[linux-l] Re: [linux-l] Re: [linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wie =?ISO-8859-1?B?ZGVyIHp1cvxjayBpbnMgTEFOPw=

Peter Ross Peter.Ross at alumni.tu-berlin.de
Mo Jul 14 10:40:41 CEST 2003


Hi,

On Mon, 14 Jul 2003, Schlomo Schapiro wrote:

> ja, ich hab auch sowas am laufen, mit einer dynamischen IP am external IF.
> Ich musste dann auch ein DNAT für Pakete aus dem LAN zum Webserver
> aufsetzen, kombiniert mit einem SNAT auf das gleiche, damit die Pakete den
> gleichen Weg zum Browser zurückgehen (infos aus dem iptables-HowTo).

> in POSTROUTING:
> target     prot opt source               destination
> SNAT       tcp  --  192.168.0.0/16       <webserver>           tcp dpt:https to:<webserver>

Da die Verbindung von den LAN-Computern aufgebaut wird, sollte das SNAT
ueberfluessig sein, da der Firewall die Verbindungen ohnehin cachen
muss. Wie soll er sonst wissen, an welchen der "maskierten" Rechner er
das Paket an die externe Adresse geschickte Paket zurueck schicken soll?

Daher wird das zurueckgeschickte Paket automatisch "zurueckmaskiert".

Zumindest habe ich etliche Verbindungen ohne explizites SNAT fuer den
"Rueckweg" umgeleitet und es hat bis jetzt immer funktioniert.

Es gruesst
Peter




Mehr Informationen über die Mailingliste linux-l