Sites inaccessibles derrière un firewall iptables ??

Sites inaccessibles derrière un firewall iptables ?? - Linux et OS Alternatifs

Marsh Posté le 19-02-2002 à 12:24:45    

j'ai beau chercher sur le forum et sur google, je trouve pas de problème similaire...
 
Quelqu'un a til deja eu le probleme?
 
J'ai activer le nat:
 
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.20.0/24 -j MASQUERADE
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
 
donc j'arrive pas a acceder par exemple a des sites comme:
lite.icq.com (je ping pas non plus)
www.yahoo.fr
 
 
Que faire???

Reply

Marsh Posté le 19-02-2002 à 12:24:45   

Reply

Marsh Posté le 19-02-2002 à 12:35:57    

j'ai eu ce problème.
ça venait du fait que certains sites envoient des paquets trop gros pour passer sur ma passerelle.  Comme les icmp de fragmentation-neeed ne passaient pas, le site ne savait jamais qu'il devait réduire la taile de ses paquets, donc cela se terminait en page inaccessible.
 
tu as vérifié ton mtu ?  
>ifconfig ppp0
 MTU: 1492
les autres cartes réseaux doivent être à 1500.
 
regarde sur ces sites tu trouveras des infos intéressantes.
http://www.hgfelger.de/mss/mss.html
http://www.worldgate.ca/~marcs/mtu/

Reply

Marsh Posté le 19-02-2002 à 13:02:02    

le mtu pour ppp0 est bien a 1492
et les autres a 1500..
 
 
un de tes 2 sites est inaccessible pour moi! lol

Reply

Marsh Posté le 19-02-2002 à 13:06:16    

Esskil faudrait pas regler les mtu sur le poste client aussi?

Reply

Marsh Posté le 19-02-2002 à 14:24:03    

Pas d'idée?

Reply

Marsh Posté le 19-02-2002 à 16:26:30    

si tes postes clients sont sous win il faut effectivement ajouter des clés MaxMtu=1412 dans la BdR.
 
Je les ai pas sous la main mais je pourrais toujours faire un regedit pour te le dire si tu trouve pas...

Reply

Marsh Posté le 19-02-2002 à 17:42:26    

:lol:
bon ajoute ça alors dans ton firewall
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-to-pmtu
et dis moi si ça fct mieux ;)
 
pour le mtu des clients ce n'est normalamnet pas nécessaire.
les 2 tecnhiques qui sont expliquées dans le readme du rp-pppoe je pense...

Reply

Marsh Posté le 20-02-2002 à 13:59:11    

--clamp-to-pmtu unkonwn arg ...  
 
jai pâs piger ce que ca faisiat

Reply

Marsh Posté le 20-02-2002 à 14:21:13    

ça réduit automatiquement la taille des paquets je pense
ça fct pas chez toi ?

Reply

Marsh Posté le 20-02-2002 à 15:36:14    

ca fonctionne pas chez moi..

Reply

Marsh Posté le 20-02-2002 à 15:36:14   

Reply

Marsh Posté le 21-02-2002 à 00:47:58    

donne éventuellement ton script de firewall

Reply

Marsh Posté le 21-02-2002 à 16:25:24    

juste en mettant les lignes que je t'ai indiquer dans mon premier post...
 
 
je suis en train de faire des tests pour mettre o point toutes les regles..
 
mais a lheure actuelle il nay a que le postrouting d'activer! :-)

Reply

Marsh Posté le 21-02-2002 à 18:03:41    

tu peux poster les liens de quelques sites qui ne passent pas ?

Reply

Marsh Posté le 22-02-2002 à 09:39:44    

chr_79 a écrit a écrit :

tu peux poster les liens de quelques sites qui ne passent pas ?  




 
lite.icq.com (je ping pas non plus)
www.yahoo.fr
www.lacentrale.fr

Reply

Marsh Posté le 22-02-2002 à 11:27:40    

le mtu sur mon interface ppp0 est a 1492 et sur l'eth3 (linterface sur laquelle monte ppp) est a 1500 : c apose probleme ou pas??
 
 
 
 
je baisse le mtu de ppp0?si oui a combien?
 
je teste?

Reply

Marsh Posté le 22-02-2002 à 12:43:13    

non tes mtus sont bons...
 
par contre laisse passer les icmps dans ton firewall (pas que le ping)
 
la règle que je t'ai donnée retourne une erreur ou bien elle ne change rien à ton problème ? (quelle version d'iptables utlises tu ?)

Reply

Marsh Posté le 22-02-2002 à 13:20:26    

jai essayer de baisser le mtu et mru a 1460 rien n'a changer,
 
iptables v1.2.5
 
je laisse tout passer pour le moment:
police par defaut sur les chaines input, output, forward = ACCEPT
 
 
et ca :
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.20.0/24 -j MASQUERADE  
 
echo 1 > /proc/sys/net/ipv4/ip_forward  
 
en telnet je me connecte sur www.yahoo.fr (port 80: GET / me renvoi le contenu de la page html)
 
le tracert et le ping marchent sur yahoo.fr
 
 
"iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-to-pmtu "
 
le param clamp-to-pmtu n'est pas bon, je lai retrouver sur un autre site mais quand change il me dit que TCPMSS n'est pas une action valide...
 
