* Mittwoch, 29. August 2001 um 22:09 (+0200) schrieb Michael Nausch:
Ändere ich das nun ab in:
# DNS
foreach ns ( $NS ) $IPTABLES -A OUTPUT -o $EXT -m state --state NEW \ -p UDP --sport $p_high -d $ns --dport domain \ -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -m state --state NEW \ -p TCP --sport $p_high -d $ns --dport domain \ -j ACCEPT
end
Kann ich DNS-Anfragen machen. sprich t-longline anpingen.
Ist klar, siehe auch mein anderes Posting... Und für deine Clients brauchst du dassselbe für die FORWARD-Chains.
Also sag' ich mir mit dem Target MASQUERADE haut da 'was nicht so hin, wie es eigentlich soll, oder?
Nein, der Router wird ja gar nicht masqueraded, der hat ja eine offizielle IP. Es müssen nur die Clients masqueraded werden, oder anders ausgedrückt, alle Pakete, die durch die FORWARD-Chain gehen.
Könnte es sein, daß es an dem Kernel-Modul iptable_nat liegt, ich hab' das nun mal explizit noch dazu geladen und siehe da, der ping zu t-online geht nun auch mit der "richtigen" DNS-Regel! :-)
Das Modul 'iptable_nat' wird AFAIK für das Masquarading benötigt. Zur "richtigen" Regel noch mal: Richtig ist: Obige Regeln in der OUTPUT-Chain für die NS-Anfragen des Routers *und* obige Regeln in der FORWARD-Chain für NS-Anfragen der Clients. Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --