Ich verstehe das nicht. Warum sind die Anzahl der Packete, die die LOG- Regel passiert, genauso hoch wie die der TCPMSS-Regel? Nach Deinem Änderungsvorschlag habe ich folgende Ergebnisse: FORWARD-Regeln # iptables -L -vn ... Chain FORWARD (policy DROP 32 packets, 1408 bytes) pkts bytes target prot opt in out source destination 32 1408 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 0 0 ACCEPT all -- ppp0 eth0 0.0.0.0/0 192.168.175.0/24 state RELATED,ESTABLISHED 0 0 invalid all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 xmas_scan tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 0 0 null_scan tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 spoofing all -- eth0 * !192.168.0.0/24 0.0.0.0/0 0 0 spoofing all -- ppp0 * 192.168.0.0/16 0.0.0.0/0 0 0 spoofing all -- ppp0 * 172.16.0.0/12 0.0.0.0/0 0 0 spoofing all -- ppp0 * 10.0.0.0/8 0.0.0.0/0 32 1408 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `BLOCKED_F: ' ... # tail -f /var/log/messages ... Jun 30 19:44:02 dslserver kernel: BLOCKED_F: IN=eth0 OUT=ppp0 SRC=192.168.0.10 DST=207.68.185.58 LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=3842 DF PROTO=TCP SPT=1056 DPT=80 WINDOW=60352 RES=0x00 SYN URGP=0 ... Gruß - Robert Torsten Foertsch schrieb:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Saturday 28 June 2003 00:17, Robert Gött wrote:
Hallo SuSE-ISDN-Experten,
ich habe aufgrund des MSS- bzw. MTU-Problems bei DSL-Verbindungen über IP- Masquerading folgende bekannte FORWARD-Firewallregel eingetragen: # iptables -I FORWARD -i eth0 -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
. . 0 0 TCPMSS tcp -- eth0 ppp0 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
Die ersten 2 Nullen bedeuten, dass keine Pakete diese Regel benutzt haben.
Bei mir ist das die erste Regel in der FORWARD chain:
Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 314 18092 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
Vielleicht lässt Du mal -i und -o weg. Ansonsten sind Deine und meine Regel gleich.
Torsten -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQE+/caRwicyCTir8T4RAnY0AJ9N9WNcgukeU+gF8VBCwB+qtPlX7gCeIO+f abkMwBAFSHl4QpwSw9IUe5g= =jv8d -----END PGP SIGNATURE-----
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-isdn-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-isdn-help@suse.com