Vala les dernieres info...
 
Si ca evoque kkchose a kkun..

Reply

Marsh Posté le 22-02-2002 à 13:23:09    

vide toutes les chaines :
 
 
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
 
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -F PREROUTING -t nat
/sbin/iptables -F OUTPUT -t nat


---------------

Reply

Marsh Posté le 25-02-2002 à 11:45:11    

Lebibi a écrit a écrit :

vide toutes les chaines :
 
 
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
 
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -F PREROUTING -t nat
/sbin/iptables -F OUTPUT -t nat  




 
 
toutes mes chaines sont videes... jai rebooter
 
sinon le prob persiste .. un pote m'a parler d'un probleme concernant l'option QOS dans le noyau; ca dit kkchose a kkun?

Reply

Marsh Posté le 26-02-2002 à 20:46:17    

personne?

Reply

Marsh Posté le 28-02-2002 à 10:23:18    

:bounce:  
 
 
jen ai grave besoin (pas forcement pour icq ou yahoo, mais ya pleins dotres sites qui passent pas)..
 
Je trouve rien... :(

Reply

Marsh Posté le 28-02-2002 à 13:49:16    

tu as compilé ton ppp en kernel mode ?
 
enfin de toute façon je suis aussi en iptables 1.2.5 (compilé avec tout les paramètres en défaut) et TCPMSS fct parfaitement.
Donc essaye qe la commande fonctionne. (regarde éventuellement dans ton kernel si tu as tout compilé en module ou en fixe)
 
Vérifie qe tu as bien dans /etc/ppp/pppoe.conf
CLAMPMSS=1412
 
sinon fait un tcpdump -i ppp0 et essaye d'accéder à un site injoignable depuis ta passerelle et depuis ton client.
Regarde la taille des packets et éventuellement ou il bloque.
 
fait un "iptables -L" et regarde qu'il n'y ait que les règles spécifiées dans ton firewal qui soit présente.

Reply

Marsh Posté le 28-02-2002 à 15:00:31    

ethernal a écrit a écrit :

tu as compilé ton ppp en kernel mode ?
 
enfin de toute façon je suis aussi en iptables 1.2.5 (compilé avec tout les paramètres en défaut) et TCPMSS fct parfaitement.
Donc essaye qe la commande fonctionne. (regarde éventuellement dans ton kernel si tu as tout compilé en module ou en fixe)
 
Vérifie qe tu as bien dans /etc/ppp/pppoe.conf
CLAMPMSS=1412
 
sinon fait un tcpdump -i ppp0 et essaye d'accéder à un site injoignable depuis ta passerelle et depuis ton client.
Regarde la taille des packets et éventuellement ou il bloque.
 
fait un "iptables -L" et regarde qu'il n'y ait que les règles spécifiées dans ton firewal qui soit présente.  




 
ppp est compiler en kernel mode.
 
jai aussi la version 1.2.5 installer par dselect de la Debian.
Si j'applique ta ligne de commadne telle que tu me la donnes il me dit que --clamp-to-pmtu est unbad argument ;-)
jai mis a la place --clamp-mss-to-mtu et la il me dit que --tcp-flags est un unknown argument :)
on v a y arriver.
 
J'ai trouver ca ici: http://www.linux-france.org/prj/in [...] 30-16.html
 
mais ca ne passe pas non plus..
 
jutilise pas rp-pppoe : jai un option.pppoe (script fourni par FT pour la connexion adsl: start-pppoe/stop-pppoe)
 
vala les derniers news! :)
 
en tout cas merci Ethernal de te prendre la tete avec moi! :D

Reply

Marsh Posté le 28-02-2002 à 16:36:38    

sympa le petit guide :)
 
malheureusement je pense que la ligne d'iptables est la seule qui puisse te sauver  :(  
 
j'ai retrouvé la ligne exacte que j'utilise dans mon firewall (et plus celle provenant du site).  Je viens de me rendre compte que ce n'est pas exactement la même.
 
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 
j'espère qu'elle fctera chez toi

 

[jfdsdjhfuetppo]--Message édité par ethernal--[/jfdsdjhfuetppo]

Reply

Marsh Posté le 28-02-2002 à 17:33:53    

"iptables: No chain/target/match by that name"
 
voila kess kil me dit.... :(
 
c le -j quil aime pas la je crois... reloud il est iptables...

Reply

Marsh Posté le 01-03-2002 à 09:37:04    

:bounce:

Reply

Marsh Posté le 01-03-2002 à 17:20:37    

j'ai eu exactement le meme probleme au passage a Iptable.
comme j'avait pas envie de perdre du temp la dessus, j'ai remit Ipchains.......
Donc si quelqu'un trouve, je suis preneur aussi !


---------------
Starlifter, Membre de la Team KHEOPS : la secte du Verre magique !
Reply

Marsh Posté le 03-03-2002 à 12:54:21    

ahah.. je suis pas le seul!!!! YES!!  
 
Mais je trouve tjs pas...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed