[fli4l] Grundsätzliche Frage zu iptable
Christoph Schulz
fli4l at kristov.de
Mi Jul 9 20:39:26 CEST 2014
Hallo!
Du brauchst prinzipiell zu jeder PREROUTING-Regel eine passende FORWARD-
Regel, wenn du möchtest, dass deine Pakete auch ankommen -- PREROUTING
bedeutet nicht, dass FORWARD außer Kraft gesetzt wird. Allerdings gilt, dass
a) der fli4l die passende FORWARD-Regel automatisch selbst erzeugt (in der
Kette PORTFWACCESS -- rufe "iptables -vnL PORTFWACCESS" auf deinem fli4l
auf, um zu sehen, was da genau drin steht) und
b) in der FORWARD-Regel die _neue_ Zieladresse verwendet werden muss, nicht
die originale (denn PREROUTING schreibt die Zieladresse ja um, dafür ist es
da).
Warum du ein Problem hast, weiß ich nicht. Jedenfalls führt PREROUTING wie
gesagt _nicht_ dazu, dass FORWARD-Regeln nicht greifen. Man muss nur die
umgeschriebenen Adressen verwenden (was du allerdings getan hast).
Aber Peter hat schon Recht: PORTFW ist ein Anachronismus, und ich müsste
jetzt auch im Detail nachschauen, was damals da bei der Umsetzung von PORTFW
in iptables-Regeln genau passierte.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L