Griasde Andreas, also ich denke mal ich bin ein kleines Stückchen näher an der Lösung! ;-) Also in meinem eigentlichen firewall-script hab' ich für den DNS folgendes eingetragen: # DNS foreach ns ( $NS ) $IPTABLES -A FORWARD -o $EXT -m state --state NEW \ -p UDP --sport $p_high -d $ns --dport domain \ -j ACCEPT $IPTABLES -A FORWARD -o $EXT -m state --state NEW \ -p TCP --sport $p_high -d $ns --dport domain \ -j ACCEPT end Damit gehen keine DNS-Anfragen von dem Rechner an dem ich sitze, das ist der Router/server in meinem Netzwerkchen. Ändere ich das nun ab in: # DNS foreach ns ( $NS ) $IPTABLES -A OUTPUT -o $EXT -m state --state NEW \ -p UDP --sport $p_high -d $ns --dport domain \ -j ACCEPT $IPTABLES -A OUTPUT -o $EXT -m state --state NEW \ -p TCP --sport $p_high -d $ns --dport domain \ -j ACCEPT end Kann ich DNS-Anfragen machen. sprich t-longline anpingen. Also sag' ich mir mit dem Target MASQUERADE haut da 'was nicht so hin, wie es eigentlich soll, oder? Könnte es sein, daß es an dem Kernel-Modul iptable_nat liegt, ich hab' das nun mal explizit noch dazu geladen und siehe da, der ping zu t-online geht nun auch mit der "richtigen" DNS-Regel! :-) Mal sehen, ob und wie der Rest nun funktioniert. Ich meld' mich dann gleich nochmals ... Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org