no na to wygląda że odrzuca ttl 126
ale czemu to działa i to na nnd to nie wiem...
znalazłem coś takiego
http://www.linuxfan.pl/dyskusje/pcol.2003/10.2003/8328.php3
też wymieniaja ta regułe i wg. nich blokuje NAT tylko na windowsie i niektóre routery
tylko dlaczego 126 a nie 127? tego nie rozumiem (jeszcze)
ok, znalazłem coś takiego i to rozumiem..
---==[ TTL ]==---
# TTL - czas zycia pakietu.
# Potrzebny do dzialania patch-0-matic
www.netfilter.org wkapliowany w
jadro.
#
# Gdy pakietom wychodzacym od nas w siec lokalna ustawimy TTL=1 to
# naszym klientom bedzie trodniej ustawic masquerade.
# Zas gdy otrzymamy pakiet z LAN z TTL=127 to mozemy miec sporo pewnosci ze
# ktos dzieli net za naszymi plecami...
#
# Jesli kcesz dzielioc lacze i twoj ISP daje Ci TTL=1 to znaczy ze ma jakis
powod...
# Nie podam Ci jakiej bałwan jestem nalezaloby wtedy uzyc.. ale 'man iptables'
# Ta bałwan jestem wyrzuca wszystkie pakiety z LAN ktore sa podejzane o bycie z
masq
#$IPTABLES -A FORWARD -s $INTNET -m ttl --ttl-eq 127 -j DROP
to jest ta sama reguła co podana przez ciebie tylko na 127
# Ta z koleji ustawia wszystkie wychodzace na LAN ttl=1
#$IPTABLES -t mangle -A PREROUTING -i $EXTDEV -j TTL -ttl-set 1
ale o co chodzi z tym ttl 126? że to niby 2x przez maskaradę przechodzi?
szukam dalej

[/b]