am Rechner 192.168.10.2 will ich sehen, dass die Anfrage vom 1.2.3.4 kommt und nicht von 192.168.10.1.
Habe ich mein Problem erklärt?
Grüße Luca Bertoncello (lucabert@lucabert.de)
Hallo Luca,
ich denke, dass sich Dein Problem im IPV4-Space nicht lösen läßt. Stichwort: Netmask der jeweiligen Interfaces > 0.0.0.0 . Dafür sollte man "globales" IPv6 haben und nutzen (können).
Ich finde es auch ein wenig widersinnig, sich bei ssh von festen IP(V4!)-Adressen abhängig zu machen. Schlüssel (keine Passwörter) innerhalb ssh sollten das Mittel der Authentifizierung sein. Wenn das erfolgreich ist, wozu soll dann noch Kenntnis der Partner-IP wichtig sein? (Und eine iptables-Regel, die die ssh-Penetration-Tests diverser Script-Kiddies gehörig limitiert, ist einfach zu erstellen.)
Viele Grüße! Bernhard