Christian Perle <[email protected]> (Di 19 Mär 2019 12:34:38 CET): > > Frage2: Warum wir das gemacht? Ist das wirklich eine höhere Sicherheit? > > Aus Sicht mancher Admins schon. Die Absenderadresse der ICMP ttl > exceeded / ICMP frag needed kommt jeweils aus dem Bereich eines > Transfernetzes. Falls man die Kenntnis dieser Adressen fuer ein > Sicherheitsproblem haelt, versendet man eben keine ICMPs. > Ich sehe das aber auch eher als Fehlkonfiguration an, weil es wie gesagt > eine Grundfunktion von IP (Path-MTU-Discovery) kaputtmacht.
Ich meine, es muss nicht grundsätzlich am bösen Willen oder der Dummheit
der Transfer-Admins liegen. Es kann z.B. auch am Eingreifen des
Reverse-Path-Verify liegen.
HOME ----------- ROUTER ------------ R1 ---------------- R2 ----
192.168.0.0/24 öff. Netz Transfernetz öff. Netz
192.168.0.0/24
Wenn R2 jetzt ein Problem (Frag. needed, TTL excceeded) feststellt, wird
er dieses an die für ihn sichtbare Absender-IP (ext. Interface des
Homerouters) senden. Der Absender dieser ICMP-Nachricht ist vermutlich
das transfernetzseitige Bein von R2, oder?
Dann … selbst wenn es dieses Paket bis zum Homerouter schafft, besteht
die Möglichkeit, daß der es wegen rp_filter (reverse path filter/verify)
verwirft, weil der meint, daß solche Absender nur auf seinem inneren
Interface auftauchen dürfen.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
signature.asc
Description: PGP signature
