Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein match):
Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=33085 SEQ=1048000056 ACK=1050690244 WINDOW=5792 ACK SYN URGP=0
^^^^^^^^^^^^^^ ^^^^
Das ACK-Bit (Best�tigung) und die ACK-ID sind gesetzt, damit ist kein Verbindungsaufbau-Paket mehr (--state=NEW), sondern ein Paket einer etablierten TCP-Verbindung (--state=ESTABLISHED).
Nein, die Verbindung gilt erst dann als aufgebaut wenn nach dem Versenden von SYN,ACK ein ACK zur�ckgekommen ist. Da das SYN,ACK nicht durchkommt, kann auch kein ACK zur�ckkommen... Damit Du Dich nicht �rgerst habe ich mal eben umgestellt auf "--state NEW,ESTABLISHED,RELATED". Ohne Erfolg.
Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf
"--state NEW" pr�fen.
Was hat IPSec damit zu tun?
Das ist Teil der Problembeschreibung. Wenn Du mir diese Frage beantworten kannst, w�re ich sicher einen Schritt weiter.
-- Mit freundlichen Gruessen Bjoern Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
