Hi, On Tuesday 16 September 2003 21:44, Jan Luehr wrote:
> ich habe ein kleines Problem mit einem Gateway. Um eine Adresse teilweise > umzuleiten habe ich einige Ports mit einem DNAT versehen. > iptables -t nat -A OUTPUT -p tcp --dport 443 -d 195.14.194.6 -j DNAT > --to-destination 192.168.4.2 > > Dieses funktioniert bei Verbindungen vom Gateway aus wunderbar, nur wird > diese Regel von Verbindungen ignoriert die von anderen Computern an das > Gateway kommen. Wo liegt der Denkfehler? IMHO brauchst Du sowas wie: $IPTABLES -t nat -A PREROUTING -p tcp -d 195.14.194.6 --dport 443 -j DNAT --to-destination 192.168.4.2:443 $IPTABLES -A FORWARD -p tcp -d 192.168.4.2 --dport 443 -j ACCEPT Mit iptables durchlaufen Pakete *nicht* mehr alle "builtin chains", also nicht jeweils INPUT, FORWARD, OUTPUT in dieser Reihenfolge. Deswegen musst Du Dein DNAT-Forwarding �ber PREROUTING und FORWARD erledigen. Und deswegen funktioniert auch wohl Deine obige Regel bei ausgehenden Verbindungen, da diese von einem "local process" nur die OUTPUT-Chain durchlaufen m�ssen - und das erlaubst Du. Da Du auf eine "private" IP verweist, wirst Du vermutlich alle ben�tigten Module f�r Firewalling geladen und NAT (Masquerading) bereits korrekt aufgesetzt haben? Anmerkungen willkommen, iptables bringt mich regelm��ig durcheinander.. ;) Gr�sse, Frank -- Frank Trenkamp frank at trenkamp.org GPG fprt: 5A0C 4AE9 74A5 51F0 2D34 E7DC 67FF 32C4 0357 5653 -- lately on /.: > My record is 55 hours of straight coding. Followed, no doubt, by six weeks of debugging. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
