Re: Wann "vergessen" switches?

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Wed, 7 Jun 2006 20:57:50 +1000 (EST)

On Wed, 7 Jun 2006, Oliver Fromme wrote:

> Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> > Weil ich mehr als eine IP-Adresse am Interface habe, und alle Adressen dem
> > Router bekanntmachen will.
>
> Das hättest Du vielleicht von Anfang an sagen sollen. :-)

Hmmh.. hatte ich nicht? Sorry.

> Nicht daß das die Angelegenheit nennenswert verkompliziert ...
> In diesem Fall halt »ping -S«.

Ahh, danke. Kannte ich nicht.

> (Helfen tut es natürlich nur, wenn der Router ICMP-ECHO
> nicht filtert. In dem Fall muß man irgendwas nehmen, was
> nicht gefiltert wird.)

ICMP-ECHO geht durch.

Jetzt wird's off-topic, aber ich schreibe es trotzdem mal, weil ich es
lustig finde:

traceroute -I geht durch alle meine Firewalls, egal ob Linux und FreeBSD.
Auch geht bei allen ein ping auf die Rechner selbst und hindurch. (Sie
verwenden gleichen Regelsatz, den ich mit einem Parser auf iptables bzw.
pf "uebersetze").

Allerdings gibt das traceroute an der Stelle, wo der Firewall selbst ist,
bei Linux nur Sternchen (der naechste Hop geht dann wieder). Bei FreeBSD
pf bekomme ich stattdessen ordentlich Zeiten.

Erlaubt ist bei den Firewalls forwarding wie input/output von ICMP echo,
echo-request und time-exceeded. Sowohl iptables als auch pf arbeiten
state-basiert und lassen so etablierte Verbindungen durch.

Ich frage mich, was ich bei den Linux-Firewalls wohl noch aendern
muesste.. Oder ob's prinzipbedingt ist, dass der Linux-Firewall ein
ICMP-Echo-Paket mit abgelaufener TTL einfach wegschmeisst?

Allerdings ist es eher eine "Schoenheitskuer", davon abgesehen tun es
beide Firewall-Typen.

Es gruesst
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 07 Jun 2006 - 12:51:32 CEST

search this site