Re: traceroute problem

On Fri, Nov 08, 2002 at 01:59:37PM +0100, Christian Damm wrote:
>
> hi liste!
>
> ich habe hier in meinem firmenlan ein eigenartiges problem (das mir erst
> jetzt auffällt weil es für mich auch nicht besonders schwerwiegend ist):
>
> seit ich mein lan neben meinem(r) borderrouter/firewall (ipfilter) vor
> einigen wochen noch um eine zusätzliche freebsd 4.6 firewalling bridge
> (ipfw) ergänzt habe um es zusätzlich zu schützen, funktionieren keine
> traceroutes mehr ins internet. die ipfw rules auf der bridge sind
> eindeutig: blocke alles von draussen, und lass alles aus dem lan raus (den
> traffic meiner user kontrolliert dann eh die ipfilter firewall am gateway).
>
> die bridge hat 2 NICs, wobei nur ein NIC eine IP (intern) hat
> (192.168......)
> normaler icmp traffic (pings) und auch tcp/udp connections klappen
> einwandfrei....nur traceroute macht troubles...ich halte bei den aus dem
> lan gehenden connections überall die STATES.

Traceroute verschickt default UDP Packete mit abwechselnden Ziel-
portnummern nach draußen und wartet auf ICMP TTL Exceded von draußen.
Wenn dir das nicht klar ist, dann solltest du äußerst vorsichtig mit
dem Filtern von reinkommenden ICMP Packeten sein, weil die meisten
eine extrem wichtige Funktion haben - dazu gehören auch die TTL
Exceded, die für Traceroute eigendlich nur missbraucht werden.
Wenn du zuviel ICMP filterst, dann wirst du das mitunter nicht in
jeden Fall sofort spüren, aber die Nachteile sind da.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message