[linux-l] Nochmal iptables und DSL...

[Carsten Posingies]

Hallo!

Vor ner Weile hab ich diese Mail an die Liste geschickt:

Carsten Posingies <neurobasher at gmx.net> schrieb:

> meine Redhat-Kiste ist mein Internet-Gateway und baut im Bootvorgang
> die DSL-Verbinung auf. Vorher werden die iptables-rules scharf
> geschaltet, u.a. die NAT-Regeln fürs ppp0. Hinter der Linux-Box
> hängen zwei Windows-PCs.
>
> Nun das, worum es geht. Wenn die DSL-Verbindung up ist, kann ich
> sofort von der Linux-Kiste aus rauspingen, aber nicht von den
> Windows-Kisten. Um die rauszulassen, muss ich mich erst auf der
> Linux-Kiste einloggen und das iptables-Startscript erneut laufen
> lassen, also die Tables flushen und dann die Rules neu eintragen
> lassen. Es ist exakt das Skript, das beim Booten ausgeführt wird.
>
> Mir hat mal wer gesagt, dass die iptables-Regeln auch vor dem
> Verbindungsaufbau scharf geschaltet werden können. Mir schwant aber,
> dass das wohl doch nicht der Fall ist. Dann müsste ich wohl die Rules
> in zwei Teile trennen, erstmal alles dichtmachen und nur das nötige
> im internen Netz erlauben, und nach dem DSL-Aufbau die NAT-Regeln
> dazu packen.
>
> Jemand nen Tipp für mich?

Hab noch ne Weile rumprobiert, und was ich festgestellt habe, ist dies:

Wenn ich auf der Windows-Kiste einen Ping absetze, löst der bind auf der
Redhat-Box sauber auf, aber der Ping landet im Nirgendwo, wird nicht weiter
geroutet, obwohl die iptables-Regeln das zulassen (also ALLOW all und
MASQUERADE aktiv). Wenn ich dann auf der Konsole der Redhat-Box mit der Hand
ein

echo 1 >/proc/sys/net/ipv4/ip_forward

eintaste, geht der Ping durch. Genau diese Zeile steht aber auch im Script,
das beim Booten ausgeführt wird, und ich habe sonst nix gefunden, was das
wieder abstellen könnte. Ich habe dieselbe Zeile dann nochmal ins rc.local
eingetragen, in der Annahme, dass das Kommando vielleicht möglichst spät
abgesetzt werden sollte, aber Pustekuchen, selbes Verhalten.

Langsam bin ich mit meinem Latein am Ende...

Carsten