18.04.2011 18:55, Stephan Schaffner: > Sind die Ausgaben unten Hilfreich?
Ja. Sie bestätigen, was Du bisher über Dein Netzwerk gesagt hast. > root@Server:~# iptables-save > # Generated by iptables-save v1.4.4 on Mon Apr 18 18:53:52 2011 > *nat > :PREROUTING ACCEPT [9041:563318] > :OUTPUT ACCEPT [3153:219911] > :POSTROUTING ACCEPT [135:16452] > -A PREROUTING -i eth1 -p udp -m udp --dport 28960 -j DNAT > --to-destination 192.168.0.61 > -A POSTROUTING -o eth1 -j MASQUERADE Zusätzlich wissen wir jetzt, dass Du masquerading an hast. Gut. > *filter > :INPUT ACCEPT [4179538:5391044267] > :FORWARD ACCEPT [63:2640] > :OUTPUT ACCEPT [2274314:126942605] > -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW > -j ACCEPT > -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT > -A FORWARD -d 192.168.0.61/32 -i eth1 -p udp -m udp --dport 28960 -j ACCEPT Diese drei ACCEPTs wären dann nötig, wenn Du in FORWARD auch mal etwas verbieten würdest, oder DROP als default policy hättest. Aber es schadet in diesem Zusammenhang natürlich auch nicht, Sachen explizit zu erlauben, die sowieso nicht verboten sind. > root@Server:~# route > Kernel-IP-Routentabelle > Ziel Router Genmask Flags Metric Ref Use > Iface > 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 > 109.90.116.0 * 255.255.252.0 U 0 0 0 eth1 > default ip-109-90-116-1 0.0.0.0 UG 100 0 0 eth1 Das erscheint mir auch vernünftig. Ich sehe bisher nichts, was dem Funktionieren des DNAT im Wege stünde. Fragen: 1.) Der Rechner mit der 192.168.0.61 kann über Deinen Router (192.168.0.1) Verbindung zu Geräten im Internet aufbauen? Bspw. ping www.heise.de funktioniert von der Machine aus, d. h. die Antwortpakete kommen zurück? Wenn ich Dein OP richtig interpretiere, müsste die Antwort "ja" lauten... 2.) Was genau meinst Du in Deinem OP mit "kamen keine Pakete an"? Wo kamen keine Pakete an und wie hast Du das festgestellt? 3.) Lass' Dir von außen Pakete an Port 28960 schicken und schau per tcpdump, was passiert (siehe meinen anderen Post). Was geben dann tcpdump -i eth1 port 28960 und tcpdump -i eth0 port 28960 aus? -- Gruß mks -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
