Hej Magnus! Ditt problem är rätt vanligt, men till att börja med skall jag förtydliga att detta inte är ipchains utan netfilter som ställs in med kommandot iptables. Ipchains har jag för övrigt obefintliga kunskaper om. För att vara ännu lite petigare så har du ett "allvarligt" problem i din brandvägg som öppnar upp möjligheten för en illasinnad person att köra godtyckligt UDP program på din dator 192.168.0.12 (vesta) på port 80. HTTP protokollet går nämligen enbart över TCP för att tillhandahålla en webbsida. Så till ditt problem. Du har redan fått ett par förslag på hur du kan lösa ditt problem med alt. 1 så det kommer jag inte kommentera. Däremot har du inte fått några förslag på hur du löser problemet med alt. 2. Detta tänker jag försöka förklara för dig och listan. Om någon har några andra åsikter, eller om jag missförstått något själv, så rätta mig gärna :-) Grundproblemet till att det inte fungerar med din externa adress inne ifrån ditt LAN är att du bara routar från $OUTSIDE. Om du väl hade routat från $INSIDE också så hade det ändå inte fungerat. Varför frågar du dig säkert. Svaret är lite komplicerat men jag skall försöka förklara. När du försöker surfa till tex http://wiki.ihse.net/ så kommer först en förfrågan till din DNS om vad wiki.ihse.net har för ipadress, svaret blir då "77.110.63.65" (din externa adress). Vidare kommer din webbläsare att försöka ansluta till just 77.110.63.65, eftersom du DNAT:at, Destination Network Address Translation, in denna till vesta kommer vesta i sin tur få en förfrågan på port 80 med avsändare satt till den dator du surfade ifrån och svaret på förfrågan skickas dit. Så långt har allt gått "rätt" till, men när svaret når den dator du surfar ifrån kommer denna att slänga paketet som "ogiltigt" då den inte räknade med att svert skulle komma från 192.168.0.2 (vesta) utan från 77.110.63.65 (routern). Lösningen till det här är att köra något som heter SNAT, Source Network Address Translation, på routern som gör i princip samma sak som DNAT, fast motsatt. Det DNAT åstadkommer är att den översätter vilken ip som förfrågan egentligen skall till, i ditt fall 192.168.0.2. SNAT berör istället varifrån förfrågan kom. Om du skulle köra det på din router skulle det innebära att även om du surfade från, låt säga 192.168.0.123 så skulle vesta (måldatorn) inte se detta utan istället din routers ipadress. Nedanstående skiss är en princip skiss över hur paketen går i ditt LAN. Utan SNAT: webbklient -> router -> vesta -> webbklient Med SNAT: webbklient -> router -> vesta -> router -> webbklient Hoppas detta gjorde dig/er klokare. Mvh, Torbjörn Svensson Quoting Magnus Ihse Bursie <magnus@ihse.net>:
Jag blir inte klok på hur jag ska göra för att få till det här. Någon som kan hjälpa till?/Magnus
---------------------------------------------------------------- This message was sent using IMP, the Internet Messaging Program.
Attachment:
pgpaWTYioy4cZ.pgp
Description: PGP Digital Signature