[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Timeouts bei eingehenden Verbindungen

Marc Haber <mh+debian-user-german@zugschlus.de> wrote:
> On Mon, 5 Jan 2015 23:47:46 +0100, Jochen Spieker <ml@well-adjusted.de> wrote:
>> Marc Haber:
>>> On Mon, 5 Jan 2015 22:41:58 +0100, Jochen Spieker <ml@well-adjusted.de> wrote:

>>>> Ich sehe ja die SYNs auf dem Server ankommen, aber der Server
>>>> antwortet nicht.
>>> 
>>> Wenn ping funktioniert, ist ein Paketfilter im Spiel. Wenn ping
>>> nicht funktioniert, ist entweder die Rückroute falsch oder es ist
>>> ein fehlkonfigurierter Paketfilter im Spiel.
>>
>> Ping funktioniert. Und Bingo, es war eine falsche Route.

> Dann hätte ping auch nicht funktionieren dürfen.

Nicht unbedingt. Sofern das asymmetrische Routing IP-technisch korrekt
war, und in den beteiligten Paketfiltern etwas steht wie "-p icmp -j
ACCEPT", dann geht Ping durch. (Selbst schon auf diesen Fehler
reingefallen.)

Eine TCP-Verbindung dann nicht, weil irgendein Stateful-Paketfilter dann
einen Teil vom Handshake vermisst und die weiteren Pakete wegen
"INVALID" droppt.

>> Dass das funktioniert hat (Verbindungsaufbau vom Mietserver über eth0
>> ins Internet raus, Antworten zurück über tun0), überrascht mich
>> etwas, aber gut.

> Das geht, das ist ja auch im Internet eigentlich der Normalfall. Dann
> hätte aber auch das SYN/ACK über den Tunnel rausgehen und ssh
> funktionieren müssen, es sei denn irgendwo ist ein stateful packet
> filter dabei.

Ah, ja, du schreibst es ja selbst.

S°


-- 
Sigmentation fault. Core dumped.
Reply to: