ubuntuusers.de

Hi,

ich hab mich jetzt mehrere Tage mit dem Thema Iptables auseinander gesetzt, aber ich habe immer noch ein großes FRAGEZEICHEN ❓

Und zwar frage ich mich was wohl besser ist um gegen PINGEN vorzugehen. Sollte das ICMP besser auf Reject oder auf Drop stehen???

Bei DROP bekomme ich keine Antwort:

s@s-desktop:~$ ping 192.168.10.101
PING 192.168.10.101 (192.168.10.101) 56(84) bytes of data.
--- 192.168.10.101 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 4999ms

alle Pakete verloren

und bei REJECT die folgende:

s@s-desktop:~$ ping 192.168.10.101
PING 192.168.10.101 (192.168.10.101) 56(84) bytes of data.
From 192.168.10.101 icmp_seq=1 Destination Port Unreachable
--- 192.168.10.101 ping statistics ---
12 packets transmitted, 0 received, +12 errors, 100% packet loss, time 10999ms

alle Pakete verloren !!! ABER !!! hierbei kommt die Antwort von dem System das ich angepingt hab !!! Soll das so sein ?

Also ist meiner Meinung doch eigentlich DROP die bessere alternative, denn dann bleibt mein System im Bezug auf Ping unsichtbar oder nit?

Tzwenn schrieb:

...denn dann bleibt mein System im Bezug auf Ping unsichtbar oder nit?

Egal was du machst, dein System ist sichtbar. Pings zu dropen ist genauso wie nicht an die Klingel zu gehen, wenn im Haus das Licht brennt. Man sieht trotzdem dass du da bist... Siehe Personal_Firewalls#Unsichtbarmachen

Hab mir grad nochmal im Forum rumgeschnüffelt: http://forum.ubuntuusers.de/topic/iptables-firewall-regeln/2/?highlight=drop+reject+icmp

Ich denke ich entscheide mich einfach für DROP damit halte ich auch noch meinen Traffic klein. Nicht das das im Zeitalter von DSL 20000 Flat eine Rolle spielen würde, aber ich finde das halt ganz nett.

THX

Tzwenn schrieb:

Ich denke ich entscheide mich einfach für DROP damit halte ich auch noch meinen Traffic klein.

Hast du die Beiträge überhaupt gelesen? Bspw.

otzenpunk schrieb:

Bei einem DROP denken aber alle Programme, dass das Syn-Packet vielleicht einfach nur auf einer unzuverlässigen Leitung verloren gegangen ist, und wiederholen die Verbindungsanfrage mindestens ein halbes Dutzend mal, bevor sie die Unerreichbarkeit akzeptieren. Es wird also viel mehr Traffic erzeugt.

Des weiteren macht es einfach im Normalfall wenig Sinn Pakete zu droppen. Unsichtbar bist du nicht.

Ja hab ich , ich verstehe auch worum es geht. Aber ich will keine Traffic, das ist der eigentliche Kasusknacktus !

Bei der Leitung handelt es sich um keine FLAT sondern um eine "bitte bezahle mir jedes bit Leitung". Darum muss ich es auf DROP stellen, wenn ich meine Kosten so klein wie möglich halten will, oder?

Tzwenn schrieb:

Bei der Leitung handelt es sich um keine FLAT sondern um eine "bitte bezahle mir jedes bit Leitung". Darum muss ich es auf DROP stellen, wenn ich meine Kosten so klein wie möglich halten will, oder?

Lies dir doch nochmal GANZ genau durch was Otzenpunk da geschrieben hat.

ja aber eingehenden traffic bezahl ich doch nit !!! das is wie beim telefonieren es bezahlt der der anruft....

Tzwenn schrieb:

ja aber eingehenden traffic bezahl ich doch nit !!! das is wie beim telefonieren es bezahlt der der anruft....

Das bezweifle ich stark. Um was geht es hier denn genau?

um eine sat verbindung.

1MB 6 Euro !!! ZUVIEL !!!

Darum lieber ICMP auf DROP

Tzwenn schrieb:

um eine sat verbindung.

Und bei welchem Anbieter. Ich bezweifle SEHR stark, dass nur der Upload berechnet wird.

Nee das ist so... hat das selbe Prinzip wie ein Telefon.

Der der die Verbindung aufbaut, der Zahlt !

Hm... aber dann würde der ja auch das REJECT zahlen.... hm....

Dann hätte ich nur noch das Problem da durch sowas der Traffic auf meiner Leitung 495kb geschmählter werden würde und dadurch tatsächliche Nutzdaten langsamer voran kommen.

Also doch DROP

Tzwenn schrieb:

Der der die Verbindung aufbaut, der Zahlt !

Sorry, das ist nicht möglich. Selbst wenn du "nur" was runterlädst fließen auch immer Daten zurück. Aber wenn du meinst dass das so ist, so will ich dich nicht von deinem Glück abhalten. Ob du nun Pings blockst oder nichts wird vermutlich an deiner letztendlichen Rechnung null ausmachen.

Kann es sein das du download per Satellit und Upload per 56k/isdn/Handy/... Modem hast (hatte ich auch mal)? Der Download rennt als Flat über den Satelliten und der Upload über das Modem das von einem Zweitanbieter (Telekom oder so) zu einem Wucherpreis abgerechnet wird?

Falls ja versuch den Upload traffic so gut es geht zu vermeiden. Wobei du dir da extrem schwer tun wirst weil für jede Verbindung/Anfrage/... immer ein relativ hoher Overhead anfällt.

Falls Up und Download über den Satelliten laufen und man nur für Daten die man sendet Zahlen muss (hier kommt ebenfalls der Overhead hinzu) wär das für mich ein neues Modell ^^ Wer bietet denn so was an?

Aber in beiden Fällen zahlst du auch wenn jemand erfolgreich eine Verbindung zu dir aufbaut (3 Wege Handshake und so).