[linux-l] firewall und traceroute -I
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Di Mai 23 02:41:02 CEST 2006
Hi,
ich habe eine kleine Merkwuerdigkeit, die ich gern verstehen moechte.
Ich habe einen iptables Firewall mit stateful filtering (hmmh. wie
uebersetzt man das?;-)
Einige ICMP-Packete sind erlaubt, u.a. echo, echo-reply und time-exceed.
Ich kann den Firewall pingen, und ich kann auch durch die Firewall
hindurch pingen.
Ein traceroute -I (benutzt ICMP-Echo-Requests satt UDP) geht hindurch, nur
fuer den Firewall selbst bekomme ich drei Sterne anstatt Antwortzeiten.
Hier die Regeln fuer ICMP time-exceed (Typ 11):
Chain OUTPUT (policy DROP 45863 packets, 2363K bytes)
pkts bytes target prot opt in out source destination
98084 14M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
ctstate ESTABLISHED
39 3895 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
ctstate RELATED
0 0 ACCEPT icmp -- * bond1 192.168.181.254 192.168.181.0/24
icmp type 11 ctstate NEW
Nun, ich frage mich, ob ein ICMP time exceed fuer den Firewall eine neue
Verbindung ist oder zur tracroute ping "Verbindung" gehoert.
Allerdings habe ich ESTABLISHED und RELATED Regeln auch fuer OUTPUT
und FORWARD. So sollte der Firewall auch im zweiten Fall antworten.
Hat jemand eine Idee?
Neugierig
Peter
Mehr Informationen über die Mailingliste linux-l