© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> [...]
> traceroute -I
Kleine Bemerkung hierzu: Das macht ein Zwischending aus
traceroute(8) und ping(8). Man sollte daher vorsichtig
sein, wenn man es mit einem »normalen« traceroute oder ping
vergleicht. Es ist keins von beidem.
> geht durch alle meine Firewalls, egal ob Linux und FreeBSD.
> Auch geht bei allen ein ping auf die Rechner selbst und hindurch. (Sie
> verwenden gleichen Regelsatz, den ich mit einem Parser auf iptables bzw.
> pf "uebersetze").
>
> Allerdings gibt das traceroute an der Stelle, wo der Firewall selbst ist,
> bei Linux nur Sternchen (der naechste Hop geht dann wieder). Bei FreeBSD
> pf bekomme ich stattdessen ordentlich Zeiten.
>
> Erlaubt ist bei den Firewalls forwarding wie input/output von ICMP echo,
> echo-request und time-exceeded. Sowohl iptables als auch pf arbeiten
> state-basiert und lassen so etablierte Verbindungen durch.
>
> Ich frage mich, was ich bei den Linux-Firewalls wohl noch aendern
> muesste.. Oder ob's prinzipbedingt ist, dass der Linux-Firewall ein
> ICMP-Echo-Paket mit abgelaufener TTL einfach wegschmeisst?
Ich vermute letzteres. Ich kann ausm Kopf nicht mit Si-
cherheit sagen, ob und was das RFC in dieser Situation vor-
schreibt, aber ich kann mir gut vorstellen, daß der ICMP-
Code im Linux-Kernel (ich glaube nicht, daß es der Fire-
wall-Code ist) bei ICMP-Paketen mit abgelaufener TTL keine
Antwort schickt.
Ich vermute sogar, daß das Absicht ist (egal ob RFC-konform
oder nicht), um endlose ICMP-Loops zu verhindern. Ob es
sinnvoll ist, sei mal dahingestellt ... Vielleicht ist es
auch einfach ein Off-by-one-Fehler im Linux-Kernel. ;-)
Ein kurzer Blick in die relevanten Dateien bei FreeBSD
zeigt, daß es dort keine Spezialbehandlung für solche Fälle
gibt:
/sys/netinet/ip_icmp.c
/sys/netinet/ip_input.c
(Jeweils nach TIMXCEED greppen.)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 08 Jun 2006 - 12:29:08 CEST