Hallo,

kann jemand erklären was das IN bei Richtung bedeutet? 

Also ganz spontan würde ich jetzt mal auf IN, OUT, ANY tippen... Sprich rein, raus, beides...

"IN" ist rein, also aus dem Internet IN dein Netz, "OUT" ist logischerweise von drinnen raus und "ANY" ist bidirektional.

Nicht unbedingt.

Eher IN die Firewall und AUS der Firewall heraus.

Korrekt. Üblicherweise bezieht sich auf das angegebene Interface - siehe z.B. Mailserver Verbindung aus DMZ über DMZ Interface.

Zu FWs im echten Leben:  Bitte macht es anderen Admins leichter und blockiert nicht einfach ICMP mittels "drop", sondern rejectet mit icmp-net-prohibited, etc. Und nutzt das aktuelle IPv6, nicht dieses altbackene Legacy Protokoll

Es handelt sich hierbei um eine SPI Firewall diese arbeitet statusorientiert das heisst eine Regel für ein und ausgehende Verbindungen.

Hingegen einer Paketfilter Firewall hier muss man für eingehende und ausgehende regeln eine Regel deffinieren

@RipperFox
Also als Netzwerker kann ich nur dazu raten, ICMP innerhalb des Netzes komplett zuzulassen, denn beim Debugging hilft das ungemein.

@Crash2001 Naja, z.B. ICMP Redirect abzulehnen mag sinnvoll sein, bin aber sonst voll Deiner Meinung. Wenn man via ICMP "Net-Prohibited" o.ä.  zurückbekommt weiss man, dass da gewollt was geblockt wird..

Bearbeitet 27. November 20186 j von RipperFox

Dann weiß man zwar, dass es auf der Firewall geblockt wird (und das Paket somit schon einmal bis dort hin kommt) - das heißt aber ja noch lange nicht, dass das Gateway von dem Netz erreichbar ist, oder aber der Client selber.

Von daher sollte man zumindest ICMP Ping und ICMP Traceroute freischalten. Falls Unix/Linux Systeme im Einsatz sind sollte zusätzlich  auch UDP Traceroute freigeschaltet sein, da Linux Traceroutes per UDP schickt statt per ICMP (wie Windows z.B.).