Christian Perle chris@linuxinfotag.de (Di 19 Mär 2019 12:34:38 CET):
Frage2: Warum wir das gemacht? Ist das wirklich eine höhere Sicherheit?
Aus Sicht mancher Admins schon. Die Absenderadresse der ICMP ttl exceeded / ICMP frag needed kommt jeweils aus dem Bereich eines Transfernetzes. Falls man die Kenntnis dieser Adressen fuer ein Sicherheitsproblem haelt, versendet man eben keine ICMPs. Ich sehe das aber auch eher als Fehlkonfiguration an, weil es wie gesagt eine Grundfunktion von IP (Path-MTU-Discovery) kaputtmacht.
Ich meine, es muss nicht grundsätzlich am bösen Willen oder der Dummheit der Transfer-Admins liegen. Es kann z.B. auch am Eingreifen des Reverse-Path-Verify liegen.
HOME ----------- ROUTER ------------ R1 ---------------- R2 ---- 192.168.0.0/24 öff. Netz Transfernetz öff. Netz 192.168.0.0/24
Wenn R2 jetzt ein Problem (Frag. needed, TTL excceeded) feststellt, wird er dieses an die für ihn sichtbare Absender-IP (ext. Interface des Homerouters) senden. Der Absender dieser ICMP-Nachricht ist vermutlich das transfernetzseitige Bein von R2, oder?
Dann … selbst wenn es dieses Paket bis zum Homerouter schafft, besteht die Möglichkeit, daß der es wegen rp_filter (reverse path filter/verify) verwirft, weil der meint, daß solche Absender nur auf seinem inneren Interface auftauchen dürfen.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --------------- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -