Re: IPtables Frage
Quoting Mario Duve (list-debian@nomagic.de):
> > >
> > > iptables -t nat -A PREROUTING -p tcp --dport 80 -i ppp0 -j DNAT --to 192.168.0.13
> > Bau Dir passend zu der PREROUTING-Regel eine FORWARD-Regel, die die
> > Pakete akzeptiert.
> >
> > iptables -A FORWARD -p tcp --dport 80 -d 192.168.0.13 -j ACCEPT
>
> hab die Regel auch noch gesezt, aber ich bekomme es damit auch nicht zum laufen.
>
> > Debugging beim FW-Regelbau *immer* mit tcpdump auf beiden Interfaces des
> > Filterrechners; sonst bist Du "blind" für die rein+rausgehende Pakete.
> > tcpdump -pni $ext_iface
> > tcpdump -pni $int_iface
>
> Das echt komische ist, bei einem Bekannten von mir geht es.
> nur allein mit der Regel
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -i ppp0 -j DNAT --to 192.168.0.13
>
> einziger unterschied bei Ihm, er setzt SuSE ein. Könnte ich vielleicht irgendwelche
> Grundlegenden Sachen vergessen haben?
Ich vermute mal, da ist etwas im Einsatz, das Du übersehen hast, wie:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
(Bei Bedarf auch für INPUT und OUTPUT einsetzen)
Schreib das mal an den Schluß Deiner Regeln.
Damit "übersteuerst" Du ... -P FORWARD(INPUT/OUTPUT) -j DROP falls Du im
Regelsatz eine spezielle ACCEPT-Regel für eine Paketsorte/Ziel-IP stehen
hast.
Du hast auch nicht vergessen, immer schön alle vorherigen Regeln zu
flushen und zu löschen vor dem Test mit einem neuen Regelsatz ....?
Wie, ist aus man iptables zu erschließen.
Du testest das immer vor jedem Neu-Regelsatz mit:
iptables -nL
*und*
iptables -nL -t nat
Denk bei Gelegenheit weiterhin daran, tcpdump zur traffic-Analyse
einzusetzen (meine vorherige Mail).
KH
Reply to: