http & firewall

[Kai Weber]

+ Lutz Donnerhacke <lutz at iks-jena.de>:

> Durchlassen ist aber auch so ein schönes Wort. Natürlich reicht es nicht, in
> der Forward Regel ein ACCEPT zu geben, wenn man gleichzeitig Adressumsetzung
> macht. Die Firewall sollte dann wenigstens so schlau sein, und eingehende
> ICMP Meldungen ebenfalls umzusetzen. Ansonsten taugt sie nichts und sollte
> wenigstens durch einen Proxy ergänzt werden, damit überhaupt Kommuniktion
> möglich wird.

Ohne das jetzt zu probieren und nochmal zum eigenen Verständnis: das
funktioniert?

1. Ich lasse ICMP durch die Firewall
2. Die ICMP-Pakete werden an den Rechner zugestellt, zu dem das Paket
   gehörte, auf das sie reagieren (ist mir gerade noch unklar wie das
   mit iptables funktioniert)
3. der TCP/IP-Stack des betroffenen Rechners reagiert und setzt die MTU
   auf den mitgeschickten Wert

Vorraussetzung ist also, das sowohl der Zielrechner ICMP Nachrichten
(not reachable + DF) verschickt und der eigene Rechner diese Nachrichten
interpretiert. Linux? Windows? Ist das spannend!

Kai

-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein