am Thu, dem 13.11.2003, um 17:14:13 +0000 mailte Harald Weidner folgendes: > Hallo, > > Andreas Kretschmer <andreas.kretschmer@schollglas.com>: > > >Örks. Nun bin ich verwirrt: > >Die Sache funktioniert Out-of-The-Box, wenn ich Masquerading für das > >Netz einschalten. Will ich aber eher nicht. Muß ich das zwingend? > > Das erhärtet den Verdacht, dass es auf dem Router mehr iptables-Regeln > als nur die genannte gibt. Ja. > > Falls Du Filterregeln mit Connection Tracking (-m state) verwendest, > dann ist Dein Netz möglicherweise empfindlich gegenüber asymmetrischem > Routing. Genau das bekommst Du aber mit der genannten DNAT Regel, denn > die Antwortpakete des Proxy-Rechners gehen nicht über den Router. Jo, das wird es sein. Danke für die Erklärung. > > Eine mögliche Abhilfe ist, die Client-Zugriffe gegenüber dem Proxy-Rechner > zu MASQUERADEn. Sie hat aber den Nachteil, dass man im Proxy-Log die Quelle > der Anfragen nicht mehr sieht. Eine andere Möglichkeit ist ein ACCEPT für > alle Pakete mit "-i $INTDEV -o INTDEV" (ohne -m state). Ja, das probiere ich. Ähm, wo, in INPUT? Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Attachment:
pgp5Lg2Iz8TrM.pgp
Description: PGP signature