Hi Torsten,

...

Hab ich was uebersehen, oder laesst Du tatsaechlich kein ICMP durch?

Eigendlich wollte ich kein ICMP zulassen. Liegt das vielleicht daran?

ICMP ist nicht böse. Das sind Status- und Fehlermeldungen. Ein ping stellt auch noch keinen Angriff dar. Dann weis dein gegenüber das es dich gibt. Das ist doch nicht weiter wild. Mit dem Blocken aller ICMP-Pakete handelst du dir hingegene enorme Schwierigkeiten ein.

Ein Beispiel: Auf der DSL-Leitung der Telekom werden IP-Pakete mit einer MTU von 1492 Byte verschickt. (Und noch 8 Byte "Umschlag". Es sind also 1500 Byte gesamt.) Wenn dein IP-Paket jetzt durch ein Leitung mit einer maximal zulässigen Paketgrösse von 1000 Byte soll, dann gibt es ein Problem mit zwei Lösungen. * Erstens: Der Router zerhackt das Paket in zwei Teile und fügt die Antwort wieder zusammen (Fragmentation). Das belastet den Router (Speicherplatz und Rechenzeit). ==> Das macht so gut wie keiner, weil es noch Lösung zwei gibt. * Zweitens: Der Router verwirft dein Paket und schickt eine Fehlermeldung. Sinngemäß: "Paket zu groß! Schick was kleineres."

Bei deiner Firewall-Einstellung wird dich bzw. den abschickenden Rechner dieses ICMP-Paket nie erreichen. Dein Rechner probiert den Verbindungsaufbau noch ein paar Mal. Dann ist Schluß mit Lustig und du bekommst einen Time-Out. Ein Teil des Internet ist für dich Tot.

Jens Weiße