On Thu, Jan 11, 2001 at 12:09:55PM +0100, Yann Sagon wrote:
> > On Thu, Jan 11, 2001 at 10:11:55AM +0100, Yann Sagon wrote:
>
> Non, ce n'est pas chez Swisscom. De toute manière, ceci ne me semble pas
> être le problème.
> En effet, si je me mets devant mon firewall, j'arrive à accéder aux sites
> cités.
oui tu es connecte chez vtx, mais je sais qu'ils utilisent
le service adsl swisscom depuis peu. Si ton modem est un alcaltel,
c'est ce dont je parle, autrement c'est un service entierement
vtx.
Le truc, c'est que le MTU par ces systemes de last mile
swisscom peut etre inferieure de quelques dizaines de byte
par rapport a 1500 (a cause d'une encapsulation PPP sur ethernet).
si cela marche devant ton FW et pas derriere, cela pourrait
etre du au fait que le MTU est inferieures a 1500, donc que
PMTUD est necessaire pour etablir la connection, mais que
PMTUD est perturbe par le firewalling excessif des messages ICMP
sur quelques rare sites.
Note que dans ce cas, la connectivite et partiellement possible,
mais les connections 'bloque' en cours de route et ne reprennent
jamais. c'est ce genre la, oui bien vraiment rien de rien entre
le site a probleme et ta machine cliente?
(l'ideal serait une trace de tentative de connection, relevee
avec tcpdump, pour que j'y voie qqchose.)
> > j'imagine que tu es un heureux utilisateur du super service
> > adsl de notre cher swisscon.
> > Derriere les decors, l'adsl swisscon est assez effrayant,
> > il y a un mix d'encapsulation dans du PPPoverEthernet, le toute passant
> > dans un reseau ATM.
> > Essaie de reduire le MTU d'une de tes machines (a 576 bytes
> > par exemple) avec ifconfig.
> J'ai essayé (est-il nécessaire de redémarer pour que le paramètre prenne
> effet?)
non.
> j'ai fait ifconfig eth1 mtu 576 c'est ok?
oui parfait.
tu peux executer 'ifconfig eth1' afin de verifier qu'il est
bien descendu a 576.
> (j'ai essayé sur le firewall et sur une machine du réseau interne)
oui c'est sur la machine cliente qu'il faut essayer.
> > La 'vraie' solution serait de pouvoir utiliser PMTUD (Path MTU discovery)
> > mais trop de soi disant specialiste de securite ne comprennent
> > pas que bon nombre de packet ICMP sont _necessaire_ au fonctionnement
> > correct d'internet, et filtre _tout_ packet ICMP, ce qui est
> > une grossiere erreur.
> > sans doute que les sites que tu essayais atteindre sont derrieres
> > des firewall configure par ce genre de gars..
> > De ton cote, active le 'ICMP masquerading' dans le noyau.
> Comment puis-je savoir si il est déja activé?
le noyau utilise un fichier de configuration avant la
compilation qui s'apelle .config
je crois qu'a peu pres toutes les distributions l'inclue avec
le package du noyau, sous debian il se trouve sous
/boot/config-{KERNELVERSION}
si le masquerading ICMP est active, il devrait y figurer
cette ligne:
CONFIG_IP_MASQUERADE_ICMP=y
(valable uniquement pour 2.2.x)
--
Philippe Strauss, safehost sa
En offrant aux regards trop de drame humain, la technologie nous a
desensibilisés, tant sur notre propre souffrance que sur celle des autres.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
