Am 03.07.2012 17:01, schrieb Ralph A. Schmid, dk5ras:
[ICMP-Blocking]
Vor diesem Schwachsinn ist man auch bei "Experten" aus der IT-Abteilung namhafter Firmen nicht geweiht. Die Antwort aus unserer IT-Abteilung, als ein interner Server nicht so spurte wie erwartet war und auch die funktionierenden weder mit PINGS noch anderen Bordwerkzeugen aufzuspüren waren werde ich nicht posten, das könnte mir womöglich als geschäftsschädigend ausgelegt werden :-) Das ist ungefähr so wirkungsvoll, wie den Klingelknopf abzuschrauben um Einbrüche zu verhindern.
Eine grosse europaeische Firma handhabt das so. Diese Firma ist sehr erfolgreich und sie sorgt u.a. dafuer dass der Saft der Deinen PC betreibt auch da ist.
Nein, eher wie ein Klingelknopf bei dem man beim Draufdruecken kein "Ding-Dong" hoert, sondern gar nichts. Leider ist das in einigen Gegenden notwendig. Zu diesen Gegenden gehoeren auch einige Ecken des Internet.
Es steht jedem Server-Betreiber frei die Verbindung mit solchen Teilnehmern abzulehnen. So wie ja einige Firmen keinen Zugang ohne freigeschaltete Cookies zulassen. Diese muessen dann eben auf einige Umsaetze verzichten.
On Sun, 01 Jul 2012 12:42:12 -0700, Joerg wrote in de.sci.electronics:
Da hat unsere Telekom doch schon weitergedacht.
"Ihr Telefon- oder DSL-Anschluss ist defekt? Wir prüfen Ihren Anschluss direkt online ? ganz ohne Warteschleife. Jederzeit rund um die Uhr. Einfach Störung online melden. Wir kümmern uns darum!"
Oh, Windows? Ich dachte wir reden hier von Betriebssystemen und nicht von Gameloadern. ;-)
Keine Ahnung wie sich emacs unter Windows verwenden läßt, mit Windows muß ich mich nur am Rande befassen: Ich sperrs in VMs ein und andere dürfen sich dann mit dem Inhalt rumschlagen ;-)
SCNR, Alex.
--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison
Aber zur Sache: ICMP¹ ist wichtig, braucht man als Admin immer. Viele types sind auch für den korrekten Betrieb erforderlich, z.B. Path MTU²
Aber wozu hat man eine Firewall? Um genau die Regeln entsprechend zu formulieren und genau die types zu sperren, die man nicht möchte. Und Inbound ICMP type 30, wie es für traceroute (tracert) nötig wäre, könnte man da erlauben. Ebenso wie 8 (ping)
Doch, es stimmt schon. ICMP ist ein wichtiger Signalisierungskanal im IP-Protokollstack. Sperrt man ICMP, dann funktionieren Teile des Stacks sowie verschiedene Diagnosemittel nicht mehr - zum Beispiel traceroute. Das verläßt sich nämlich auf ICMP time exceeded Nachrichten um zu funktionieren. Weiterhin muss man ohne ICMP auf timeouts warten, statt gleich ein ICMP destination unreachable zu bekommen. Und so richtig nett: ohne ICMP bekommt man keine ICMP fragmentation needed Pakete mehr, wenn unterwegs die MTU nicht mehr stimmt und macht so PMTUD (Path MTU[0] Discovery) kaputt.
Es ist lediglich der Robustheit des TCP/IP-Protokolldesigns geschuldet dass es meist immer noch irgendwie halbwegs geht auch wenn irgendwelche Volldeppen ICMP sperren. Und ja, ICMP komplett blocken ist im Netzwerker- bereich ein klassisches "Achtung, inkompetenter Volldepp am Werk"-Signal.
Man liest sich, Alex. [0] Maximum Transmission Unit, maximale Paketgröße auf diesem Link
--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison
Beweist nur, dass auch erfolgreiche Firmen nicht davor gefeit sind, Deppen einzustellen. Und ab einer gewissen Firmengröße geht das Risiko, dass technische Entscheidungen ohne technisches Wissen getroffen werden massiv nach oben.
