ICMP 3 / 3

[Bonita Montero]

Aus einer anderen Diskussion heraus in einer anderen NG hat sich für
mich folgende Frage ergeben: Und zwar gibt es ja die ICMP Meldung 3/3,
also destination / port unreachable.
Wenn ich meinen Linux-PC von der Windows-Seite aus auf einem Port ver-
suche zu connecten der nicht geöffnet ist dann läuft der in ein Timeout.
Daher gibt es die Möglichkeit, dass der Linux-PC diese Meldung gar nicht
verschickt oder, dass der Windows PC die nicht auswertet. Versuche ich
das andersrum, dann krieg ich sofort eine "connection refused" Meldung,
d.h. ich gehe mal davon aus, dass auch eine ICMP-3/3-Meldung verschickt
wurde und nix anderes. Versuche ich mit dem Linux-PC einen x-beliebigen
Host im Netz zu connecten, wo ich weiß, dass auf der anderen Seite ein
Linux-Rechner steckt, laufe ich immer in ein Timeout, d.h. die Gegen-
seite kann gar keine solche Meldungen verschicken oder das ist per
Default weg-konfiguriert.
Also: wie geht Linux damit Default-mäßig auf Server-Seite um ?

[Arno Welzel]

Bonita Montero, 2022-09-19 10:36:

> Aus einer anderen Diskussion heraus in einer anderen NG hat sich für
> mich folgende Frage ergeben: Und zwar gibt es ja die ICMP Meldung 3/3,
> also destination / port unreachable.

Ja. Und die wird vom letzten *Gateway* geschickt, der die angegebene
Zieladresse erreichen soll - also in der Regel ein Router, der zwei
Netze verbindet.

> Wenn ich meinen Linux-PC von der Windows-Seite aus auf einem Port ver-
> suche zu connecten der nicht geöffnet ist dann läuft der in ein Timeout.

Korrekt. Da es ja keinen Router dazwischen gibt. Deshalb einfach nur ein
Timeout, wenn Verbindungsversuche nicht explizit angenommen oder
abgelehnt werden.

> Daher gibt es die Möglichkeit, dass der Linux-PC diese Meldung gar nicht
> verschickt oder, dass der Windows PC die nicht auswertet. Versuche ich
> das andersrum, dann krieg ich sofort eine "connection refused" Meldung,
> d.h. ich gehe mal davon aus, dass auch eine ICMP-3/3-Meldung verschickt
> wurde und nix anderes. Versuche ich mit dem Linux-PC einen x-beliebigen

Nein - "connection refused" bedeutet, dass die Gegenstelle die
Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass auf
das TCP SYN ein TCP RST empfangen wurde, siehe auch
<https://www.rfc-editor.org/rfc/rfc793>.

> Host im Netz zu connecten, wo ich weiß, dass auf der anderen Seite ein
> Linux-Rechner steckt, laufe ich immer in ein Timeout, d.h. die Gegen-
> seite kann gar keine solche Meldungen verschicken oder das ist per
> Default weg-konfiguriert.
> Also: wie geht Linux damit Default-mäßig auf Server-Seite um ?

So, wie es bei TCP vorgesehen ist. Ob ein TCP RST gesendet wird oder die
Anfrage einfach unbeantwortet bleibt, hängt von der Konfiguration des
Systems ab.


--
Arno Welzel
https://arnowelzel.de

[Marc Haber]

Bonita Montero <Bonita....@gmail.com> wrote:
>Also: wie geht Linux damit Default-mäßig auf Server-Seite um ?

Das kannst Du Dir doch als Netzwerkprofi mit tcpdump und netcat
problemlos selbst beantworten. Und zwar in weniger Zeit die es
gebraucht hätte diesen Artikel zu schreiben.

Was Du in dieser Ebene übrigens nicht hinbekommst ist, den Unterschied
zwischen "hier läuft nichts, weil grad aus oder gestört, komm in einer
halben Stunde wieder" und "hier läuft nichts, ist auch nicht
beabsichtigt, kriegen wir auch nicht wieder rein" zu kommunizieren.

Deswegen wird ein connection failure auf TCP-Ebene bei SMTP auch als
temporärer Fehler gewertet.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marco Moock]

Am Montag, 19. September 2022, um 14:09:31 Uhr schrieb Arno Welzel:

> So, wie es bei TCP vorgesehen ist. Ob ein TCP RST gesendet wird oder
> die Anfrage einfach unbeantwortet bleibt, hängt von der Konfiguration
> des Systems ab.

