Verständnisproblem Paketfilter Linux 2.4.x

[Hauke Homburg]

Guten Abend,

Ich brauche mal eine Erklärung für folgenden Sachverhalt:

Ich habe vom Provider mehrere IP Adrssen zugewiesen bekommen. 4 Stück an der 
Zahl. Weiter habe ich einen ASUS Router auf dem nun ein openwrt Image mit 
Kernel 2.4 läuft. Der Router ist folgendermassen konfiguriert:

1 VLan zum Device PPP0 gemappt.
1 VLan ist zum Device des internen Lans gemappt.
1 VLAn ist zum Device der DMZ gemappt.

Der Internet Zugriff etc funktioniert. Des internen Lans. Das wird per NAT 
nach draussen geführt

 Die Forwadingrule steht per Policy auf DROP.
Wenn ich nun ein simples Ping von extern auf die interne IP des DMZ Lans 
mache, also die Gateway IP klappt alles. Ich bekomme Antowort. Wenn ich den 
eigentlichen Server in der DMZ anpinge bekomme ich keine Antwort.
Wenn ich vom Server in der DMZ das PPP0 Device anpinge bekomme ich Antwort. 
Wenn ich eine externe IP Anpinge bekomme ich keine Antwort. Der externe 
Server war z.b. heise.

Wenn ich nun aber die FORWARD Policy auf ACCEPT stelle klappt alles mit dem 
Ping. Ich komme von aussen rein und von innen nach draussen. Wie sicher das 
ganze ist steht auf nem anderen Blatt.

Was mich an der Sache wundert ist die tatsache, dass ich bei einem DROP der 
Forward Policy immernoch das das Device der anderen Seite anpingen kann. 
Sprich von intern das PPP0 Device welches zwar noch zum Router gehört, 
alllerdings nach meinem Verständnis des Pakerfilters schon auf der unsicheren 
Internet Seite liegt, da es ja Bestandteil der PPP Verbindung zum Provider 
ist. Andersrum klappt das auch, sprich ping von extern auf das interne DMZ 
Device. der Rest im DMZ ist allerdings nicht zu erreichen. Oder habe ich da 
nen Denkfehler drin?

grüße

Hauke