On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: > * Andreas Pakulat <[EMAIL PROTECTED]> [20050222 10:02]: > Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem > �ffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet > und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist > normal.
:-( X11-Forward �ber ISDN macht aber keinen Spass... (zum Testen). > �berleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und > Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut, > das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3. > Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er > seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts > anfangen. Sehr vereinfacht, aber das hab ich mir gedacht... > > Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet > > brauche um mein Portforwarding zu testen? > > Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports > mit MASQUERADE oder SNAT auf deine �ffentliche IP "NATten". Das ist > aber kein w�nschenswerter Dauerzustand, weil man so Pakete von innen > nicht mehr von denen von au�en unterscheiden kann. ?? Ich tue momentan folgendes f�rs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Wenn ein Paket ankommt l�uft es durch PREROUTING, dann routet der Rechner das Teil und stellt fest das die Ziel-IP die des ippp0 Inteface ist, und dann denke ich schickt er es nicht an FORWARD sondern an INPUT. Die Frage w�re also nur: Wie bringe ich iptables dazu alle Pakete an INPUT mit --dport 21 nicht anzunehmen sondern wieder nach FORWARD zu schieben? Andreas -- You can do very well in speculation where land or anything to do with dirt is concerned. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
