[linux-l] firewall, iptables -i lo

Peter Ross Peter.Ross at alumni.tu-berlin.de
Di Feb 6 00:30:17 CET 2007


Hi Ivan,

> Meinst Du
>    external_interfaces="eth0 eth1"
>    for i in $external_interfaces; do 
>        /sbin/iptables -t nat -i ppp0 -o $i -A POSTROUTING -j MASQUERADE
>    done

Wenn ppp das externe Interface ist, dann nur
  /sbin/iptables -t nat -o ppp0 -A POSTROUTING -j MASQUERADE

Das heisst, das alles ueber ppp0 ausgehenden Verbindungen die IP-Adresse 
von ppp0 bekommen ("masquerading", anderswo zumeist NAT, Network Address 
Translation, genannt.)

So wird sichergestellt, dass der Empfaenger (z.B. ein Webserver), eine 
externe, weltweit eindeutige, Adreese sieht, an die er Pakete 
zurueckschicken kann.

Diese Pakete werden dann automatisch an den internen Rechner 
weitergeleitet, der diese Verbindung aufgebaut hat (z.B. ein lokaler 
Client, auf der ein Webbrowser laeuft).

Dafuer sorgt eine dynamische Verbindungstabelle, in der sich die 
Firewallmaschine merkt, welche Pakete vom einem internen Client und 
internen Port in Pakete eines bestimmten externen Ports verwandelt wurden.

Diese Zuordung aendert sich fuer eine aufgebaute Verbindung nicht, 
Eintrage werden geloescht, wenn die Verbindung beendet wurde (bzw. nach 
Timeouts, wenn z.B. eine Seite abgestuerzt ist).

Entschuldigung, mein erstes Posting hat das "-o" ganz vergessen.

Gruss
Peter



Mehr Informationen über die Mailingliste linux-l