Re: traceroute problem

From: Christian Damm <christian.damm(at)diewebmaster.at>
Date: Fri, 08 Nov 2002 14:36:25 +0100



nützt es denn nichts wenn ich für die ausgehenden packets (auf der 


firewalling bridge) überall states gesetzt habe (tcp, udp, icmp) - die 


bridge müsste doch checken das das ein request aus dem lan war und das 


packet wieder reinlassen?!



von meinem hauptgateway (freebsd 4.6) aus (der host gleich hinter der 


bridge) sind traceroutes absolute kein problem.....



>On Fri, Nov 08, 2002 at 01:59:37PM +0100, Christian Damm wrote:


> >


> > hi liste!


> >


> > ich habe hier in meinem firmenlan ein eigenartiges problem (das mir erst


> > jetzt auffällt weil es für mich auch nicht besonders schwerwiegend ist):


> >


> > seit ich mein lan neben meinem(r) borderrouter/firewall (ipfilter) vor


> > einigen wochen noch um eine zusätzliche freebsd 4.6 firewalling bridge


> > (ipfw) ergänzt habe um es zusätzlich zu schützen, funktionieren keine


> > traceroutes mehr ins internet. die ipfw rules auf der bridge sind


> > eindeutig: blocke alles von draussen, und lass alles aus dem lan raus (den


> > traffic meiner user kontrolliert dann eh die ipfilter firewall am gateway).


> >


> > die bridge hat 2 NICs, wobei nur ein NIC eine IP (intern) hat


> > (192.168......)


> > normaler icmp traffic (pings) und auch tcp/udp connections klappen


> > einwandfrei....nur traceroute macht troubles...ich halte bei den aus dem


> > lan gehenden connections überall die STATES.


>


>Traceroute verschickt default UDP Packete mit abwechselnden Ziel-


>portnummern nach draußen und wartet auf ICMP TTL Exceded von draußen.


>Wenn dir das nicht klar ist, dann solltest du äußerst vorsichtig mit


>dem Filtern von reinkommenden ICMP Packeten sein, weil die meisten


>eine extrem wichtige Funktion haben - dazu gehören auch die TTL


>Exceded, die für Traceroute eigendlich nur missbraucht werden.


>Wenn du zuviel ICMP filterst, dann wirst du das mitunter nicht in


>jeden Fall sofort spüren, aber die Nachteile sind da.


>


>--


>B.Walter              COSMO-Project         http://www.cosmo-project.de


>ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de



mfg.



christian damm


technische leitung


phone: dw 42


email: christian.damm(at)diewebmaster.at


icq at work: 124464652



die webmaster - flötzerweg 156 - 4030 linz - austria


phone: +43-732-381242, fax: +43-732-381242-22, isdn (leonardo): 


+43-732-381242-33


homepage: www.diewebmaster.at, public email: office(at)diewebmaster.at



-----BEGIN PGP PUBLIC KEY BLOCK-----


Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>



mQGiBDtqdMQRBADCLex4Ol6HKCE/gWqDYLYjAuvka95NlFATxzIFZUEpw8pos29b


TB+iKZWc9kKdzgj3Xfo4WWWgeExXmS569kqLW0gmhNdg6IRhmXhLphzaMCrA+uS1


HetcHteJKO5eaVq0Bv3Y/HoBtjg26z4YT7AnnsDjqmnip4w3sEi2Uy1UMQCg//MP


a2vIceTfV9Yzdp6SO3qlCX8D/jXe9YQ8uqbTcjkkRI325iTZSMfeeA95R+HqkTMV


z0qjH6afeAHf9Ae5jVfxKWy3OKEU5i8G5C1+vn6fhmI+C6LDFPzqkd2q53ZjCUuH


J56zCS785Db6haJtTG5q0NMoNB4OCvWCruKOVH97SmhSbDqG37XhXCuupFB7TaJN


04ytBACfld2hY7AmEh3UHGZqIGARCt/luqsvGzPvhZIJ5HHJgWLIlsVAu8U5q9cP


47C4tHNIdFW+h0xXAllgulMyqcpiB4qLH+ljN1o/HAh11tkWWfJJ5GNUpAIcSf2S


6ejQO6ZL7BmF+xkNM/w52WAI1idmfSMeZsXPyHgcdjPdOKpjSLQvQ2hyaXN0aWFu


IERhbW0gPGNocmlzdGlhbi5kYW1tQGRpZXdlYm1hc3Rlci5hdD6JAFgEEBECABgF


AjtqdMQICwMJCAcCAQoCGQEFGwMAAAAACgkQPs0f+pcMVyjXmgCgn00H6PJzCS1j


K4vG73U41DZD3HMAoPto3k+58rgQjrSjaOG6XgGuE1fOuQINBDtqdMUQCAD2Qle3


CH8IF3KiutapQvMF6PlTETlPtvFuuUs4INoBp1ajFOmPQFXz0AfGy0OplK33TGSG


SfgMg71l6RfUodNQ+PVZX9x2Uk89PY3bzpnhV5JZzf24rnRPxfx2vIPFRzBhznzJ


Zv8V+bv9kV7HAarTW56NoKVyOtQa8L9GAFgr5fSI/VhOSdvNILSd5JEHNmszbDgN


RR0PfIizHHxbLY7288kjwEPwpVsYjY67VYy4XTjTNP18F1dDox0YbN4zISy1Kv88


4bEpQBgRjXyEpwpy1obEAxnIByl6ypUM2Zafq9AKUJsCRtMIPWakXUGfnHy9iUsi


GSa6q6Jew1XpMgs7AAICB/0QSzmEnjPCevgxv3Z/WQ94ZxJHhq0U4YZ/XBOfcaRi


SJAjn1kvkbvfz3wLjU/169U4wB3B4GSNDfFH5lybUHdAG8frnb6V/LbsTsLP5I3g


Jkiap+PS35rH7tTRIQep/AMk0+lWkoeEM0MGH9KGhAELKGJdtqYfgaFINc/7g26h


nW5d32WEY8SseWKG0ByOGzQudXklaCit7QSdtHbslzli600rFhxyzmDa33/7bs4w


V5QxlFh7nVG6/QCryLEdg0ObQ8tyfFY1bU9zoUOuy6vvrHtXZXuqjBzrIBZ1s/7U


drcSgRgCqPhI4T0vPfOPVpJhhpCAqCeE3vH27ToxPnAWiQBMBBgRAgAMBQI7anTF


BRsMAAAAAAoJED7NH/qXDFco7fUAnRSds9fbxryzaJZrLL94H+t2Iu7LAKD9hdTR


zRUqSfRr6vOJkjuBVdbqUw==


=mX57


-----END PGP PUBLIC KEY BLOCK-----



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 08 Nov 2002 - 14:39:46 CET













search this site