Okaaaay... Ich wusste, dass ich das -t nat immer direkt hinter iptables schreibe, ich wusste aber nicht, dass es Pflicht ist. Auch wenns Sinn macht, da iptables die Commandline IIRC sequenziell abarbeitet.Zitat von Bible Black
Auf dem Router.
Naja, nach dem ich mir noch mal man iptables angeguckt habe, hät' ich mir am liebsten selbst in Gesicht geschlagen.
Hätte eigentlich
lauten müssen.Jetzt läuft das Script auch brav zusammen mit Squid als Transp. Proxy und SquidGuard als Web-Filter. Jetzt müsste ich nur mal paar drops machen...
Anyway, was ich noch zu DROPs sagen wollte: Denk drüber nach, ob du DROP oder REJECT benutzen willst. REJECT ist in vielen Fällen praktischer, da es eine (sinnvolle?) Fehlermeldung zurück liefert und man nicht auf ein Timeout warten muss. DROPs sorgen mit Pech einfach nur dazu, dass die Software es weiter versucht, während ein "Port unreachable" die Software (welche auch immer) eher dazu bringen sollte, aufzugeben.
Zitieren