am Sat, dem 22.05.2004, um 13:42:31 +0200 mailte Carsten Friede folgendes:
stellt sich jetzt heraus, daß dem doch nicht so ist. Das Masquerading selbst funktioniert, nur wenn ich meine Default-Policy der FORWARD-Chain auf DROP setze war's das. Nun frag' ich mich, warum die Regeln, in die FORWARD-Chain verzweigt nicht angewandt werden. Oder anders, warum kommen keine Antwortpakete durch?
Um die Sache zu vereinfachen, habe ich mal mein Skript angehangen.
Ich bin jetzt echt zu faul, das zu verdauen, mir fiel nur auf:
$IPT -A states -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A states -m state --state NEW,INVALID -j LOG --log-prefix "Connection not permitted" $IPT -A states -m state --state NEW,INVALID -j DROP
Zum Verbindungsaufbau ist das erste Paket NEW. Du solltest also prüfen, was Du warum wegwirfst. Das sind i.d.R. die Ports der Dienste, die erlaubt sind.
Noch was: DROP ist ungeschickt, REJECT besser.
Andreas