On Thu, Jan 11, 2001 at 10:11:55AM +0100, Yann Sagon wrote:
> Bonjour,
>
> J'ai le problème suivant:
>
> J'ai un réseau local connecté à Internet à travers un pc linux qui fait firewall et
>masquerading.
>
> La liaison internet est permanente (ADSL)
>
> Tout marche très bien (ftp, web, telnet etc.) sauf pour certains sites. (ex:
>http://www.mysql.com)
>
> Je ne sais pas si il s'agit d'une coincidence, mais leur adresse ip commence par
>64.XXX.XXX.XXX et le site
> de freshmeat.net (que je n'arrive pas non plus à consulter commence aussi par 64).
>J'ai donc pensé qu'une règle
> bloquait la connection. Je n'ai rien trouvé. Si j'éssaie de faire un ping sur un de
>ces deux sites, ça ne marche pas.
> De l'extérieur non plus il ne semble pas possible de faire un ping sur ces sites.
>Avec nmap, j'ai constaté que tous
> les ports de ces sites sont en mode filtrés (y compris le port 80).
>
> J'ai vu quelque part (ipchains howto?) que pour ce genre de problème, il fallait
>mettre le MTU des cartes réseau du firewall sur
> 1500. Malheureusement, il est déja à 1500.
j'imagine que tu es un heureux utilisateur du super service
adsl de notre cher swisscon.
Derriere les decors, l'adsl swisscon est assez effrayant,
il y a un mix d'encapsulation dans du PPPoverEthernet, le toute passant
dans un reseau ATM.
Essaie de reduire le MTU d'une de tes machines (a 576 bytes
par exemple) avec ifconfig.
La 'vraie' solution serait de pouvoir utiliser PMTUD (Path MTU discovery)
mais trop de soi disant specialiste de securite ne comprennent
pas que bon nombre de packet ICMP sont _necessaire_ au fonctionnement
correct d'internet, et filtre _tout_ packet ICMP, ce qui est
une grossiere erreur.
sans doute que les sites que tu essayais atteindre sont derrieres
des firewall configure par ce genre de gars..
De ton cote, active le 'ICMP masquerading' dans le noyau.
> Je n'ai rien trouvé d'autre.
>
> Merci pour vos réponses
--
Philippe Strauss, safehost sa
En offrant aux regards trop de drame humain, la technologie nous a
desensibilisés, tant sur notre propre souffrance que sur celle des autres.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
