Re: Hotmail à travers un Firewall
Marc SCHAEFER wrote: > > On Wed, 9 May 2001, Gilbert ROBERT wrote: > > > Est-ce que quelqu'un a déjà rencontré ce problème avec HotMail? > non. Mes idées: >- c'est pas ECN car 2.2.x ne supporte pas ECN à ma connaissance. Je pense que le problème vient en effet du ECN. De ce que j'ai pu lire sur le rezo: > Just curious if others have noticed that hotmail is unable to deal with > ECN and wondering if this is a standard that should be encouraged, as in > should I tell hotmail that perhaps they should look into supporting it, or > should I not waste my breath and echo 0 > /proc/sys/net/ipv4/tcp_ecn? > They are. I do think they have a point, though; ECN is listed as an experimental standard at IETF, and I do think that it's not exactly fair to *require* everyone to use it until it is standards-track. It would be another thing if Linux could turn it off on a per-connection basis if these packets get dropped. - Now recall that anything not known to be safe should be denied (in a good firewall) -- see Cheswick and Bellovin for why. When you take this point of view, it is completely understandable why firewalls designed before ECN was introduced might block it. Donc je pense que c'est le firewall qui bloque les paquets avec ECN! Probablement que le accept_source_route est disable. # Disable Source Routed Packets for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $f done >- le mail n'indique pas si POP et WWW fonctionnent je pense que oui puisque: >> Again, my http and https ports are open and >> everything works OK with other https sites, Gilbert -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Hotmail à travers un Firewall
On Wed, 9 May 2001, Gilbert ROBERT wrote: > Est-ce que quelqu'un a déjà rencontré ce problème avec HotMail? non. Mes idées: - c'est pas ECN car 2.2.x ne supporte pas ECN à ma connaissance. - le mail n'indique pas si POP et WWW fonctionnent - si tu entends que les clients qui veulent envoyer du mail utilisent le serveur SMTP de hotmail avec une magouille préalable qui autorise le SMTP d'hotmail à relayer depuis une adresse donnée; ben cela ne marchera pas vu que l'adresse du client n'est pas routable. [En SMTP-after-POP, cela marcherait, mais en https avec obtention d'un ticket (adresse IP client, code secret) cela ne marcherait jamais --- je ne connais pas les détails du protocole de hotmail, et il faudrait comme pour DCC d'IRC, FTP actif écrire un module ip_masq. De toute manière SMTP-after-POP est aussi mauvais.] Moi en général je dis à tous les clients d'envoyer du mail sur la passerelle (port 25), et ensuite la passerelle envoie sur un smart-host. Le seul cas où je ferais du delivery direct depuis la passerelle (sans smart-host chez le fournisseur) serait une connexion permanente. En dialup, le DUL empêche cela, de plus ça maintient en ligne longtemps. L'avantage c'est qu'en cas de problème avec hotmail depuis la passerelle, tu peux utiliser mailertable (sendmail) pour relayer ce domaine uniquement via le smarthost. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Hotmail à travers un Firewall
J'ai reçu cela: Est-ce que quelqu'un a déjà rencontré ce problème avec HotMail? Gilbert >I have an interesting problem: on a subnet, I have set up a >firewall running Linux ipchains (kernel 2.2.19). >Everything is blocked by >default, then ports are open separately for TCP, UDP and >ICMP packets. Ports 80 and 110 are open in both ways. > >However, hotmail.com is now no more reachable from >inside and it goes so far that mail sent to a hotmail >address cannot be delivered as no SMTP connection is >made. Mail coming from hotmail to the SMTP server >inside of protected subnet is delivered. > >I have remarked that www.hotmail.com has several IP >addresses and actual mail servers are distributed over >several machines in several subdomains. Hotmail first >determines to which machine to connect, makes an http >connection, then sends credentials over https, then >goes back to http. > >Does someone already found out what trick is Microsoft >using ? Again, my http and https ports are open and >everything works OK with other https sites, but there >has to be some obscure ICMP packet that cannot pass >through. > >Thanks in advance for any advice. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
