Re: [Lug-dd] sinnlose Regeln in SuSEpersonal.firewall?

Konrad Rosenbaum wrote:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

3. lasse die OUTPUT Chain in Ruhe, es sei denn es gibt drinnen Leute, die

nicht alles duerfen

Das funktioniert aber nur wenn der Name des Mitarbeiters als IP-Adresse aufgelöst werden kann. ;-)

4. falls Routing noetig ist bau Dir eine Forward-Chain und passende

NAT-Table...

Die zugehörige FORWARD-Regel(n) überlasse ich dir, sie sind den INPUT-Regeln ähnlich.

Der spezielle (und meist benötigte) Fall Masquerading:

iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE

Evtl. wirst Du das Interface noch anpassen müssen. Wie der Name 'POSTROUTING' schon sagt, wird das am Ende ausgeführt kurz bevor das Paket den Rechner verläßt.

dazu noch, damit der Kernel dyn. IP-Adressen bearbeiten kann:

echo 1 > /proc/sys/net/ipv4/ip_dynaddr echo 1 > /proc/sys/net/ipv4/ip_forward

Rico