[linux-l] firewall und traceroute -I

[Peter Ross]

Hi,

ich habe eine kleine Merkwuerdigkeit, die ich gern verstehen moechte.

Ich habe einen iptables Firewall mit stateful filtering (hmmh. wie 
uebersetzt man das?;-)

Einige ICMP-Packete sind erlaubt, u.a. echo, echo-reply und time-exceed. 
Ich kann den Firewall pingen, und ich kann auch durch die Firewall 
hindurch pingen.

Ein traceroute -I (benutzt ICMP-Echo-Requests satt UDP) geht hindurch, nur 
fuer den Firewall selbst bekomme ich drei Sterne anstatt Antwortzeiten.

Hier die Regeln fuer ICMP time-exceed (Typ 11):

Chain OUTPUT (policy DROP 45863 packets, 2363K bytes)
 pkts bytes target     prot opt in     out     source destination
98084   14M ACCEPT     all  --  *      *       0.0.0.0/0 0.0.0.0/0
ctstate ESTABLISHED
   39  3895 ACCEPT     all  --  *      *       0.0.0.0/0 0.0.0.0/0
ctstate RELATED
    0     0 ACCEPT     icmp --  *      bond1   192.168.181.254 192.168.181.0/24
icmp type 11 ctstate NEW

Nun, ich frage mich, ob ein ICMP time exceed fuer den Firewall eine neue 
Verbindung ist oder zur tracroute ping "Verbindung" gehoert.

Allerdings habe ich ESTABLISHED und RELATED Regeln auch fuer OUTPUT
und FORWARD. So sollte der Firewall auch im zweiten Fall antworten.

Hat jemand eine Idee?

Neugierig
Peter