Sven Hartge: > Marc Haber <mh+debian-user-german@zugschlus.de> wrote: >> On Mon, 5 Jan 2015 23:47:46 +0100, Jochen Spieker <ml@well-adjusted.de> wrote: >>> Marc Haber: >>>> >>>> Wenn ping funktioniert, ist ein Paketfilter im Spiel. Wenn ping >>>> nicht funktioniert, ist entweder die Rückroute falsch oder es ist >>>> ein fehlkonfigurierter Paketfilter im Spiel. >>> >>> Ping funktioniert. Und Bingo, es war eine falsche Route. > >> Dann hätte ping auch nicht funktionieren dürfen. > > Nicht unbedingt. Sofern das asymmetrische Routing IP-technisch korrekt > war, und in den beteiligten Paketfiltern etwas steht wie "-p icmp -j > ACCEPT", dann geht Ping durch. (Selbst schon auf diesen Fehler > reingefallen.) Hm. Bei näherem Nachdenken fällt mir auf, dass ich gar nicht das Zielsystem für SSH/HTTP gepingt habe (das liegt ja hinter NAT), sondern die Fritzbox. Da hat es funktioniert. Wie deren Paketfilter genau aussieht, weiß ich natürlich nicht. >>> Dass das funktioniert hat (Verbindungsaufbau vom Mietserver über eth0 >>> ins Internet raus, Antworten zurück über tun0), überrascht mich >>> etwas, aber gut. > >> Das geht, das ist ja auch im Internet eigentlich der Normalfall. Ich dachte, das betrifft üblicherweise nur die Zwischenhops, nicht die Endpunkte. Dass ein Verbindungsaufbau mit Absenderadresse w.x.y.z über eth0 rausgeht und die Antwortpakete an die gleiche Adresse über ein anderes Device reinkommen, finde ich schon ungewöhnlich. Ich habe aber auch auf diesem System den Paketfilter nicht so konfiguriert, dass der das verhindert. Naja, auf jeden Fall was gelernt. J. -- If I was Mark Chapman I would have shot John Lennon with a water pistol. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature