* Donnerstag, 30. August 2001 um 21:24 (+0200) schrieb Michael Nausch:
[ FAQ-werte Beschreibung der Netfilter-Ketten :-) ]
POST-REGEL : Im Firewall-Script wird "Masquerading" mittels ( $IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE ) eingeschaltet; somit werden Pakete, die den Router via ppp0 verlassen maskiert, Die rückwärtige Richtung wird über das Kernel-Modul ip-conntrack automatisch Adressmäßig wieder umgeschrieben, so daß das Paket zum "verursachenden" Host zurückgeschickt wird.
Das soll jetzt keine Klugscheisserei sein, aber dein Beitrag ist zu gut, um hier eine Ungenauigkeit "durchzulassen": Für das Masquerading in *beide* Richtungen sind ausschliesslich die "nat"-Module zuständig. Mit den "conntrack"-Modulen können die Pakete "lediglich" auf die Zustände "NEW", "ESTABLISHED","RELATED" und "INVALID" geprüft werden.
Na denn, wie Meister Röhrich sagen würde "Na denn Prost ...!"
*Plopp* "Hau wech..." Gruß Andreas -- Andreas Könecke "Andreas Koenecke <akoenecke@akoenecke.de>" PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --