Circumventing Path MTU Discovery issues with MSS Clamping (for ADSL,
cable, PPPoE & PPtP users)
http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.cookbook.mtu-mss.html
Dupuis Eric wrote:
Bonjour,
Sans apporter la solution, j’ai eu affaire ce week-end à un problème
similaire.
(Problème pas encore solutionné et je n’aurai malheureusement pas la
machine avant ce week-end pour tenté de le faire).
C’est une configuration similaire avec
- un modem Speedtouch USB sur ppp0
- une ethernet en eth0 (pour l’intranet)
- Pas de problème pour initialiser les interfaces.
- Pas de problème de communication entre un PC interne et la station
linux (via eth0)
- Pas de problème de communication avec ppp0. (je peux surfer sans
problème via l’adsl)
Lorsque j’active ip_forward et que je configure le masquerade via
iptables, j’ai bien la liaison avec l’extérieur et quelque page web
fonctionne. Cependant, lorsque le document chargé est plus grand
celui-ci ne passe plus.
Lorsque j’ai analysé le trafic sur le FW, il y a bien des packets
manquants. Ce sont les plus gros.
En regardant la config de ppp0 j’obtenais un MTU de 1500
Lorsque je modifie celui-ci (j’ai testé avec 1492 et puis différentes
valeurs), je suis parvenu à obtenir certaines pages web qui bloquaient
avant, mais sans plus de réel succès.
J’en suis à ce stade pour l’instant et reprendrai probablement les
test ce weekend.
Est-ce réellement un problème de mtu ou plutôt de netfilter? Je l’ignore.
Eric Dupuis
Benoit Gillon a écrit :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Salut a vous,
Je vous envoye ce petit mail car j'ai un soucis avec un firewall qui
me donne pas mal de fils a re-tordre.
J'ai un firewall processeur p4 HT
Sur ce firewall 2 cartes réseaux.
Distrib Debian.
Tester avec le kernel 2.6.8-2-686-smp et le 2.6.12-1-686-smp
iptables v1.3.3
Roaring Penguin PPPoE Version 3.5
Un autre firewall avec les même soft et même version (sauf que c'est
un kernel 2.8 non smp) TOUT fonctionne
Un script tester et fonctionnel sur un autre firewall et fonctionnel.
Voici le symptome étrange.
1) proxy squid en transparent
--> les machines en interne (IE et firefox) demande des pages
"www.google.be" fonctionne tres bien
--> pages "www.ebay.be" fonctionne aussi
--> pages "www.fortis.be" fonctionne
--> pages "https:\\ ..... " de chez fortis et autre par exemple
"www.cbc.be" FONCTIONNE PAS ??? Un tcpdump me montre que des packets
sortent bien du firewall et
qu'ils en revient, mais apres un certain temps pafff retry Le message
du site cbc "votre browser ne supporte pas le protocole
ssl" pourtant tout fonctionne bien avec mon portable même config sur
un autre firewall.
2) encore plus étrange (mais qui pourais donner un puce a l'oreille)
proxy squid arreter et changement des regles de firewall pour ne
plus faire de transparent proxy.
--> www.google.be OK
--> www.ebay.be www.fortis.be www.cbc.be AUCUNE des pages ne
fonctionne même pas ebay qui n'est pas en https
Arghhh je comprend plus rien....
Est-ce que quelqu'un a une idée, ce serais d'un grand secours car le
site sur lesquel se trouve le firewall n'est pas fonctionnel et c'est
urgent :(
Merci d'avance pour vos idées.
Benoit Gillon.
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.1
iQA/AwUBQ187+XCb6olYn75rEQIXOQCfbp5l83U90r4+KJHRocWS/T91zQwAniDa
26/RLjar0Qs/3RLa9gGH8ydi
=GMOE
-----END PGP SIGNATURE-----
------------------------------------------------------------------------
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux
Archives: http://www.mail-archive.com/linux@lists.unixtech.be
IRC: chat.unixtech.be:6667 - #unixtech
NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux
Archives: http://www.mail-archive.com/linux@lists.unixtech.be
IRC: chat.unixtech.be:6667 - #unixtech
NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
