Protokolle

Florian Lohoff flo at rfc822.org
Fri Mar 14 18:05:10 CET 2003 

On Fri, Mar 14, 2003 at 04:07:28PM +0100, Jan-Benedict Glaw wrote:
> UDP und TCP zu filtern, das ist eine Sache. ICMP und IP zu filtern eine
> andere... Filtert mal alle schön das böse ICMP weg. Was das bringt
> werdet Ihr merken, wenn's mal im Netz hakt... Das gilt insbesondere für
> die Nutzer von "Personal Firewalls", die damit auch den gütigsten Admin
> zur Verzweifelung bringen können.

Man probiere einfach mal folgendes konstrukt bei dsl:

         DSL           ETHERNET
DTAG ----------- PC1 ----------- PC2
      MTU1496          MTU1500


Jetzt zeig mir einer wie er von PC2 auf www.gmx.de zugreift.

Das geht nicht ohne das man auf PC1 massive klimmzuege macht. Das liegt
daran das ein router bei schlund alle ICMP pakete zu www.gmx.de
wegwirft. 

PC2 versucht eine tcp verbindung zu www.gmx.de aufzubauen und meint er
hat eine MTU von 1500 byte. www.gmx.de schickt ein 1500 byte paket und
der letzte DTAG router der das paket nicht weiterschicken kann weil es
zu gross ist (Und im IP Header DF gesetzt hat) dropped das paket und
schickt ein "Destination Unreachable code Must Fragment" zurueck. Soweit
ist das noch in ordnung und nennt sich "Path MTU Discovery". Jetzt
muesste gmx mit 1496 byte anfangen zu schicken. Da aber der Schlund
Router das ICMP paket verwirft kommt das nie bei gmx.de an und die
gmx.de webserver schicken weiter mit 1500 byte pakete die immer
gedropped werden. Und schon ist von PC2 gmx.de nicht mehr erreichbar.

Und das alles nur weil Schlund+GMX das internet nicht verstanden haben.

Wie schon gesagt ICMP ist das "Internet Control Message Protocol" und
ist _WICHTIG_. Wer es filtert sollte sich nicht wundern wenn irgendwas
nicht mehr funktioniert.

Flo
PS: Ja - Ich habe bei GMX schon mehrfach nachgefragt - Die haben
entweder das Problem nicht verstanden oder sind zu bloede.
PPS: Ich bin seit laengerem dabei einen automatischen tester fuer so
einen scheiss zu bauen da es immer mehr idioten gibt - Ansaetze sind
hier: http://pmtu.mediaways.net/. Die Hardware steht - Es geht noch drum
schoene webseiten zu bauen und ggfs. nen bischen zu scripten. Wer will ?
-- 
Florian Lohoff                  flo at rfc822.org             +49-5201-669912
                        Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 232 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20030314/50508928/attachment.sig>

More information about the Linux mailing list