Hallo! Ich habe folgendes Problem mit dem NAT (SNAT / DNAT): Es gibt mehrere öffentliche Adressen, die am Linux-Router (SuSE 10.0) anstehen. Eine für den Router, die anderen sollen ins interne Netz weitergeleitet werden. Diese wenigen privilegierten Rechner im internen Netz sollen dann auch diese weitere öffentliche IP-Adresse für ihre Verbindungen nach außen benutzen, die anderen gehen ganz normal über Masquerading über die Router-Haupt-IP-Adresse hinaus. Bei SuSE 9.0 hat das auch noch problemlos funktioniert, bei 10.0 bekomme ich aber folgende Fehler: # ip route add nat 1.2.3.4 via 10.10.99.213 RTNETLINK answers: Invalid argument # ip rule add prio 320 from 10.10.99.213 nat 1.2.3.4 Warning: route NAT is deprecated (...unter der Annahme, dass 1.2.3.4 die 2. ext. Adresse mit der Subnet-Mask 255.255.255.224 ist. Das Linux-Gateway selbst hat in diesem Fall z.B. 1.2.3.3 und der Provider-Router 1.2.3.2) irgendwo (http://mailman.ds9a.nl/pipermail/lartc/2004q3/013674.html) habe ich gelesen: IP_ROUTE_NAT is broken on 2.6 and was removed in 2.6.9-rc1, you should switch to netfilter NAT. Apparently there is also a stateless NAT target floating around somewhere, although I've never seen it. Dann habe ich es mit "iptables" versucht: iptables -t nat -A PREROUTING -d 1.2.3.4 -j DNAT --to-destination 10.10.99.213 iptables -t nat -A POSTROUTING -s 1.2.3.4 -j SNAT --to-source 10.10.99.213 Das hat er zwar ohne Murren akzeptiert, funktioniert hat es aber auch nicht. Ich sah nur ARP-Requests am ext. Netz nach dieser IP-Adresse (1.2.3.4), der Router antwortete aber nicht darauf, da er sich anscheinend nicht dafür zuständig fühlte. Um SNAT/DNAT verwenden zu können, brauche ich da für jede dieser weitergeleiteten Adressen ein virt. Interface am ext. Port? (War bei SuSE 9.0 und "ip route add nat..." nicht notwendig) Auch das habe ich versucht: ip addr add 1.2.3.4/27 dev eth0 Dann nimmt der Linux-Router zwar die ARP-Requests entgegen, sendet aber ICMP-unreachable zurück, ohne irgendwelche Pakete nach innen weiterzuleiten. Von innen wird auch nach wie vor die Haupt-Adresse des Gateways nach außen hin benutzt. Momentan verwende ich den Original-SuSE-Kernel, was wenn möglich auch so bleiben sollte. Mit einem 2.6.14.3-Kernel hat's übrigens genausowenig funktioniert. Habt Ihr da eine Idee? Danke im voraus für Eure Hilfe, Günther