Nein, bei TCP wird TCP-RST geschickt, es sei denn eine Firewall
unterdrückt es bzw. unterdrückt schon den TCP-SYN von der Gegenseite.

[Bonita Montero]

Am 19.09.2022 um 14:09 schrieb Arno Welzel:
> Bonita Montero, 2022-09-19 10:36:
>
>> Aus einer anderen Diskussion heraus in einer anderen NG hat sich für
>> mich folgende Frage ergeben: Und zwar gibt es ja die ICMP Meldung 3/3,
>> also destination / port unreachable.
>
> Ja. Und die wird vom letzten *Gateway* geschickt, der die angegebene
> Zieladresse erreichen soll - also in der Regel ein Router, der zwei
> Netze verbindet.

Wie soll das Gateway wissen, dass ein Port nicht erreichbar ist ?
In dem Sinne kann diese ICMP-Meldung nur vom Server kommen, alles
andere ist unmöglich,

> Nein - "connection refused" bedeutet, dass die Gegenstelle die
> Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass
> auf das TCP SYN ein TCP RST empfangen wurde, siehe auch
> <https://www.rfc-editor.org/rfc/rfc793>.

Wäre ne Möglichkeit, aber dann wäre ja besagte 3/3 ICMP-Meldung
ja sinnlos.

[Bonita Montero]

Am 19.09.2022 um 14:21 schrieb Marc Haber:

> Bonita Montero <Bonita....@gmail.com> wrote:

>> Also: wie geht Linux damit Default-mäßig auf Server-Seite um ?

> Das kannst Du Dir doch als Netzwerkprofi mit tcpdump und netcat
> problemlos selbst beantworten. Und zwar in weniger Zeit die es
> gebraucht hätte diesen Artikel zu schreiben.

Könnte ich, aber bin ich zu bequem für.

[Bonita Montero]

Am 19.09.2022 um 16:08 schrieb Bonita Montero:

>> Nein - "connection refused" bedeutet, dass die Gegenstelle die
>> Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass
>> auf das TCP SYN ein TCP RST empfangen wurde, siehe auch
>> <https://www.rfc-editor.org/rfc/rfc793>.

> Wäre ne Möglichkeit, aber dann wäre ja besagte 3/3 ICMP-Meldung
> ja sinnlos.

Achso, ja, und wenn das denn so regelmäßig Anwendung fände, dann
gäb es ja nicht das übliche Problem mit TCP Timeouts. Ich mein
dann gäb es doch sowas nicht wie wiederkherende Zustell-Versuche
bei Mails wenn der "Port" direkt Nein antwortet. Also prinzipiell
ist das sicher richtig, aber für mich stellt sich die Frage ob
diese Meldungen denn wirklich regelmäßig verschickt werden.

[Arno Welzel]

Bonita Montero, 2022-09-19 16:08:

> Am 19.09.2022 um 14:09 schrieb Arno Welzel:
>> Bonita Montero, 2022-09-19 10:36:
>>
>>> Aus einer anderen Diskussion heraus in einer anderen NG hat sich für
>>> mich folgende Frage ergeben: Und zwar gibt es ja die ICMP Meldung 3/3,
>>> also destination / port unreachable.
>>
>> Ja. Und die wird vom letzten *Gateway* geschickt, der die angegebene
>> Zieladresse erreichen soll - also in der Regel ein Router, der zwei
>> Netze verbindet.
>
> Wie soll das Gateway wissen, dass ein Port nicht erreichbar ist ?

Indem es versucht, die Verbindung dort hin aufzubauen - das ist ja der
Job des Gateways.

> In dem Sinne kann diese ICMP-Meldung nur vom Server kommen, alles
> andere ist unmöglich,

Weil?

>> Nein - "connection refused" bedeutet, dass die Gegenstelle die
>> Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass
>> auf das TCP SYN ein TCP RST empfangen wurde, siehe auch
>> <https://www.rfc-editor.org/rfc/rfc793>.
>
> Wäre ne Möglichkeit, aber dann wäre ja besagte 3/3 ICMP-Meldung
> ja sinnlos.

Nein.

