Hallo, Andreas Kretschmer <[EMAIL PROTECTED]>:
>Örks. Nun bin ich verwirrt: >Die Sache funktioniert Out-of-The-Box, wenn ich Masquerading für das >Netz einschalten. Will ich aber eher nicht. Muß ich das zwingend? Das erhärtet den Verdacht, dass es auf dem Router mehr iptables-Regeln als nur die genannte gibt. Falls Du Filterregeln mit Connection Tracking (-m state) verwendest, dann ist Dein Netz möglicherweise empfindlich gegenüber asymmetrischem Routing. Genau das bekommst Du aber mit der genannten DNAT Regel, denn die Antwortpakete des Proxy-Rechners gehen nicht über den Router. Eine mögliche Abhilfe ist, die Client-Zugriffe gegenüber dem Proxy-Rechner zu MASQUERADEn. Sie hat aber den Nachteil, dass man im Proxy-Log die Quelle der Anfragen nicht mehr sieht. Eine andere Möglichkeit ist ein ACCEPT für alle Pakete mit "-i $INTDEV -o INTDEV" (ohne -m state). Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
