Hallo Leute,
vielleicht hab ich Tomaten auf den Augen, aber ich finde den Fehler nicht. Wie der Titel schon verrät blockt mein ipfw icmp-reply. Hier mal das Regelwerk:
Wenn ich einen Host pinge dann werden die Antworten von Regel 2400 geblockt. In 2200 hab ich ein keep-state, m. E. müsste dann doch eine State erstellt werden und auch die Antwortpakete müssten durch gehen.
Wenn ich Regel 2200 aber auf 550 setzte, dann klappt der Ping komplett.
???
vielleicht hab ich Tomaten auf den Augen, aber ich finde den Fehler nicht. Wie der Titel schon verrät blockt mein ipfw icmp-reply. Hier mal das Regelwerk:
Code:
# ipfw list
00100 allow ip from any to any via lo0
00200 check-state
00300 allow tcp from me to any established
00400 allow tcp from me to any setup keep-state
00500 allow udp from me to any keep-state
00600 allow tcp from table(1) to any dst-port 22 in setup keep-state
00700 allow tcp from 10.0.0.0/8 to 10.0.0.12 dst-port 2049 in setup keep-state
00800 allow udp from 10.0.0.0/8 to 10.0.0.12 dst-port 2049 in
00900 allow tcp from 10.0.0.0/8 to 10.0.0.12 dst-port 879 in
01000 allow udp from 10.0.0.0/8 to 10.0.0.12 dst-port 879 in
01100 allow tcp from 10.0.0.0/8 to 10.0.0.12 dst-port 111 in
01200 allow udp from 10.0.0.0/8 to 10.0.0.12 dst-port 111 in
01300 allow tcp from 10.0.0.0/8 to 10.0.0.12 dst-port 8118 in setup keep-state
01400 allow tcp from 10.0.0.0/8 to 10.0.0.12 dst-port 9050 in setup keep-state
01500 allow tcp from any to 10.0.0.81 dst-port 80 in setup limit src-addr 4
01600 allow tcp from any to 10.0.0.81 dst-port 443 in setup limit src-addr 4
01700 allow tcp from 10.0.0.0/8 to 10.0.0.82 dst-port 80 in setup keep-state
01800 allow tcp from 10.0.0.0/8 to 10.0.0.12 dst-port 9091 in setup keep-state
01900 allow tcp from any to 10.0.0.12 dst-port 51413 in
02000 allow udp from any to 10.0.0.12 dst-port 51413 in
02100 allow icmp from 10.0.0.0/8 to any icmptypes 0,3,4,8,11
02200 allow icmp from me to any keep-state
02300 unreach host-unknown log tcp from any to any
02400 deny log ip from any to any
65535 deny ip from any to any
Wenn ich Regel 2200 aber auf 550 setzte, dann klappt der Ping komplett.
???