Re: HTTP Netzwerk Timeouts

To: debian-user-german@lists.debian.org
Cc: debian-user-german@lists.debian.org
Subject: Re: HTTP Netzwerk Timeouts
From: Stefan Bauer <stefan.bauer@cubewerk.de>
Date: Mon, 25 Jan 2010 13:21:03 +0100
Message-id: <4B5D8CAF.6010409@cubewerk.de>
In-reply-to: <4B5D8A12.4050103@holl.co.at>
References: <4B5A0E45.3070705@holl.co.at> <04sq27-da4.ln1@x20.hebelweg.de> <4B5ACE84.9080807@holl.co.at> <c6jt27-vh9.ln1@x20.hebelweg.de> <4B5C2AFB.9030701@holl.co.at> <tktt27-0da.ln1@x20.hebelweg.de> <4B5C5E92.7020903@holl.co.at> <4B5D48C8.3090803@pitpalme.de> <4B5D8A12.4050103@holl.co.at>

On 25.01.2010 13:09, Gerald Holl wrote:
> Peter Palmreuther wrote:
>> Ich wÃŒrde entweder auf dem Router zweimal, oder unter Windows und Linux
>> jeweils separat, den Traffic fÃŒr die gleiche Anfrage mitschneiden, und
>> dann in Wireshark mal die TCP-Pakete vergleichen. Ich nehme an, dass die
>> von Windows aus versandten andere Optionen und Werte enthalten und nicht
>> "reassembled" werden mÃŒssen.
>>
>> Ist aber, jetzt da alles wieder wie erwartet funktioniert, eher
>> akademisch, kÃ¶nnte aber unter UmstÃ€nden dazu fÃŒhren, dass man die an
>> sich ja Sicherheit auf TCP-Ebene bietende Option von 'pf' irgendwann
>> wieder aktivieren kann.
> 
> In den changelogs von OpenBSD 4.6 steht, dass das reassemblen der Pakete
> nun automatisch passiert bzw. (sinnloserweise, da ja default) explizit
> mit "set reassemble yes" aktiviert werden kann. HÃ¶chstwahrscheinlich
> gibt es einen Konflikt der beiden reassemble Varianten, darum hat's wohl
> nicht funktioniert.

Ich hab mir mal spasseshalber durchgelesen, was Openbsd unter
scrubbing versteht:

http://www.openbsd.org/faq/pf/de/scrub.html

Meine Meinung hierzu ist, dass ich eigentlich nicht möchte, dass ein
Paketfilter meine Pakete zerlegt oder entscheidet, was vielleicht
konform ist und was nicht. Es gibt immer Standards, ob sich an die
jeder hällt ist seine Sache. Hier sehe ich das scrubbing etwas zu
konsequent.

"Einige Nicht-OpenBSD-Plattformen senden (und erwarten) seltsame
Pakete - fragmentierte Pakete, die das ,nicht fragmentieren'-Bit
gesetzt haben, welche (ordnungsgemäß) von scrub abgelehnt werden."

Also wenn das DF-Bit seltsam ist und automatisch abgelehnt wird,
dann zweifle ich etwas am Konzept von pf.

Stefan

-- 
Stefan Bauer -----------------------------------------
PGP: E80A 50D5 2D46 341C A887 F05D 5C81 5858 DCEF 8C34
-------- plzk.de - Linux - because it works ----------

Reply to:

References:
- HTTP Netzwerk Timeouts
  - From: Gerald Holl <gerald@holl.co.at>
- Re: HTTP Netzwerk Timeouts
  - From: "Juergen F. Pennings" <j.pennings@gmx.de>
- Re: HTTP Netzwerk Timeouts
  - From: Gerald Holl <gerald@holl.co.at>
- Re: HTTP Netzwerk Timeouts
  - From: "Juergen F. Pennings" <j.pennings@gmx.de>
- Re: HTTP Netzwerk Timeouts
  - From: Gerald Holl <gerald@holl.co.at>
- Re: HTTP Netzwerk Timeouts
  - From: "Juergen F. Pennings" <j.pennings@gmx.de>
- Re: HTTP Netzwerk Timeouts
  - From: Gerald Holl <gerald@holl.co.at>
- Re: HTTP Netzwerk Timeouts
  - From: Peter Palmreuther <lists@pitpalme.de>
- Re: HTTP Netzwerk Timeouts
  - From: Gerald Holl <gerald@holl.co.at>

Prev by Date: Re: Frage für automatisierten Mail-Versand
Next by Date: RE: Frage für automatisierten Mail-Versand
Previous by thread: Re: HTTP Netzwerk Timeouts
Next by thread: Re: HTTP Netzwerk Timeouts
Index(es):
- Date
- Thread