http & firewall

Lutz Donnerhacke lutz at iks-jena.de
Mit Aug 14 09:11:35 CEST 2002 

* Kai Weber wrote:
>+ Lutz Donnerhacke <lutz at iks-jena.de>:
>> Durchlassen ist aber auch so ein schönes Wort. Natürlich reicht es nicht, in
>> der Forward Regel ein ACCEPT zu geben, wenn man gleichzeitig Adressumsetzung
>> macht. Die Firewall sollte dann wenigstens so schlau sein, und eingehende
>> ICMP Meldungen ebenfalls umzusetzen. Ansonsten taugt sie nichts und sollte
>> wenigstens durch einen Proxy ergänzt werden, damit überhaupt Kommuniktion
>> möglich wird.
>
>Ohne das jetzt zu probieren und nochmal zum eigenen Verständnis: das
>funktioniert?

Ja.

>1. Ich lasse ICMP durch die Firewall

Das funktioniert nur, wenn keine Adressumsetzung stattfand. Hat
Adressumsetzung stattgefunden, muß das ICMP Paket ebenfalls umgeschrieben
werden. Dazu ist es nicht nur notwenig, den ICMP Header selbst
umzuschreiben, sondern den Payload des ICMP Paketes -- der den */IP Header
des fehlgeschlagenen Paketes enthält -- ebenfalls umzuschreiben. Nur dann
kann der Client überhaupt die ICMP Nachricht der richtigen Verbindung
zuordnen.

>2. Die ICMP-Pakete werden an den Rechner zugestellt, zu dem das Paket
>   gehörte, auf das sie reagieren (ist mir gerade noch unklar wie das
>   mit iptables funktioniert)

Iptables merkt sich den ganzen Kram in Tabellen, da kann es nachschlagen,
was zulässig ist und was umgeschrieben werden muß.

>3. der TCP/IP-Stack des betroffenen Rechners reagiert und setzt die MTU
>   auf den mitgeschickten Wert

Ack.

>Vorraussetzung ist also, das sowohl der Zielrechner ICMP Nachrichten (not
>reachable + DF) verschickt und der eigene Rechner diese Nachrichten
>interpretiert. Linux? Windows? Ist das spannend!

Nein. Voraussetzung für PMTUD ist, daß der sendende Rechner ICMP
Fehlernachrichten bekommt, die zu den ausgesendeten Paketen passen und diese
dann auch versteht. Linux und Windows können das beide. Bei beiden kann man
PMTUD abschalten.

Die Voraussetzung, daß die die ICMP Nachrichten bekommen, heißt eben, daß
auf der Strecke von der kleineren MTU zurück zum Client die Router/Firewalls
die ICMP Nachricht nicht wegwerfen und daß NAT-Geräte die ICMP Nachricht
umschreiben. Das ist oft nicht der Fall. Deswegen sollte man PMTUD am Client
ausschalten.

-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein