Iptables Problem

[Bible Black]

Wo hast du Wireshark angeschmissen, auf dem Router oder auf dem Rechner dahinter, der die Zeitüberschreitung bekommt?

...

Auf dem Router. ;)

Naja, nach dem ich mir noch mal man iptables angeguckt habe, hät' ich mir am liebsten selbst in Gesicht geschlagen.

Code:

iptables -F -t nat
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Hätte eigentlich

Code:

iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

lauten müssen. :\ Jetzt läuft das Script auch brav zusammen mit Squid als Transp. Proxy und SquidGuard als Web-Filter. Jetzt müsste ich nur mal paar drops machen...

[dead_orc]

Auf dem Router.

Naja, nach dem ich mir noch mal man iptables angeguckt habe, hät' ich mir am liebsten selbst in Gesicht geschlagen.

Code:

iptables -F -t nat
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Hätte eigentlich

Code:

iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

lauten müssen. Jetzt läuft das Script auch brav zusammen mit Squid als Transp. Proxy und SquidGuard als Web-Filter. Jetzt müsste ich nur mal paar drops machen...

...

Okaaaay... Ich wusste, dass ich das -t nat immer direkt hinter iptables schreibe, ich wusste aber nicht, dass es Pflicht ist. Auch wenns Sinn macht, da iptables die Commandline IIRC sequenziell abarbeitet.

Anyway, was ich noch zu DROPs sagen wollte: Denk drüber nach, ob du DROP oder REJECT benutzen willst. REJECT ist in vielen Fällen praktischer, da es eine (sinnvolle?) Fehlermeldung zurück liefert und man nicht auf ein Timeout warten muss. DROPs sorgen mit Pech einfach nur dazu, dass die Software es weiter versucht, während ein "Port unreachable" die Software (welche auch immer) eher dazu bringen sollte, aufzugeben.