Mihaly Zachar <[EMAIL PROTECTED]> wrote: > Kiss Gabor wrote: [...] >> A NAT router nem tartja nyilvan a kimeno csomag destination addresset, >> ezert aztan nincs is mivel osszehasonlitania a bejovo csomag >> source addresset. > > szerintem nyilvan tartja a csomag destination addresset... > legalabbis a linux igen, cisco is tudtommal, talan olcso home router-ek > implementacioja megengedi ezt az "aprosagot". > > bocs, nem olvastam el a linket amit irtal, nincs idom, de nezz bele a > /proc/net/ip_conntrack tablaba...
Ha jól tippelek, ez arra kell, hogy a tűzfalban az ESTABLISHED és a RELATED szabályok működjenek. Ha nincs semmi szűrés a NAT-oló gépen, akkor ha véletlenül rátalálnak a nyitott portra, akkor bejöhet a csomag. Ezért kellenek egy ilyen jellegű szabályok: -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ! ppp0 -m state --state NEW -j ACCEPT -A FORWARD -j DROP Bye,NAR _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux