On Thu, Jan 11, 2001 at 10:11:55AM +0100, Yann Sagon wrote:
> Bonjour,
>
> J'ai le probl�me suivant:
>
> J'ai un r�seau local connect� � Internet � travers un pc linux qui fait firewall et
>masquerading.
>
> La liaison internet est permanente (ADSL)
>
> Tout marche tr�s bien (ftp, web, telnet etc.) sauf pour certains sites. (ex:
>http://www.mysql.com)
>
> Je ne sais pas si il s'agit d'une coincidence, mais leur adresse ip commence par
>64.XXX.XXX.XXX et le site
> de freshmeat.net (que je n'arrive pas non plus � consulter commence aussi par 64).
>J'ai donc pens� qu'une r�gle
> bloquait la connection. Je n'ai rien trouv�. Si j'�ssaie de faire un ping sur un de
>ces deux sites, �a ne marche pas.
> De l'ext�rieur non plus il ne semble pas possible de faire un ping sur ces sites.
>Avec nmap, j'ai constat� que tous
> les ports de ces sites sont en mode filtr�s (y compris le port 80).
>
> J'ai vu quelque part (ipchains howto?) que pour ce genre de probl�me, il fallait
>mettre le MTU des cartes r�seau du firewall sur
> 1500. Malheureusement, il est d�ja � 1500.
j'imagine que tu es un heureux utilisateur du super service
adsl de notre cher swisscon.
Derriere les decors, l'adsl swisscon est assez effrayant,
il y a un mix d'encapsulation dans du PPPoverEthernet, le toute passant
dans un reseau ATM.
Essaie de reduire le MTU d'une de tes machines (a 576 bytes
par exemple) avec ifconfig.
La 'vraie' solution serait de pouvoir utiliser PMTUD (Path MTU discovery)
mais trop de soi disant specialiste de securite ne comprennent
pas que bon nombre de packet ICMP sont _necessaire_ au fonctionnement
correct d'internet, et filtre _tout_ packet ICMP, ce qui est
une grossiere erreur.
sans doute que les sites que tu essayais atteindre sont derrieres
des firewall configure par ce genre de gars..
De ton cote, active le 'ICMP masquerading' dans le noyau.
> Je n'ai rien trouv� d'autre.
>
> Merci pour vos r�ponses
--
Philippe Strauss, safehost sa
En offrant aux regards trop de drame humain, la technologie nous a
desensibilis�s, tant sur notre propre souffrance que sur celle des autres.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
