# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 10 packets, 606 bytes)
pkts bytes target prot opt in out source destination
17 1122 postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0
8 490 zone_lan_nat all -- * br-lan 0.0.0.0/0 0.0.0.0/0
3 164 zone_lan_st_nat all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
6 468 zone_wan_nat all -- * pptp-A1 0.0.0.0/0 0.0.0.0/0
# iptables -t nat -nvL postrouting_rule
Chain postrouting_rule (1 references)
pkts bytes target prot opt in out source destination
# iptables -t nat -nvL zone_lan_nat
Chain zone_lan_nat (1 references)
pkts bytes target prot opt in out source destination
# iptables -t nat -nvL zone_lan_st_nat
Chain zone_lan_st_nat (1 references)
pkts bytes target prot opt in out source destination
# iptables -t nat -nvL zone_wan_nat
Chain zone_wan_nat (1 references)
pkts bytes target prot opt in out source destination
6 468 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0
>ping -c 4 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 2 packets, 116 bytes)
pkts bytes target prot opt in out source destination
4 248 postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 zone_lan_nat all -- * br-lan 0.0.0.0/0 0.0.0.0/0
3 164 zone_lan_st_nat all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
1 84 zone_wan_nat all -- * pptp-A1 0.0.0.0/0 0.0.0.0/0
# iptables -t nat -nvL postrouting_rule
Chain postrouting_rule (1 references)
pkts bytes target prot opt in out source destination
# iptables -t nat -nvL zone_lan_nat
Chain zone_lan_nat (1 references)
pkts bytes target prot opt in out source destination
# iptables -t nat -nvL zone_lan_st_nat
Chain zone_lan_st_nat (1 references)
pkts bytes target prot opt in out source destination
# iptables -t nat -nvL zone_wan_nat
Chain zone_wan_nat (1 references)
pkts bytes target prot opt in out source destination
1 84 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0
mike85 hat geschrieben:spaĂź beiseite- hast du vielleicht eine idee, was da abgeht?
zid hat geschrieben:ja, nur in deinem bunti ist die policy fürs forwarding der lan zone auf reject gesetzt, und da mußt du die policy mit einer inter-zone rule lan -> wan overrulen, weil sonst die pakete gar nicht rausgehen, unabhängig davon, ob jetzt maskiert wird oder nicht.
bei mir hingegen steht die zone policy vom lan auf accept, und pakete gehen ja auch ins wan (s. bunti openwrt1209_zbfw_ping_no_masq.png, die trace wird am *tg* gezogen, die pings haben den tp-link bereits verlassen), nur werden sie halt nicht maskiert. und um das masquerading zu aktivieren, muß ich eben eine zusätzliche und überflüssige accept rule (genaugenommen is es auch eine subchain "zone_wan_ACCEPT") in der subchain zone_lan_forward (die sitzt in der filter! table) setzen...
zid hat geschrieben:das is klar.
du weiĂźt aber eh, daĂź openwrt einen telnet- und ssh-client hat. du kannst auch mit dem telnet-client aufs st gehen. das nervige is halt, daĂź man zuerst auf die shell des router gehen muĂź, um dann von dort aus den telnet-client anzuwerfen. doppelt gemoppelt...
Velociraptor hat geschrieben:In der neuen Version von OpenWRT 15.05 wird zusätzlich noch das Paket kmod-nf-nathelper-extra benötigt wie nach langer suche hier gefunden https://dev.openwrt.org/ticket/19370
Mitglieder in diesem Forum: Google [Bot] und 30 Gäste