Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Depuis les TX de ce serveur ont surf sur tous les sites de la planete
sans pb, par contre ce n'est pas la cas pour les machines qui
n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du
site wanadoo france et du site du ministère de la culture. Les autres
sont accessibles sans pb.
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se
passe au niveau de la trame des paquets.
Est-ce quelqu'un a une idée ?
Merci d'avance
M GIL ANTOLI
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Bortzmeyer
On Thu, Feb 02, 2006 at 10:55:20PM +0100, GIL ANTOLI Michel wrote a message of 28 lines which said:
Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE nécessite quelques octets pour encapsuler et la MTU n'est donc pas de 1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est la MTU).
Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb.
Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP.
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets.
Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème.
Deux solutions :
- la plus simple est sans doute le "MSS clamping": bricoler les annonces TCP de vos machines sur le routeur pour abaisser la taille. En PPPoE, dans le /etc/ppp/peers/FAI : pty "pppoe -I eth1 -T 80 -m 1412" ^^^^ Ça
- la plus propre est d'abaisser la MTU sur chaque machine de votre réseau.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Thu, Feb 02, 2006 at 10:55:20PM +0100,
GIL ANTOLI Michel <talaisDebNOSPAM@nerim.net> wrote
a message of 28 lines which said:
Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE
nécessite quelques octets pour encapsuler et la MTU n'est donc pas de
1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est
la MTU).
Depuis les TX de ce serveur ont surf sur tous les sites de la
planete sans pb, par contre ce n'est pas la cas pour les machines
qui n'utilisent que la fonction routeur de ce serveur, ce qui est le
cas du site wanadoo france et du site du ministère de la
culture. Les autres sont accessibles sans pb.
Les deux sites en question font probablement partie des nombreux sites
mal configurés qui filtrent l'ICMP.
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela
se passe au niveau de la trame des paquets.
Oui, le segment TCP est trop grand et le filtrage chez les sites mal
configurés vous empêche de recevoir l'ICMP qui vous préviendrait du
problème.
Deux solutions :
- la plus simple est sans doute le "MSS clamping": bricoler les
annonces TCP de vos machines sur le routeur pour abaisser la
taille. En PPPoE, dans le /etc/ppp/peers/FAI :
pty "pppoe -I eth1 -T 80 -m 1412"
^^^^
Ça
- la plus propre est d'abaisser la MTU sur chaque machine de votre
réseau.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Thu, Feb 02, 2006 at 10:55:20PM +0100, GIL ANTOLI Michel wrote a message of 28 lines which said:
Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE nécessite quelques octets pour encapsuler et la MTU n'est donc pas de 1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est la MTU).
Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb.
Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP.
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets.
Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème.
Deux solutions :
- la plus simple est sans doute le "MSS clamping": bricoler les annonces TCP de vos machines sur le routeur pour abaisser la taille. En PPPoE, dans le /etc/ppp/peers/FAI : pty "pppoe -I eth1 -T 80 -m 1412" ^^^^ Ça
- la plus propre est d'abaisser la MTU sur chaque machine de votre réseau.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
GIL ANTOLI Michel
Stephane Bortzmeyer a écrit :
On Thu, Feb 02, 2006 at 10:55:20PM +0100, GIL ANTOLI Michel wrote a message of 28 lines which said:
Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE nécessite quelques octets pour encapsuler et la MTU n'est donc pas de 1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est la MTU).
Autant pour moi, il n'y a qu'un modem/Adsl et il est après le serveur.
Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb.
Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP.
A tous les coups
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets.
Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème.
Deux solutions :
- la plus simple est sans doute le "MSS clamping": bricoler les annonces TCP de vos machines sur le routeur pour abaisser la taille. En PPPoE, dans le /etc/ppp/peers/FAI : pty "pppoe -I eth1 -T 80 -m 1412" ^^^^ Ça
OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
- la plus propre est d'abaisser la MTU sur chaque machine de votre réseau.
Oui mais a chaque fois qu'un portable ce connecte sur le reseau pour obtenir la passerelle il faut lui bidouiller sa connection . Pas simple, d'autant plus que ces personnes me disent ne pas avoir de pb ailleurs. Je précise qu'il sont sur Mac ou PC win.
Merci pour la réponse
@+
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer a écrit :
On Thu, Feb 02, 2006 at 10:55:20PM +0100,
GIL ANTOLI Michel <talaisDebNOSPAM@nerim.net> wrote
a message of 28 lines which said:
Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE
nécessite quelques octets pour encapsuler et la MTU n'est donc pas de
1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est
la MTU).
Autant pour moi, il n'y a qu'un modem/Adsl et il est après le serveur.
Depuis les TX de ce serveur ont surf sur tous les sites de la
planete sans pb, par contre ce n'est pas la cas pour les machines
qui n'utilisent que la fonction routeur de ce serveur, ce qui est le
cas du site wanadoo france et du site du ministère de la
culture. Les autres sont accessibles sans pb.
Les deux sites en question font probablement partie des nombreux sites
mal configurés qui filtrent l'ICMP.
A tous les coups
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela
se passe au niveau de la trame des paquets.
Oui, le segment TCP est trop grand et le filtrage chez les sites mal
configurés vous empêche de recevoir l'ICMP qui vous préviendrait du
problème.
