Protokolle

Florian Lohoff flo at rfc822.org
Fri Mar 14 18:05:02 CET 2003 

On Fri, Mar 14, 2003 at 03:59:24PM +0100, Benedikt Wildenhain wrote:
> Hallo Florian,
> hallo Liste,
> 
> On Fri, Mar 14, 2003 at 01:23:49PM +0100, Florian Lohoff wrote:
> > ICMP ist extrem wichtig fuer das funktionieren des internet - Echo-reply
> > ist dabei eines der wenigen die die nutzer kennen. Fuer traceroute sind 
> > "port unreachable" und "host unreachable" wichtig. Fuer die "Path MTU
> Und wenn ich nur interne IPs in meinem Netz hinter dem Paketfilter habe?
> Da hat keiner nach innen zu tracerouten.

Da _kann_ keiner nach innen tracerouten - Weil masquerading. Da du
masqueradest ist die diskussion um firewall eh hinfaellig da nur der
rechner der masqueraded ueberhaupt von aussen erreichbar ist.
 
> > Discovery" ebenfalls "host unreachable" mit subcode "Fragmentation
> > Needed".
> Welche lassen sich den auch mit schaedlicher Wirkung einsetzen? Ich muss
> zugeben, dass ich mich mit icmp nicht wirklich gut auskenne, aber
> sind z.B. icmp-Redirects (afaik dienen die dazu einen Rechner
> anzuweisen, einen anderen Router zu benutzen) nicht bei ppp-Verbindungen
> ziemlich nutzlos oder erkennt Linux das schon selbststaendig? Wie sieht
> es mit weiteren icmp-Befehlen aus?

Auch redirects sind sinnvoll - Und so lange niemand da mist baut sollte
man die anlassen - Andernfalls kann es schonmal zu sehr seltsamen
auswuechsen was das routing angeht kommen. Die redirects biegen da im
noemalfall mehr gerade als kaputt.

Weiterhin kannst du die interfacespezifisch ausschalten:

flo at paradigm:~$ cat /proc/sys/net/ipv4/conf/eth0/accept_redirects
1

Ach ja - Und da du nattest bzw masqueradest ist das mit dem filtern eh
hinfaellig da pakete von aussen eh nicht nach innen durchkommen wuerden.

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-5201-669912
                        Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 232 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20030314/1a64bb3c/attachment.sig>

More information about the Linux mailing list