Re: Probleme mit Connection-Tracking?

To: Debian-Nutzer Deutschland <debian-user-german@lists.debian.org>
Subject: Re: Probleme mit Connection-Tracking?
From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
Date: Mon, 14 Jun 2004 16:48:55 +0200
Message-id: <[🔎] 200406141648.55676.wolfgang@jeltsch.net>
In-reply-to: <[🔎] 20040614125618.GA24741@Pinguin.wug-glas.de>
References: <[🔎] 200406141251.49692.wolfgang@jeltsch.net> <[🔎] 20040614125618.GA24741@Pinguin.wug-glas.de>

Am Montag, 14. Juni 2004 14:56 schrieb Andreas Kretschmer:
> am  14.06.2004, um 12:51:49 +0200 mailte Wolfgang Jeltsch folgendes:
> > Hallo Liste,
> >
> > früher stöpselte ich meinen Arbeitsplatz-Rechner direkt an mein DSL-Modem
> > und verwendete zur Paketfilterung iptables mit Connection-Tracking. Ich
> > ließ von ppp0 alles rein, was ESTABLISHED oder RELATED war. NEW-Pakete an
> > den SSH-Port wurden zugelassen, NEW-Pakete an den auth-Port wurden
> > REJECTet. Alles andere wurde geDROPt.
> >
> > [ weitere Probleme ]

Hi,

danke erstmal für die Antwort!

> DROP ist böse.

Ist es für die Sicherheit im Grunde egal, ob ich DROP oder REJECT nehme? Dann 
könnte ich auch auf REJECT umsatteln.

Was genau sind die Probleme mit DROP?

> Was ist mit ICMP?

Sollte das lediglich nicht geDROPt werden oder z.T. auch nicht geREJECTet?

Was sollte der Paketfilter alles durchlassen? Und was lässt er sowieso schon 
durch, da es als RELATED eingestuft wird?

> Loggst Du, was Du wegwirfst?

Normalerweise nicht. Ich habe aber mal probeweise Logging eingeschaltet und 
dann versucht, mit XMMS den Internetsender Progressive Soundscapes 
(http://www.progressivesoundscapes.com/) zu hören. Dabei gingen auf dem 
Gateway drei TCP-Pakete ins Netz. Source-Port war jedesmal 6170 und 
Destination-Port 33859. Ob das jetzt als NEW oder als INVALID eingestuft 
wurde, weiß ich nicht.

Das Interessante ist, dass ich zumindest für den soeben erwähnten Sender das 
Radioproblem lösen konnte, indem ich Kaboodle benutzte. Also scheint das 
Radioproblem auch etwas mit XMMS zu tun zu haben.

Nichtsdestotrotz muss irgendwas mit NAT/Firewall nicht stimmen, da es, wie 
gesagt, auch beim ganz normalen Surfen zu Verzögerungen gegenüber der 
Nicht-Gateway-Lösung kommt.

> Kann es das MTU-Problem sein?

Meinst du die Problematik, dass meinem Arbeitsplatzrechner bzw. dem Gateway 
signalisiert werden muss, welche maximale IP-Paketgröße er/es verwenden darf, 
und dass dafür gewisse ICMP-Pakete durchgelassen werden müssen?

> ECN?

Was ist das denn?

> Andreas

Viele Grüße
Wolfgang

Reply to:

References:
- Probleme mit Connection-Tracking?
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
- Re: Probleme mit Connection-Tracking?
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>

Prev by Date: Re: Mail-Server mit Cyrus
Next by Date: usb maus in X
Previous by thread: Re: Probleme mit Connection-Tracking?
Next by thread: Re: Probleme mit Connection-Tracking?
Index(es):
- Date
- Thread