Dimitri Puzin wrote:
Hi Carsten,
ich gehe jetzt mal davon aus, dass Du NAT machen willst. Dazu habe ich folgende Konfig:
# Dieses erlaubt eingehende Verbindungen, aber nur wenn diese zu einer bereits hergestellen Verbundung von LOKAL (also mein Router) gehoeren. iptables -A INPUT -i $EXT_IFACE -d $EXT_IP -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable iptables -A INPUT -i $EXT_IFACE -d $EXT_IP -m state --state RELATED,ESTABLISHED -j ACCEPT
# Diese erlauben Masquerading von Ports 21 und 5190 (ICQ) aus meinem Netz ueber diesen Router. Du kannst weitere, DNS, HTTP(S) hier hinzufuegen. iptables -t nat -A POSTROUTING -s $MYNETWORK -d $ALL -o $EXT_IFACE -p tcp -m tcp --dport 21 -j MASQUERADE iptables -t nat -A POSTROUTING -s $MYNETWORK -d $ALL -o $EXT_IFACE -p tcp -m tcp --dport 5190 -j MASQUERADE
# Alle anderen Chains sind ACCEPT und leer, im einfachsten Fall. ip_nat_ftp und ip_conntrack_ftp sind geladen.
Ist das Deine Wunschkonfig?
Naja, nicht so ganz. Aber ich habe mich jetzt die Sache mit dem FTP-Proxy angesehen. Das scheint ganz gut zu sein. ICQ ist zwar bockig, habe das jetzt aber per Schalter für das Skript gelöst. Das Problem bei ICQ ist weniger das Einloggen, als vielmehr das Holen der Session. Der Login-Server schickt irgendwann sein FIN und schließt die Verbindung, und danach, müßte theoretisch Verbindung zum Session-Server auf einem hohen Port aufgenommen werden. Wie gesagt, ich schalte jetzt dieses Feature bei Bedarf über eine Option des Skriptes zu.
Carsten