iptables, NAT, ECN, CWR et comportement bizarre

Le
Antoine Sirinelli
Bonjour,

j'ai depuis 2 ans une passerelle qui fonctionne avec iptables. Jusqu'ici
pas de problème : le NAT fonctionne à merveille (avec qq redirections de
ports). Sur ma passerelle mes ports sont fermés (en INPUT) et j'ouvre
ceux que je veux quand je mets en place un serveur (http, ftp,).

Tout ça fonctionne très bien SAUF (et oui il y a un sauf) le serveur
peercast. J'ai investigué un peu et je me suis rendu compte que la
passerelle n'arrive pas à joindre le site connect1.peercast.org. Ce qui
est étrange c'est que c'est possible à l'intérieur du NAT :

Derrière la passerelle
antoine@adrien:~$ telnet connect1.peercast.org 80
Trying 61.213.94.129
Connected to j094129.ppp.asahi-net.or.jp.
Escape character is '^]'.
GET /
Connection closed by foreign host.

Sur la passerelle c'est une autre histoire
antoine@monstre:~$ telnet connect1.peercast.org 80
Trying 61.213.94.129

antoine@monstre:~$

Pas moyen de se connecter alors que :
antoine@monstre:~$ telnet www.free.fr 80
Trying 213.228.0.42
Connected to www1.free.fr.
Escape character is '^]'.
GET /
Connection closed by foreign host.


J'ai finalement regardé du coté d'ethereal. Je ne suis pas un pro en
TCP/IP donc j'ai besoin d'aide.

En gros, depuis le NAT, j'ai un paquet SYN qui part et qui reçoit
instantannément un SYN/ACQ.
Par contre, depuis la passerelle, les paquets qui partent sont des SYN
mais avec les flags ECN (Echo ?) et CWR (Congestion Window Reduced ?). Et
dans ce cas là le serveur ne daigne pas me répondre ;-(

Dans le cas de free, le serveur me répond malgré les flags CWR et ECN.

Est-ce une erreur de config de mon coté ou plutôt du coté du serveur
peercast ?
A quoi servent ces flags ?
Y a-t-il moyen de supprimer ces flags s'ils ne servent à rien ?


Bon voilà je suis un peu coincé et je ne comprends pas trop pourquoi.
Quelqu'un a une idée ?

Merci d'avance,

Antoine
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Antoine Sirinelli
Le #1019838
Le Wed, 03 Mar 2004 19:03:13 +0100, Antoine Sirinelli a écrit :


En gros, depuis le NAT, j'ai un paquet SYN qui part et qui reçoit
instantannément un SYN/ACQ.
Par contre, depuis la passerelle, les paquets qui partent sont des SYN
mais avec les flags ECN (Echo ?) et CWR (Congestion Window Reduced ?). Et
dans ce cas là le serveur ne daigne pas me répondre ;-(

Dans le cas de free, le serveur me répond malgré les flags CWR et ECN.

Est-ce une erreur de config de mon coté ou plutôt du coté du serveur
peercast ?
A quoi servent ces flags ?
Y a-t-il moyen de supprimer ces flags s'ils ne servent à rien ?


Je me réponds à moi-même : Pour supprimer le flag ECN, il "suffit" de
faire : echo 0 > /proc/sys/net/ipv4/tcp_ecn

Ce n'est pas pour ça que j'ai compris à quoi sert ECN et pourquoi ça
marche pas sur ce site avec...

Explication bienvenue donc ;-)

shal
Le #1019556
Antoine Sirinelli wrote:



En gros, depuis le NAT, j'ai un paquet SYN qui part et qui reçoit
instantannément un SYN/ACQ.
Par contre, depuis la passerelle, les paquets qui partent sont des SYN
mais avec les flags ECN (Echo ?) et CWR (Congestion Window Reduced ?). Et
dans ce cas là le serveur ne daigne pas me répondre ;-(

Dans le cas de free, le serveur me répond malgré les flags CWR et ECN.

Est-ce une erreur de config de mon coté ou plutôt du coté du serveur
peercast ?
A quoi servent ces flags ?
Y a-t-il moyen de supprimer ces flags s'ils ne servent à rien ?



Je me réponds à moi-même : Pour supprimer le flag ECN, il "suffit" de
faire : echo 0 > /proc/sys/net/ipv4/tcp_ecn

Ce n'est pas pour ça que j'ai compris à quoi sert ECN et pourquoi ça
marche pas sur ce site avec...


ECN : Explicit Congestion Notification => ca sert a dire qu'un chemin
est saturé qu'il vaut mieux passé par ailleurs

Pourquoi defois ca passe pas : parce que c'est un flag rarement
positionné (que par linux quasiment et encore seulement si tu as compilé
ton noyau avec) par contre certains programme comme Nmap l'utilise et
donc le firewall croit que quand tu utlise ECN que tu l'attaque avec
Nmap.....



Explication bienvenue donc ;-)


C'est fait

A+


Antoine Sirinelli
Le #1019461
Le Wed, 03 Mar 2004 21:12:35 +0100, shal a écrit :


ECN : Explicit Congestion Notification => ca sert a dire qu'un chemin
est saturé qu'il vaut mieux passé par ailleurs

Pourquoi defois ca passe pas : parce que c'est un flag rarement
positionné (que par linux quasiment et encore seulement si tu as compilé
ton noyau avec) par contre certains programme comme Nmap l'utilise et
donc le firewall croit que quand tu utlise ECN que tu l'attaque avec
Nmap.....


Mais alors pourquoi mon nunux envoie des paquets avec ce flag ? Il
considère à priori que ma ligne ADSL est saturée (ce qui n'est pas le
cas) ?

Explication bienvenue donc ;-)


C'est fait


Merci


Publicité
Poster une réponse
Anonyme