Hallo Martin, deine Regeln sind falsch bzw. nur halb richtig :-) Du brauchst für sowas keine Output-Regeln, da die Pakete ja nicht vom lokalen Rechner selbst erzeugt werden. Es ist also mehr ein Denkfehler, folgende Regeln sollten funzen (allgemeine Schreibweise): iptables -t nat -A PREROUTING -i $ExternalNetworkDevice -p $Forward_Protokoll --dport $Forward_Dienst -j DNAT --to $Forward_Host iptables -I FORWARD -i $ExternalNetworkDevice -o $InternalNetworkDevice -p $Forward_Protokoll --dport $Forward_Dienst --sport $HighPorts -d $Forward_Host -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $ExternalNetworkDevice entspricht deiner externen Netzwerkkarte. $InternalNetworkDevice entspricht deiner internen Netzwerkkarte. $Forward_Protokoll ist hier TCP bzw. UDP. $Forward_Dienst ist die jeweilige Portnummer. $Forward_Host ist der Rechner, an den es weitergeleitet werden soll. Alles klar? Gruß Sebastian www.wolfgarten.com