[Bonita Montero]

Am 19.09.2022 um 16:37 schrieb Arno Welzel:
> Bonita Montero, 2022-09-19 16:08:
>
>> Am 19.09.2022 um 14:09 schrieb Arno Welzel:
>>> Bonita Montero, 2022-09-19 10:36:
>>>
>>>> Aus einer anderen Diskussion heraus in einer anderen NG hat sich für
>>>> mich folgende Frage ergeben: Und zwar gibt es ja die ICMP Meldung 3/3,
>>>> also destination / port unreachable.
>>>
>>> Ja. Und die wird vom letzten *Gateway* geschickt, der die angegebene
>>> Zieladresse erreichen soll - also in der Regel ein Router, der zwei
>>> Netze verbindet.
>>
>> Wie soll das Gateway wissen, dass ein Port nicht erreichbar ist ?
>
> Indem es versucht, die Verbindung dort hin aufzubauen - das ist ja der
> Job des Gateways.

Das Gateway weiß nix über Verbindungen, das wissen nur die Endpunkte.

>
>> In dem Sinne kann diese ICMP-Meldung nur vom Server kommen, alles
>> andere ist unmöglich,
>
> Weil?

Weil die Router dazwischen nicht die Frage beantworten können ob
ein Port offen oder zu ist.

>>> Nein - "connection refused" bedeutet, dass die Gegenstelle die
>>> Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass
>>> auf das TCP SYN ein TCP RST empfangen wurde, siehe auch
>>> <https://www.rfc-editor.org/rfc/rfc793>.
>>
>> Wäre ne Möglichkeit, aber dann wäre ja besagte 3/3 ICMP-Meldung
>> ja sinnlos.
>
> Nein.

Doch, denn das ist gleichwertig. Das Gatewas kann sowas
nicht verschicken da es nur auf Layer 3 arbeitet.

[Arno Welzel]

Bonita Montero, 2022-09-19 16:47:

> Am 19.09.2022 um 16:37 schrieb Arno Welzel:
>> Bonita Montero, 2022-09-19 16:08:

[...]

>>> Wie soll das Gateway wissen, dass ein Port nicht erreichbar ist ?
>>
>> Indem es versucht, die Verbindung dort hin aufzubauen - das ist ja der
>> Job des Gateways.
>
> Das Gateway weiß nix über Verbindungen, das wissen nur die Endpunkte.

Aber sicher weiß es das. Deswegen ist es ja ein Gateway.

>>> In dem Sinne kann diese ICMP-Meldung nur vom Server kommen, alles
>>> andere ist unmöglich,
>>
>> Weil?
>
> Weil die Router dazwischen nicht die Frage beantworten können ob
> ein Port offen oder zu ist.

Router haben den Auftrag, Pakete an ein Ziel weiterzuleiten. Wenn das
nicht möglich ist, antworten Sie mit der entsprechenden ICMP-Nachricht.
Genau dafür ist die ja da. Denn "Destination" bezieht sich auf das Ziel
vom Router aus gesehen.

[...]

>>>> Nein - "connection refused" bedeutet, dass die Gegenstelle die
>>>> Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass
>>>> auf das TCP SYN ein TCP RST empfangen wurde, siehe auch
>>>> <https://www.rfc-editor.org/rfc/rfc793>.
>>>
>>> Wäre ne Möglichkeit, aber dann wäre ja besagte 3/3 ICMP-Meldung
>>> ja sinnlos.
>>
>> Nein.
>
> Doch, denn das ist gleichwertig. Das Gatewas kann sowas
> nicht verschicken da es nur auf Layer 3 arbeitet.

Auch ein Gateway kann eine Verbindung aktiv ablehnen.

Zur Unterscheidung zwischen "ich will nicht, weil ich die Verbindung
ablehne" und "ich kann nicht, weil das gewünschte Ziel nicht erreichbar
ist", gibt es eben die ICMP-Nachricht.

[Marco Moock]

Am Dienstag, 20. September 2022, um 12:29:53 Uhr schrieb Arno Welzel:

> Router haben den Auftrag, Pakete an ein Ziel weiterzuleiten. Wenn das
> nicht möglich ist, antworten Sie mit der entsprechenden
> ICMP-Nachricht. Genau dafür ist die ja da. Denn "Destination" bezieht
> sich auf das Ziel vom Router aus gesehen.

Das kann aber auch ein anderer Router sein, dann ist es eben no route
to host.

> Auch ein Gateway kann eine Verbindung aktiv ablehnen.

