Konfiguration Firewall (Nachtrag) + NAT

[Burkhard Obergöker]

Ron Opitz schrieb:
> Problem ist bloß andersrum auch. Ich kann den Rechner 172.31.30.33
> von 192.168.10.2 anpingen. Obwohl doch POSTROUTING -o eth1 gesetz ist,

Das ist OK. Masqueradung ist eine *Zusatzfunktion*, und behindert nicht
das normale Routing. Deshalb soltest Du für Dein Intranet auch die
"privaten" (nach RFC-1918) Adressen benutzen, weil die im Internet nicht
geroutet werden dürfen. 
Auch aus diesen Gründen sollte eine Firewall nicht *direkt* am Internet
hängen, sondern nur über einen vorgeschalteten Router, der vorher die
bösen Zieladressen wegfiltert.

BTW: Hat mal jemand ausprobiert, ob man über die PREROUTING-Kette solche
Sachen ausfiltern kann? Die Tabelle "filter" gibt's hier ja nicht. Meine
Idee wäre, sowas via DNAT auf einen nicht verwendeten Port ins Nirwana
zu schicken, hab's aber nicht ausprobiert.

Burkhard


-- 
Burkhard Obergöker                               Universität Bielefeld
Dipl. Ing.                                       Universitätsstr. 25
Tel. 0521/106-4160                               33615 Bielefeld
burkhard.obergoeker at uni-bielefeld.de