Moin!

Zur Probe wollte ich versuchen, dass icmp Pakete von außen geblockt werden, aber von innen gesendet werden dürfen. Ich teste dies anhand von ping.

Das willst du nicht wirklich.

Erstens gewinnst du äußerlich damit absolut nichts. Du wirst beispielsweise nicht "unsichtbar", nur weil keine Antwort auf Ping zurückkommt. Wäre dein Rechner offline, würde dein übergeordneter Router (beim Provider) eine entsprechende ICMP-Nachricht an den pingenden Host zurücksenden. Das bedeutet: Wenn du tatsächlich ping-mäßig unsichtbar werden wolltest, müßtest du eine derartige Antwort mit der IP des übergeordneten Routers fälschen - Pakete mit gefälschten IP-Adressen gehen aber nicht zwangsläufig auch raus aus dem Providernetz.

Zweitens ist ICMP nicht nur für Ping da, sondern überträgt noch eine ganze Reihe von sinnvollen Informationen, beispielsweise die Info, wenn die benutzte MTU zu groß ist und gesenkt werden soll. Das damit verbundene Phänomen wäre, wenn sich einzelne Webseiten nicht aufrufen lassen bzw. nur so halb gehen, obwohl sie mit Ping wunderbar zu erreichen sind, andere Webseiten hingegen perfekt funktionieren.

Deshalb: ICMP nicht stumpf filtern, wenn man nicht weiß, was und warum man es tut.

• Sven Rautenberg