Hallo Thomas,
On Tue, Mar 19, 2019 at 09:55:25 +0100, Thomas Güttler wrote:
so weit ich weiß ist tcptraceroute das beste Tool um zu sehen ob ein tcp Port über ein Netz erreichbar ist.
Fuer die reine Erreichbarkeit reicht auch netcat.
Traceroute/tracepath/tcptraceroute liefern Dir noch zusaetzliche Informationen, welche Hops auf dem Weg zum Zielhost durchlaufen werden und (im Fall von tracepath) welche Path-MTU von welchem Hop gefordert wird.
Schade ist, dass einige Hops nur ein Sternchen anzeigen: * * *
Es liegt nicht am Tool, wenn Du zwischendurch nur Sternchen angezeigt bekommst, sondern daran, dass der jeweilige Hop kein ICMP ttl exceeded oder ICMP frag needed zurueckschickt. In diesem Fall hat das Tool keine Moeglichkeit, die Adresse des Hops zu erfahren. Sowas liegt meistens an paranoiden Router/Firewall-Admins, die ICMP-Pakete fuer etwas grundsaetzlich boeses halten und deshalb verwerfen. Dass sie damit etwa Path-MTU-Discovery kaputtmachen, ist vielen nicht bewusst.
Frage1: Gibt es einen Namen für das Verhalten hier, wenn hier nur Sternchen stehen?
Ich kenne keinen. Es zeigt nur, dass im diesem Fall jemand zuviel wegwirft.
Frage2: Warum wir das gemacht? Ist das wirklich eine höhere Sicherheit?
Aus Sicht mancher Admins schon. Die Absenderadresse der ICMP ttl exceeded / ICMP frag needed kommt jeweils aus dem Bereich eines Transfernetzes. Falls man die Kenntnis dieser Adressen fuer ein Sicherheitsproblem haelt, versendet man eben keine ICMPs. Ich sehe das aber auch eher als Fehlkonfiguration an, weil es wie gesagt eine Grundfunktion von IP (Path-MTU-Discovery) kaputtmacht.
Gruesse, Christian