http & firewall
Lutz Donnerhacke
lutz at iks-jena.de
Mit Aug 14 09:18:02 CEST 2002
* Normann Decker wrote:
>On Tue, Aug 13, 2002 at 04:34:48PM +0200, Lutz Donnerhacke wrote:
>wenn ich das richtig verstanden habe müsste ich
>- entweder
>> 0. PMTUD am Client abschalten. Funktioniert in über 90% aller Fälle.
>
>d.h. nicht mehr auf "Destination unreachable: Fragmentation
>needed, but DF set." reagieren,
Falsch. Diese Meldungen gar nicht mehr erzeugen lassen. Laß den Router an
der Strecke die kleinere MTU hat, einfach framentieren, wie es war im
Anfang, jetzt und immerdar ...
>- oder
>> macht. Die Firewall sollte dann wenigstens so schlau sein, und
>> eingehende ICMP Meldungen ebenfalls umzusetzen. Ansonsten taugt sie
>> nichts und sollte
>
>d.h. die fehlermeldung an den client einfach weiterreichen
Ja, und bei Masquarading die ICMP Pakete umschreiben.
>letzteres gefällt mir besser; nur wie mache ich das?
Das hängt von Deiner Firewall ab. Ohne Umsetzung: ICMP durchlassen. Mit
Umsetzung: Handbuch lesen. Stellt sich heraus, daß die Firewall ICMP nicht
umschreiben kann, dann Firewallsoftware wegwerfen.
--
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein