Achim Hoffmann wrote:
auch bei einem drop/deny ist sofort erkennbar das dort etwas am anderen ende ist. schaue dir dazu mal 'http://logi.cc/linux/reject_or_deny.php3' an.
so ein Quatsch (dieser Satz). Unter dem Link ist nichts zu finden was meiner Aussage widerspricht. Bei DROP ist gar nichts erkennbar, es ist nicht zu unterscheiden von "Rechner unter dieser IP laeuft nicht" oder "IP ungueltig" oder "keine listener auf diesem port" (ausser die Firewall ist bezgl. DROP angreifbar). Du wirfst einen Stein in ein schwarze Loch, was siehst/hoerst du? Nichts. Darunter kann man sich dann alles vorstellen, natuerlich auch das Gegenteil.
ok Achim, schnellkurs für dich: gilt so nur für TCP. kein packetfilter und kein dienst: | SYN wird gesendet, als antwort bekommst du ein RST. packetfilter mit reject: | SYN wird gesendet, als antwort bekommst du ein ICMP 'port unreachable'. | mit iptables ist es möglich ebenfalls ein RST zurück zu senden. packetfilter mit drop/deny: | es gibt keinerlei antwort. die ausbleibende antwort ist der schlüssel. wenn der rechner wirklich nicht da wäre, würdest du von einem router _davor_ ein ICMP 'destination-unreachable' zurück bekommen. das identifiziert den rechner als 'am netz' und das dort ein packetfilter läuft. deshalb wird zum thema 'ACCEPT (or no firewall)' auf der seite, dessen link ich mitgeschickt hatte, auch gesagt: | "The response to the syn-packet (S) is a connection reset (R). This is | clearly different from what you get from an ipchains firewall."
Selbst wenn ein anderer Port unter dieser IP (irgendwie) antwortet, ist das noch kein Hinweis, dass da wirklich ein Rechner ist (Stichwort NAT, port-NAT). Erst wenn ICMP ins Spiel kommt kriegt man evtl. mehr Hinweise, aber genau das habe *ich* ja unterbunden ;-)
Achim, im ernst, das ist unsinn.
Und paranoid wie ich bin, versendet eine Firewall niemals ICMP, und erlaubt es auch nicht (wer wissen will warum schaut sich dazu an wie diverse Trojaner kommunizieren, z.B. BackOrifice). AFAIK ist ICMP heute im Internet obsolete, allenfalls in geschlossenen Netzen zur inter-router-kommunikation sinnvoll. Erst wenn Sicherheit kein Thema (mehr) ist denke ich darueber wieder nach.
was ist mit ping,traceroute,fragmentation-needed etc?
ping: siehe Kommentar bzgl. Trojaner. Obsolete (oder nur nice-to-have) traceroute: geht auch mit UDP fragmentation-needed: betreibt noch jemand ernsthaft Server deren Hardware so antiquiert ist? Einwand ist aber berechtigt.
fragmentation-needed hat nichts mit hardware zu tun. 'http://www.little-idiot.de/firewall/zusammen-57.html' micha