j'ai beau chercher sur le forum et sur google, je trouve pas de problème similaire...
 
Quelqu'un a til deja eu le probleme?
 
J'ai activer le nat:
 
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.20.0/24 -j MASQUERADE
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
 
donc j'arrive pas a acceder par exemple a des sites comme:
lite.icq.com (je ping pas non plus)
www.yahoo.fr
 
 
Que faire???

j'ai eu ce problème.
ça venait du fait que certains sites envoient des paquets trop gros pour passer sur ma passerelle.  Comme les icmp de fragmentation-neeed ne passaient pas, le site ne savait jamais qu'il devait réduire la taile de ses paquets, donc cela se terminait en page inaccessible.
 
tu as vérifié ton mtu ?  
>ifconfig ppp0
 MTU: 1492
les autres cartes réseaux doivent être à 1500.
 
regarde sur ces sites tu trouveras des infos intéressantes.
http://www.hgfelger.de/mss/mss.html
http://www.worldgate.ca/~marcs/mtu/

le mtu pour ppp0 est bien a 1492
et les autres a 1500..
 
 
un de tes 2 sites est inaccessible pour moi! lol

Esskil faudrait pas regler les mtu sur le poste client aussi?

Pas d'idée?

si tes postes clients sont sous win il faut effectivement ajouter des clés MaxMtu=1412 dans la BdR.
 
Je les ai pas sous la main mais je pourrais toujours faire un regedit pour te le dire si tu trouve pas...

bon ajoute ça alors dans ton firewall
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-to-pmtu
et dis moi si ça fct mieux
 
pour le mtu des clients ce n'est normalamnet pas nécessaire.
les 2 tecnhiques qui sont expliquées dans le readme du rp-pppoe je pense...

--clamp-to-pmtu unkonwn arg ...  
 
jai pâs piger ce que ca faisiat

ça réduit automatiquement la taille des paquets je pense
ça fct pas chez toi ?

ca fonctionne pas chez moi..

donne éventuellement ton script de firewall

juste en mettant les lignes que je t'ai indiquer dans mon premier post...
 
 
je suis en train de faire des tests pour mettre o point toutes les regles..
 
mais a lheure actuelle il nay a que le postrouting d'activer! :-)

tu peux poster les liens de quelques sites qui ne passent pas ?

 
lite.icq.com (je ping pas non plus)
www.yahoo.fr
www.lacentrale.fr

le mtu sur mon interface ppp0 est a 1492 et sur l'eth3 (linterface sur laquelle monte ppp) est a 1500 : c apose probleme ou pas??
 
 
 
 
je baisse le mtu de ppp0?si oui a combien?
 
je teste?

non tes mtus sont bons...
 
par contre laisse passer les icmps dans ton firewall (pas que le ping)
 
la règle que je t'ai donnée retourne une erreur ou bien elle ne change rien à ton problème ? (quelle version d'iptables utlises tu ?)

jai essayer de baisser le mtu et mru a 1460 rien n'a changer,
 
iptables v1.2.5
 
je laisse tout passer pour le moment:
police par defaut sur les chaines input, output, forward = ACCEPT
 
 
et ca :
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.20.0/24 -j MASQUERADE  
 
echo 1 > /proc/sys/net/ipv4/ip_forward  
 
en telnet je me connecte sur www.yahoo.fr (port 80: GET / me renvoi le contenu de la page html)
 
le tracert et le ping marchent sur yahoo.fr
 
 
"iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-to-pmtu "
 
le param clamp-to-pmtu n'est pas bon, je lai retrouver sur un autre site mais quand change il me dit que TCPMSS n'est pas une action valide...
 
Vala les dernieres info...
 
Si ca evoque kkchose a kkun..

vide toutes les chaines :
 
 
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
 
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -F PREROUTING -t nat
/sbin/iptables -F OUTPUT -t nat

 
 
toutes mes chaines sont videes... jai rebooter
 
sinon le prob persiste .. un pote m'a parler d'un probleme concernant l'option QOS dans le noyau; ca dit kkchose a kkun?

personne?

 
 
 
jen ai grave besoin (pas forcement pour icq ou yahoo, mais ya pleins dotres sites qui passent pas)..
 
Je trouve rien...

tu as compilé ton ppp en kernel mode ?
 
enfin de toute façon je suis aussi en iptables 1.2.5 (compilé avec tout les paramètres en défaut) et TCPMSS fct parfaitement.
Donc essaye qe la commande fonctionne. (regarde éventuellement dans ton kernel si tu as tout compilé en module ou en fixe)
 
Vérifie qe tu as bien dans /etc/ppp/pppoe.conf
CLAMPMSS=1412
 
sinon fait un tcpdump -i ppp0 et essaye d'accéder à un site injoignable depuis ta passerelle et depuis ton client.
Regarde la taille des packets et éventuellement ou il bloque.
 
fait un "iptables -L" et regarde qu'il n'y ait que les règles spécifiées dans ton firewal qui soit présente.

 
ppp est compiler en kernel mode.
 
jai aussi la version 1.2.5 installer par dselect de la Debian.
Si j'applique ta ligne de commadne telle que tu me la donnes il me dit que --clamp-to-pmtu est unbad argument ;-)
jai mis a la place --clamp-mss-to-mtu et la il me dit que --tcp-flags est un unknown argument
on v a y arriver.
 
J'ai trouver ca ici: http://www.linux-france.org/prj/in [...] 30-16.html
 
mais ca ne passe pas non plus..
 
jutilise pas rp-pppoe : jai un option.pppoe (script fourni par FT pour la connexion adsl: start-pppoe/stop-pppoe)
 
vala les derniers news!
 
en tout cas merci Ethernal de te prendre la tete avec moi!

sympa le petit guide
 
malheureusement je pense que la ligne d'iptables est la seule qui puisse te sauver    
 
j'ai retrouvé la ligne exacte que j'utilise dans mon firewall (et plus celle provenant du site).  Je viens de me rendre compte que ce n'est pas exactement la même.
 
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 
j'espère qu'elle fctera chez toi

[jfdsdjhfuetppo]--Message édité par ethernal--[/jfdsdjhfuetppo]

"iptables: No chain/target/match by that name"
 
voila kess kil me dit....
 
c le -j quil aime pas la je crois... reloud il est iptables...

j'ai eu exactement le meme probleme au passage a Iptable.
comme j'avait pas envie de perdre du temp la dessus, j'ai remit Ipchains.......
Donc si quelqu'un trouve, je suis preneur aussi !

ahah.. je suis pas le seul!!!! YES!!  
 
Mais je trouve tjs pas...