* Jochen Hein wrote/schrieb:
> Ich hasse es, wenn ich auf dem Client erst auf einen Timeout warten
> muss, nur weil ICMP nicht geht. Oder ich keine Chance habe
> herauszubekommen, was denn nun nicht geht.
Yep, zumal ICMP ja noch mehr sch�ne Dinge kann, als nur Ping. Ich denke
mal, da� es diese "sch�nen Dinge" sind, die Leute zur Firewallregel greifen
lassen. Im referenzierten (von mir ebenfalls ungelesenen) Artikel geht es um
"Scanning", da kann ich mir vorstellen, da� ICMP Interna �ber ein hinter der
Firewall liegendes Netz ausplaudern kann. F�r Rechner d�rfte das aber
ausgesprochen bedeutungslos sein.
> Mal 'ne Frage an die RFC-Leser: ICMP ist ja IIRC integraler
> Bestandteil von IP. Gelten ICMP-Filterer also noch als Teilnehmer am
> Internet? RFC-Nummer und Abschnitte...
Definiere "Teilnehmer am Internet". Ist man z.B. "Teilnehmer", wenn man
offizielle IP-Adressen hat, aber hinter einer Firewall sitzt?
Ich w�rde sagen, man gilt ohne ICMP nicht mehr als Teilnehmer im Internet,
denn wenn ICMP nicht geht, ist IP kaputt.
RFC 792:
"ICMP, uses the basic support of IP as if it were a higher level protocol,
however, ICMP is actually an integral part of IP, and must be implemented by
every IP module."
Ansonsten ist das ein sehr kompakter RFC, ICMP ist ja auch ein kompaktes
Protokoll. ;-)
Wenn ich keine Ping-Antwort von einem Server kriege, der z.B. WWW-Seiten
problemlos serviert, denke ich immer, da� da einer sein Firewall-Howto
genauestens durchgelesen hat, ohne das Internet verstanden zu haben.
-martin
--
Two rules to success in life:
1. Don't tell people everything you know
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
