Linux Firewall mit ipchains

Unreachable ICMP-Pakete erlauben

Auch sind ankommende ICMP-Pakete aus den Gruppen "unreachable", "time-exceeded", "source-quench" und "parameter-problem" sowohl von intern als auch von extern zu erlauben. Damit erfährt die Firewall, wenn Verbindungsfehler auftreten, und die Verbindungen beleiben nicht bis zum Timeout bestehen.

# Internet -> Firewall: ICMP-Pakete zur Benachrichtung bei Verbindungsproblemen
ipchains -A input -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
# time exceeded
ipchains -A input -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
# source quench
ipchains -A input -i ppp0 -p icmp --icmp-type source-quench -j ACCEPT
# parameter problem
ipchains -A input -i ppp0 -p icmp --icmp-type parameter-problem -j ACCEPT
# intern -> Firewall: ICMP-Pakete zur Benachrichtung bei Verbindungsproblemen
ipchains -A input -i eth0 -p icmp -s 192.168.1.0/24 -d 192.168.1.1 --icmp-type destination-unreachable -j ACCEPT
# time exceeded
ipchains -A input -i eth0 -p icmp -s 192.168.1.0/24 -d 192.168.1.1 --icmp-type time-exceeded -j ACCEPT
# source quench
ipchains -A input -i eth0 -p icmp -s 192.168.1.0/24 -d 192.168.1.1 --icmp-type source-quench -j ACCEPT
# parameter problem
ipchains -A input -i eth0 -p icmp -s 192.168.1.0/24 -d 192.168.1.1 --icmp-type parameter-problem -j ACCEPT