Deux solutions :
- la plus simple est sans doute le "MSS clamping": bricoler les
annonces TCP de vos machines sur le routeur pour abaisser la
taille. En PPPoE, dans le /etc/ppp/peers/FAI :
pty "pppoe -I eth1 -T 80 -m 1412"
^^^^
Ça
OK mais si un client envoie une trame en 1500 et que le routeur la
redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant;
Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
- la plus propre est d'abaisser la MTU sur chaque machine de votre
réseau.
Oui mais a chaque fois qu'un portable ce connecte sur le reseau pour
obtenir la passerelle il faut lui bidouiller sa connection . Pas simple,
d'autant plus que ces personnes me disent ne pas avoir de pb ailleurs.
Je précise qu'il sont sur Mac ou PC win.
Merci pour la réponse
@+
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Thu, Feb 02, 2006 at 10:55:20PM +0100, GIL ANTOLI Michel wrote a message of 28 lines which said:
Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE nécessite quelques octets pour encapsuler et la MTU n'est donc pas de 1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est la MTU).
Autant pour moi, il n'y a qu'un modem/Adsl et il est après le serveur.
Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb.
Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP.
A tous les coups
Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets.
Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème.
Deux solutions :
- la plus simple est sans doute le "MSS clamping": bricoler les annonces TCP de vos machines sur le routeur pour abaisser la taille. En PPPoE, dans le /etc/ppp/peers/FAI : pty "pppoe -I eth1 -T 80 -m 1412" ^^^^ Ça
OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
- la plus propre est d'abaisser la MTU sur chaque machine de votre réseau.
Oui mais a chaque fois qu'un portable ce connecte sur le reseau pour obtenir la passerelle il faut lui bidouiller sa connection . Pas simple, d'autant plus que ces personnes me disent ne pas avoir de pb ailleurs. Je précise qu'il sont sur Mac ou PC win.
Merci pour la réponse
@+
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
RoboTux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
GIL ANTOLI Michel a écrit :
OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête IP, ce n'est pas énorme et au moins tes paquets passent
RoboTux
- --
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
Protégez votre vie privée : - - Signez/chiffrez vos messages. Respectez celle des autres : - - Masquez les destinataires de vos mailings -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
GIL ANTOLI Michel a écrit :
OK mais si un client envoie une trame en 1500 et que le routeur la
redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant;
Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc
une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête
IP, ce n'est pas énorme et au moins tes paquets passent
RoboTux
- --
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
Protégez votre vie privée :
- - Signez/chiffrez vos messages.
Respectez celle des autres :
- - Masquez les destinataires de vos mailings
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête IP, ce n'est pas énorme et au moins tes paquets passent
RoboTux
- --
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
Protégez votre vie privée : - - Signez/chiffrez vos messages. Respectez celle des autres : - - Masquez les destinataires de vos mailings -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
RoboTux a écrit :
OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
Il fragmente le datagramme en deux s'il n'a pas le flag DF (don't fragment). Sinon il le jette et renvoie une erreur ICMP "fragmentation needed".
Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête IP, ce n'est pas énorme
+ les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
RoboTux a écrit :
OK mais si un client envoie une trame en 1500 et que le routeur la
redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant;
Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
Il fragmente le datagramme en deux s'il n'a pas le flag DF (don't
fragment). Sinon il le jette et renvoie une erreur ICMP "fragmentation
needed".
Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc
une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête
IP, ce n'est pas énorme
+ les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes
les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ?
Il fragmente le datagramme en deux s'il n'a pas le flag DF (don't fragment). Sinon il le jette et renvoie une erreur ICMP "fragmentation needed".
Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête IP, ce n'est pas énorme
+ les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
RoboTux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Pascal Hambourg a écrit :
+ les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde.
Oui en effet, j'avais pas pensé à ça. J'ai encore répondu trop vite. Ceci dit comme cela ne semble pas marcher autrement dans son cas il vaut mieux ne pas trop se poser la question. ça fera un peu plus de traffic mais au moins cela passera.
- --
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
Protégez votre vie privée : - - Signez/chiffrez vos messages. Respectez celle des autres : - - Masquez les destinataires de vos mailings -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Pascal Hambourg a écrit :
+ les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes
les couches d'encapsulation de la liaison ADSL. Ça finit par faire du
monde.
Oui en effet, j'avais pas pensé à ça. J'ai encore répondu trop vite.
Ceci dit comme cela ne semble pas marcher autrement dans son cas il vaut
mieux ne pas trop se poser la question. ça fera un peu plus de traffic
mais au moins cela passera.
- --
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
Protégez votre vie privée :
- - Signez/chiffrez vos messages.
Respectez celle des autres :
- - Masquez les destinataires de vos mailings
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
+ les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde.
Oui en effet, j'avais pas pensé à ça. J'ai encore répondu trop vite. Ceci dit comme cela ne semble pas marcher autrement dans son cas il vaut mieux ne pas trop se poser la question. ça fera un peu plus de traffic mais au moins cela passera.
- --
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
Protégez votre vie privée : - - Signez/chiffrez vos messages. Respectez celle des autres : - - Masquez les destinataires de vos mailings -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux)