Man liest sich, Alex.
--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison
Oh, komplett netz-autark? Hut ab! Wie versorgst Du den ISP Router ueber den Dein Post abgesetzt wurde und das DSL Equipment bei Euch im Ort? Verlaengerungskabel den Rinnstein entlang? Oder hast Du einen Aufkleber "Alternativenergie - Nein danke!" draufgemacht?
Zitat "Das ICMP-Typfeld hat bei diesen Nachrichten den Wert 8 für echo-Anforderungen und 0 für echo-Antwort-Nachrichten. In Firmennetzwerken wird dieser Typ von den Administratoren oft benutzt, sprich das blocken dort könnte Probleme geben. Auf privaten Home Rechner würde ich dieses Incoming blocken, da dieses im Internet von Hackern ^^^^^^^^^^^^^^^^^^^^^ benutzt wird um zu prüfen, ob ein Opfer online ist".
Am Tue, 03 Jul 2012 21:37:00 +0200 schrieb Thomas 'tom' Malkus:
Habe das letztens erst bei einem Bekannten genutzt - ISDN tot, DSL funktionierte.
Lutz
--
Mit unseren Sensoren ist der Administrator informiert, bevor es Probleme im
Serverraum gibt: preiswerte Monitoring Hard- und Software-kostenloses Plugin
Es gibt tausende Programmoberflächen auf den verschiedensten Gebieten, die versprechen, mit ihnen könnte man ohne den Zwang etwas lernen und verstehen zu müssen gleich gute Ergebnisse erzielen wie die Fachleute. Ich habe noch nie eines gesehen, das das auch nur annähernd hielte.
Im HF-Bereich gibt's sowas mit Sicherheit auch. Und? Konkurrenz für Dich?
Du hast geschrieben, der Strom der meinen PC versorgt. Wir haben eine ganze Reihe Stromanbieter hier und mein Strom kommt zur Zeit aus Windenergie (Pilsum und Krumhörn), Photovoltaik aus Oldenburg und Wasserkraft aus Norwegen. Ich glaube nicht, dass dabei der Anbieter tätig ist, den Du meinst.
Ach Joerg, ich empfehle Dir etwas Lektüre:
formatting link
Du hast doch einen Router mit Firewall. Der hängt auf einem Port bei Deinem Provider. Auf dem Port wird ICMP sicher funktionieren. Selbst wenn auf Deinem Router auf der externen Seite ICMP eingeschaltet ist, wird da kaum einer einen DoS drauf starten. Du würdest doch als erstes die Verbindung trennen und Dich neu einwählen, wenn Du merkst, dass Du nicht mehr ins Netz kommst. Daher ist das völlig egal.
Wenn Du aber selbst wissen willst, ob ein Server im Netz auch in Betrieb ist oder welchen Routingweg Deine Pakete einschlagen, dann brauchst Du ICMP Type 8 und 30. Das tut weder Dir noch Deinem Router weh, wenn Du die von Deinem Rechner nach draußen lässt.
Und soweit ich weiß, hast Du ADSL. Da wäre MTU auch durchaus sinnvoll, es könnte etwas schneller werden.
Aber deswegen schrieb ich ja, eine Firewall muss auch sinnvoll konfiguriert werden ;-).
Jetzt wo Du es sagst, das hatte ich hier auch mal. Ich habe aber die Rufnummer der Geschäftskunden-Störungsstelle im Handy und rufe immer an. Da geht in der Regel sofort jemand ran und man hat gleich das Ergebnis der Messung.
Nene, die Frage von Joerg war schon auf Windows bezogen.
Mit cygwin. Ich hatte das vor Jahren mal unter Windows 2000 laufen. Mit Gnus fürs Usenet ;-). Lief ganz gut, war aber auch eine ganz schöne Frickelei. Heute gibt es vom vim und emacs ja auch einen direkten Port für Windows.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.