Vorhin habe ich ein total merkwürdiges Problem festgestellt... was ich mir überhaupt nicht erklären kann. Ich habe einen File-Server mit Samba im Netz laufen, auf dem mit Iptables auch ein Paketfilter installiert ist. Ich habe den Paketfilter lang und breit getestest, damit sich nicht nur die Kabel-PCs verbinden können, sondern auch unsere WLAN-Laptops, sowie die Androids via OpenVPN von 'draußen'. Natürlich klappen auch die WLAN-Laptops via OpenVPN von außerhalb. Auf den ersten Blick also alles gut...
.... aber nur auf den ersten.... und jetzt das verrückte: mein eigenes Android-Smartphone kann innerhalb des LANs (als WLAN-Client) die Sambashares (mit TotalCommander und LAN-Plugin) nur dann öffnen, wenn kein Paketfilter aktiv ist, von außerhalb via OpenVPN hingegen gehts problemlos mit aktiven Paketfilter. Mein Handy hat während der WLAN-Verbindung eine reguläre IP unseres LANs, kann über den Router ins Web und ich kann sogar via Terminal den Server anpingen... und der Server antwortet auch. Aber ich kann keine Samba-Shares öffnen.
Also... ich bin sicher, dass meine Iptables auf dem Server dafür verantwortlich sind. Aber die Laptops können sich ja auch verbinden. Wie unterscheidet sich der Aufbau des Connects zwischen Wlan-Android-Smartphone und Wlan-Debian-Laptop, weil mein Paketfilter das Smartphone drop't, die Laptops aber nicht.
Was wäre das richtige Vorgehen, um das Problem bzw. die Ursache erstmal überhaupt zu verstehen? Ich hätte jetzt auf TCPDump getippt, wüsste aber nicht so recht, wie ich die Ausgaben einschränke, damit das überhaupt lesbar ist.
Hat jemand eine Idee?
Ich gehe mal davon aus, dass es die Policy ist, die ist nämlich default=drop. Das heisst, ich suche jetzt die notwendige Accept-Regel, damit die Verbindung klappt. Vom Prinzip her ist mein Paketfilter nach der Devise aufgebaut, es ist alles verboten, was nicht ausdrücklich erlaubt ist. Das heisst, ich habe Ports und Traffic genau nach Bedarf erlaubt, alles andere wird default gedrop't. Und für die WLAN-Laptops klappt das ja auch, nur für mein S3 nicht... aber eben nur innerhalb des LANs nicht ... via freigegener TUN-UDP-Ports über OpenvVPN wiederum tadellos. 
Für den Samba-Zugriff funktioniert für die anderen WLAN'er dieser Accept, aber für das S3 reicht das wohl nicht:
