Hallihallohallöchen! ;-) Nachdem ich nun meinen Rechner wieder soweit hab', dass mit dem 2.4.4er Kernel neben meinem USB-Scanner auch iptables funktioniert, hab' ich mir auch schon die ersten firewall-scripts gebaut. Die Dinbger schalgen voll durch. Egal, ob ich nun meinen selbstgestrickten verwende, oder einen aus den div. Vorlagen. Ich schaffe es hervorragend die DNS-Anfragen abzuwürgen. Das ist natürlich nicht im Sinne des Erfinders. Anpingen kann ich den DNS z.B.: bigchief@server:~ > ping 194.25.2.129 PING 194.25.2.129 (194.25.2.129): 56 data bytes 64 bytes from 194.25.2.129: icmp_seq=0 ttl=250 time=76.055 ms 64 bytes from 194.25.2.129: icmp_seq=1 ttl=250 time=75.011 ms 64 bytes from 194.25.2.129: icmp_seq=2 ttl=250 time=74.728 ms --- 194.25.2.129 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 74.728/75.264/76.055 ms Versuche ich aber z.B. t-online.de anzupingen geht's daneben ... :-( bigchief@server:~ > ping t-online.de ping: unknown host: t-online.de Die Regeln nach dem setzen meines fw-scriptes sind dann z.B. für den DNS wie folgt: bash-2.05# /usr/sbin/iptables -vLC Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source 0 0 ACCEPT udp -- any eth1 anywhere 212.185.252.201 state NEW udp spts:1024:65535 dpt:domain 0 0 ACCEPT tcp -- any eth1 anywhere 212.185.252.201 state NEW tcp spts:1024:65535 dpt:domain 0 0 ACCEPT udp -- any eth1 anywhere 194.25.2.129 state NEW udp spts:1024:65535 dpt:domain 0 0 ACCEPT tcp -- any eth1 anywhere 194.25.2.129 state NEW tcp spts:1024:65535 dpt:domain Im Grund ist es ja ganz einfach, mit meiner Konfiguration, aber anscheinend stolpere ich mal wieder über meine eigene Dummheit! ;-) Ich hab zwei NICs: eth0 = T-DSL eth1 = intranet (192.168.10.0) Mein schönes dickes Firewall Buch von SuSE hilft mir im Moment auch nicht weiter. Aber vielleicht hat ja einer den entscheidenden Tip für mich ... Pfiadseich! BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org