 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Sites inaccessibles derrière un firewall iptables ?? | |
| laihaunet | ahah.. je suis pas le seul!!!! YES!! Mais je trouve tjs pas... |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| laihaunet | ahah.. je suis pas le seul!!!! YES!! Mais je trouve tjs pas... |
| starlifter | j'ai eu exactement le meme probleme au passage a Iptable.
comme j'avait pas envie de perdre du temp la dessus, j'ai remit Ipchains....... Donc si quelqu'un trouve, je suis preneur aussi ! |
| laihaunet | :bounce: |
| laihaunet | "iptables: No chain/target/match by that name"
voila kess kil me dit.... :( c le -j quil aime pas la je crois... reloud il est iptables... |
| ethernal | sympa le petit guide :)
malheureusement je pense que la ligne d'iptables est la seule qui puisse te sauver :( j'ai retrouvé la ligne exacte que j'utilise dans mon firewall (et plus celle provenant du site). Je viens de me rendre compte que ce n'est pas exactement la même. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu j'espère qu'elle fctera chez toi [jfdsdjhfuetppo]--Message édité par ethernal--[/jfdsdjhfuetppo] |
| laihaunet |
|
| ethernal | tu as compilé ton ppp en kernel mode ?
enfin de toute façon je suis aussi en iptables 1.2.5 (compilé avec tout les paramètres en défaut) et TCPMSS fct parfaitement. Donc essaye qe la commande fonctionne. (regarde éventuellement dans ton kernel si tu as tout compilé en module ou en fixe) Vérifie qe tu as bien dans /etc/ppp/pppoe.conf CLAMPMSS=1412 sinon fait un tcpdump -i ppp0 et essaye d'accéder à un site injoignable depuis ta passerelle et depuis ton client. Regarde la taille des packets et éventuellement ou il bloque. fait un "iptables -L" et regarde qu'il n'y ait que les règles spécifiées dans ton firewal qui soit présente. |
| laihaunet | :bounce: jen ai grave besoin (pas forcement pour icq ou yahoo, mais ya pleins dotres sites qui passent pas).. Je trouve rien... :( |
| laihaunet | personne? |
| laihaunet |
|
| lebibi | vide toutes les chaines :
/sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -F FORWARD /sbin/iptables -F POSTROUTING -t nat /sbin/iptables -F PREROUTING -t nat /sbin/iptables -F OUTPUT -t nat |
| laihaunet | jai essayer de baisser le mtu et mru a 1460 rien n'a changer,
iptables v1.2.5 je laisse tout passer pour le moment: police par defaut sur les chaines input, output, forward = ACCEPT et ca : iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.20.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward en telnet je me connecte sur www.yahoo.fr (port 80: GET / me renvoi le contenu de la page html) le tracert et le ping marchent sur yahoo.fr "iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-to-pmtu " le param clamp-to-pmtu n'est pas bon, je lai retrouver sur un autre site mais quand change il me dit que TCPMSS n'est pas une action valide... Vala les dernieres info... Si ca evoque kkchose a kkun.. |
| ethernal | non tes mtus sont bons...
par contre laisse passer les icmps dans ton firewall (pas que le ping) la règle que je t'ai donnée retourne une erreur ou bien elle ne change rien à ton problème ? (quelle version d'iptables utlises tu ?) |
| laihaunet | le mtu sur mon interface ppp0 est a 1492 et sur l'eth3 (linterface sur laquelle monte ppp) est a 1500 : c apose probleme ou pas??
je baisse le mtu de ppp0?si oui a combien? je teste? |
| laihaunet |
|
| chr_79 | tu peux poster les liens de quelques sites qui ne passent pas ? |
| laihaunet | juste en mettant les lignes que je t'ai indiquer dans mon premier post...
je suis en train de faire des tests pour mettre o point toutes les regles.. mais a lheure actuelle il nay a que le postrouting d'activer! :-) |
| ethernal | donne éventuellement ton script de firewall |
| laihaunet | ca fonctionne pas chez moi.. |
| ethernal | ça réduit automatiquement la taille des paquets je pense
ça fct pas chez toi ? |
| laihaunet | --clamp-to-pmtu unkonwn arg ... jai pâs piger ce que ca faisiat |
| ethernal | :lol:
bon ajoute ça alors dans ton firewall iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-to-pmtu et dis moi si ça fct mieux ;) pour le mtu des clients ce n'est normalamnet pas nécessaire. les 2 tecnhiques qui sont expliquées dans le readme du rp-pppoe je pense... |
| 911GT3 | si tes postes clients sont sous win il faut effectivement ajouter des clés MaxMtu=1412 dans la BdR.
Je les ai pas sous la main mais je pourrais toujours faire un regedit pour te le dire si tu trouve pas... |
| laihaunet | Pas d'idée? |
| laihaunet | Esskil faudrait pas regler les mtu sur le poste client aussi? |
| laihaunet | le mtu pour ppp0 est bien a 1492
et les autres a 1500.. un de tes 2 sites est inaccessible pour moi! lol |
| ethernal | j'ai eu ce problème.
ça venait du fait que certains sites envoient des paquets trop gros pour passer sur ma passerelle. Comme les icmp de fragmentation-neeed ne passaient pas, le site ne savait jamais qu'il devait réduire la taile de ses paquets, donc cela se terminait en page inaccessible. tu as vérifié ton mtu ? >ifconfig ppp0 MTU: 1492 les autres cartes réseaux doivent être à 1500. regarde sur ces sites tu trouveras des infos intéressantes. http://www.hgfelger.de/mss/mss.html http://www.worldgate.ca/~marcs/mtu/ |
| laihaunet | j'ai beau chercher sur le forum et sur google, je trouve pas de problème similaire...
Quelqu'un a til deja eu le probleme? J'ai activer le nat: iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.20.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward donc j'arrive pas a acceder par exemple a des sites comme: lite.icq.com (je ping pas non plus) www.yahoo.fr Que faire??? |
