Am Montag, 14. Juni 2004 14:56 schrieb Andreas Kretschmer: > am 14.06.2004, um 12:51:49 +0200 mailte Wolfgang Jeltsch folgendes: > > Hallo Liste, > > > > fr�her st�pselte ich meinen Arbeitsplatz-Rechner direkt an mein DSL-Modem > > und verwendete zur Paketfilterung iptables mit Connection-Tracking. Ich > > lie� von ppp0 alles rein, was ESTABLISHED oder RELATED war. NEW-Pakete an > > den SSH-Port wurden zugelassen, NEW-Pakete an den auth-Port wurden > > REJECTet. Alles andere wurde geDROPt. > > > > [ weitere Probleme ]
Hi, danke erstmal f�r die Antwort! > DROP ist b�se. Ist es f�r die Sicherheit im Grunde egal, ob ich DROP oder REJECT nehme? Dann k�nnte ich auch auf REJECT umsatteln. Was genau sind die Probleme mit DROP? > Was ist mit ICMP? Sollte das lediglich nicht geDROPt werden oder z.T. auch nicht geREJECTet? Was sollte der Paketfilter alles durchlassen? Und was l�sst er sowieso schon durch, da es als RELATED eingestuft wird? > Loggst Du, was Du wegwirfst? Normalerweise nicht. Ich habe aber mal probeweise Logging eingeschaltet und dann versucht, mit XMMS den Internetsender Progressive Soundscapes (http://www.progressivesoundscapes.com/) zu h�ren. Dabei gingen auf dem Gateway drei TCP-Pakete ins Netz. Source-Port war jedesmal 6170 und Destination-Port 33859. Ob das jetzt als NEW oder als INVALID eingestuft wurde, wei� ich nicht. Das Interessante ist, dass ich zumindest f�r den soeben erw�hnten Sender das Radioproblem l�sen konnte, indem ich Kaboodle benutzte. Also scheint das Radioproblem auch etwas mit XMMS zu tun zu haben. Nichtsdestotrotz muss irgendwas mit NAT/Firewall nicht stimmen, da es, wie gesagt, auch beim ganz normalen Surfen zu Verz�gerungen gegen�ber der Nicht-Gateway-L�sung kommt. > Kann es das MTU-Problem sein? Meinst du die Problematik, dass meinem Arbeitsplatzrechner bzw. dem Gateway signalisiert werden muss, welche maximale IP-Paketgr��e er/es verwenden darf, und dass daf�r gewisse ICMP-Pakete durchgelassen werden m�ssen? > ECN? Was ist das denn? > Andreas Viele Gr��e Wolfgang
