Protokolle

Jan-Benedict Glaw jbglaw at lug-owl.de
Fri Mar 14 16:08:02 CET 2003 

On Fri, 2003-03-14 15:59:24 +0100, Benedikt Wildenhain <liste-lug-owl.de at benedikt-wildenhain.de>
wrote in message <20030314145924.GA909 at mars.benedikt-wildenhain.de>:
> Hallo Florian,
> hallo Liste,
> 
> On Fri, Mar 14, 2003 at 01:23:49PM +0100, Florian Lohoff wrote:
> > ICMP ist extrem wichtig fuer das funktionieren des internet - Echo-reply
> > ist dabei eines der wenigen die die nutzer kennen. Fuer traceroute sind 
> > "port unreachable" und "host unreachable" wichtig. Fuer die "Path MTU
> Und wenn ich nur interne IPs in meinem Netz hinter dem Paketfilter habe?
> Da hat keiner nach innen zu tracerouten.

Von außen kann man so ohne weiteres nicht in Dein "internes 192.168.x.y"
Netz. Darum geht es aber auch nicht. _Du_ brauchst all die
ICMP-Päckchen, die an _Dich_ wegen Aktionen, die _Du_ gestartet hast,
zurückgeschickt werden. Sonst bekommst Du nämlich die Hälfte nicht
mit...

> > Discovery" ebenfalls "host unreachable" mit subcode "Fragmentation
> > Needed".
> Welche lassen sich den auch mit schaedlicher Wirkung einsetzen? Ich muss
> zugeben, dass ich mich mit icmp nicht wirklich gut auskenne, aber
> sind z.B. icmp-Redirects (afaik dienen die dazu einen Rechner
> anzuweisen, einen anderen Router zu benutzen) nicht bei ppp-Verbindungen
> ziemlich nutzlos oder erkennt Linux das schon selbststaendig? Wie sieht
> es mit weiteren icmp-Befehlen aus?

Auch in ICMP redirekt hat seine Aufgabe. Die Frage ist aber, wer Dir so
ein Ei in Dein Netz schicken können will, wenn Du dafür nicht explizit
zusätzlich z.B. Tunnel nach außen aufbaust...

UDP und TCP zu filtern, das ist eine Sache. ICMP und IP zu filtern eine
andere... Filtert mal alle schön das böse ICMP weg. Was das bringt
werdet Ihr merken, wenn's mal im Netz hakt... Das gilt insbesondere für
die Nutzer von "Personal Firewalls", die damit auch den gütigsten Admin
zur Verzweifelung bringen können.

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
      ret = do_actions((curr | FREE_SPEECH) & ~(IRAQ_WAR_2 | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20030314/3f9d0186/attachment.sig>

More information about the Linux mailing list