Das wäre die Aufgabe einer Firewall, die in einem Router (Gateway)
integriert sein kann. Ein Router macht sowas aber nicht, der macht nur
ICMP.

> Zur Unterscheidung zwischen "ich will nicht, weil ich die Verbindung
> ablehne" und "ich kann nicht, weil das gewünschte Ziel nicht
> erreichbar ist", gibt es eben die ICMP-Nachricht.

Da gibt es ICMP administratively phohibited.

ftp://ietf.org/rfc/rfc4443.html#section-3.1

PS: FTP, weil das unser Christan so hasst.

[Bonita Montero]

Am 20.09.2022 um 12:29 schrieb Arno Welzel:
> Bonita Montero, 2022-09-19 16:47:
>
>> Am 19.09.2022 um 16:37 schrieb Arno Welzel:
>>> Bonita Montero, 2022-09-19 16:08:
> [...]
>>>> Wie soll das Gateway wissen, dass ein Port nicht erreichbar ist ?
>>>
>>> Indem es versucht, die Verbindung dort hin aufzubauen - das ist ja der
>>> Job des Gateways.
>>
>> Das Gateway weiß nix über Verbindungen, das wissen nur die Endpunkte.
>
> Aber sicher weiß es das. Deswegen ist es ja ein Gateway.

Sach mal, ist das dein Ernst ?
Ein Gateway leitet nur Pakete weiter und weiß nix von Verbindungen.

>
>>>> In dem Sinne kann diese ICMP-Meldung nur vom Server kommen, alles
>>>> andere ist unmöglich,
>>>
>>> Weil?
>>
>> Weil die Router dazwischen nicht die Frage beantworten können ob
>> ein Port offen oder zu ist.
>
> Router haben den Auftrag, Pakete an ein Ziel weiterzuleiten. Wenn das
> nicht möglich ist, antworten Sie mit der entsprechenden ICMP-Nachricht.

Ja, aber die gucken dafür garantiert nicht in den Layer 4, ganz sicher.

> Genau dafür ist die ja da. Denn "Destination" bezieht sich auf das Ziel
> vom Router aus gesehen.
>
> [...]
>>>>> Nein - "connection refused" bedeutet, dass die Gegenstelle die
>>>>> Verbindung aktiv abgelehnt hat. Üblicherweise bedeutet dass, dass
>>>>> auf das TCP SYN ein TCP RST empfangen wurde, siehe auch
>>>>> <https://www.rfc-editor.org/rfc/rfc793>.
>>>>
>>>> Wäre ne Möglichkeit, aber dann wäre ja besagte 3/3 ICMP-Meldung
>>>> ja sinnlos.
>>>
>>> Nein.
>>
>> Doch, denn das ist gleichwertig. Das Gatewas kann sowas
>> nicht verschicken da es nur auf Layer 3 arbeitet.
>
> Auch ein Gateway kann eine Verbindung aktiv ablehnen.

Ein NAT-Gateway kann das, das war's auch schon.
I.d.R. ist aber dafür der Endpunkt verantwortlich.

[Arno Welzel]

Marco Moock, 2022-09-20 13:31:

> Am Dienstag, 20. September 2022, um 12:29:53 Uhr schrieb Arno Welzel:

[...]

>> Zur Unterscheidung zwischen "ich will nicht, weil ich die Verbindung
>> ablehne" und "ich kann nicht, weil das gewünschte Ziel nicht
>> erreichbar ist", gibt es eben die ICMP-Nachricht.
>
> Da gibt es ICMP administratively phohibited.
>
> ftp://ietf.org/rfc/rfc4443.html#section-3.1
>
> PS: FTP, weil das unser Christan so hasst.

Welcher Christian?

Wenn Du mich meinst - ich hasse FTP nicht, ich finde es nur komplett
obsolet.

[Bonita Montero]

Am 20.09.2022 um 13:31 schrieb Marco Moock:

> PS: FTP, weil das unser Christan so hasst.

Erstens heiß ich nicht Christian, zweitens musst Du bei Punkten wo
ich etwas ablehne nicht deine Geistes-Haltung unterstellen bzw. bei
dir gibt es sicher viele Dinge die Du hasst, bei mir gar nichts.

[Marco Moock]

Der Christian Henne, der meist unter einem Namen schriebt, der bei mir
automatisiert gelöscht wird.