Sven Hartge:
> Marc Haber <mh+debian-user-german@zugschlus.de> wrote:
>> On Mon, 5 Jan 2015 23:47:46 +0100, Jochen Spieker <ml@well-adjusted.de> wrote:
>>> Marc Haber:
>>>>
>>>> Wenn ping funktioniert, ist ein Paketfilter im Spiel. Wenn ping
>>>> nicht funktioniert, ist entweder die Rückroute falsch oder es ist
>>>> ein fehlkonfigurierter Paketfilter im Spiel.
>>>
>>> Ping funktioniert. Und Bingo, es war eine falsche Route.
>
>> Dann hätte ping auch nicht funktionieren dürfen.
>
> Nicht unbedingt. Sofern das asymmetrische Routing IP-technisch korrekt
> war, und in den beteiligten Paketfiltern etwas steht wie "-p icmp -j
> ACCEPT", dann geht Ping durch. (Selbst schon auf diesen Fehler
> reingefallen.)
Hm. Bei näherem Nachdenken fällt mir auf, dass ich gar nicht das
Zielsystem für SSH/HTTP gepingt habe (das liegt ja hinter NAT), sondern
die Fritzbox. Da hat es funktioniert. Wie deren Paketfilter genau
aussieht, weiß ich natürlich nicht.
>>> Dass das funktioniert hat (Verbindungsaufbau vom Mietserver über eth0
>>> ins Internet raus, Antworten zurück über tun0), überrascht mich
>>> etwas, aber gut.
>
>> Das geht, das ist ja auch im Internet eigentlich der Normalfall.
Ich dachte, das betrifft üblicherweise nur die Zwischenhops, nicht die
Endpunkte. Dass ein Verbindungsaufbau mit Absenderadresse w.x.y.z über
eth0 rausgeht und die Antwortpakete an die gleiche Adresse über ein
anderes Device reinkommen, finde ich schon ungewöhnlich. Ich habe aber
auch auf diesem System den Paketfilter nicht so konfiguriert, dass der
das verhindert.
Naja, auf jeden Fall was gelernt.
J.
--
If I was Mark Chapman I would have shot John Lennon with a water pistol.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature