Hallo Goran, Goran Ristic <gee.r@gmx.net> on Thu, Oct 03, 2002 at 09:06:38PM +0200: > <Donnerstag, der 03. Oktober 2002> > > |> > (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) > |> > |> Wobei - wie aus der ersten Mail in diesem Thread, die aber schon > |> länger her ist, hervorgeht - das ja eigentlich vermieden werden > |> soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen. > > Sorry. - Ich hatte die nicht mehr im Kopf. > Es sollte aber ohne prerouting gehen. Was sagen denn die Logs dazu? Ich les mich langsam in iptables ein ... ohne PREROUTING geht auf jeden Fall kein Port-Forwarding. Die Frage ist, ob es auch ohne gehen sollte. Der interessante Abschnitt der rc.firewall, wie im IP-Masquerading-HOWTO beschrieben: echo " clearing any existing rules and setting default policy.." $IPTABLES -P INPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -t nat -F echo " FWD: Allow all connections OUT and only existing and related ones IN" $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG echo " Enabling SNAT (MASQUERADE) functionality on $EXTIF" $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE Im syslog: Oct 3 21:36:20 ns kernel: ASSERT ip_nat_core.c:739 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT ip_nat_core.c:739 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT: ip_nat_core.c:839 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT ip_conntrack_core.c:94 &ip_conntrack_lock readlocked D.C. ad inf. Kann es sein, daß ich mich mal an die netfilter-ML wenden sollte? mfg Christian
Attachment:
pgp2HYRDqL4mA.pgp
Description: PGP signature