Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

règle Iptables changement de MTU

9 réponses
Avatar
Tahar BEN ACHOUR
--0-2125125995-1291203727=:74070
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour =E0 tous,=0A=0AJe dois mettre une place un r=E8gle iptables pour fo=
rcer le MTU sur ma carte =E0 =0A1300 j'avais configur=E9 au niveau de mon e=
tc/interfaces un MTU =E0 1300 sur ma =0Acarte r=E9seau, mais le fournisseur=
a d=E9conseill=E9 cela par rapport =E0 son appli et =0Aa demand=E9 une r=
=E8gle iptables qui forcerai un MTU=3D1300 pour tout trafic UDP =0Apassant =
sur le port 5060=0A=0Aiptables -t mangle -A POSTROUTING -p udp -o eth0 -j T=
CPMSS --set-mss 1300 =0A=0Aje ne sais pas si on peut utiliser TCPMSS avec d=
es paquets UDP.=0A=0A=0A=0AMerci pour votre aide=0A=0A=0A=0A
--0-2125125995-1291203727=:74070
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type=3D"text/css"><!-- DIV {margin:0px;} --></style></he=
ad><body><div style=3D"font-family:arial,helvetica,sans-serif;font-size:12p=
t;color:#000000;"><div>Bonjour =E0 tous,<br><br>Je dois mettre une place un=
r=E8gle iptables pour forcer le MTU sur ma carte =E0 1300 j'avais configur=
=E9 au niveau de mon etc/interfaces un MTU =E0 1300 sur ma carte r=E9seau, =
mais le fournisseur a d=E9conseill=E9 cela par rapport =E0 son appli et a d=
emand=E9 une r=E8gle iptables qui forcerai un MTU=3D1300 pour tout trafic U=
DP passant sur le port 5060<br><br>iptables -t mangle -A POSTROUTING -p udp=
-o eth0 -j TCPMSS --set-mss 1300 <br><br>je ne sais pas si on peut utilise=
r TCPMSS avec des paquets UDP.<br><br><br><br>Merci pour votre aide<br></di=
v>=0A</div><br>=0A=0A=0A=0A=0A </body></html>
--0-2125125995-1291203727=:74070--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/947525.74070.qm@web26306.mail.ukl.yahoo.com

9 réponses

Avatar
Pascal Hambourg
Salut,

Tahar BEN ACHOUR a écrit :


Je dois mettre une place un règle iptables pour forcer le MTU sur ma
carte



iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

j'avais configuré au niveau de mon etc/interfaces un MTU à
1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par
rapport à son appli



Peut-on savoir pourquoi ?

et a demandé une règle iptables qui forcerai un
MTU00 pour tout trafic UDP passant sur le port 5060



Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
MTU, pas iptables.

On pourrait essayer d'utiliser le routage avancé avec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche.

iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300



Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.



Ben non puisque le MSS est une option spécifique à TCP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
--0-794859055-1291206237=:91835
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Merci pour ta réponse,

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois
faire c'est tagger le traffic UDP ar rivant sur le port 5060 chose normalement
faisable avec iptables, et cr éer sur chaque trafic taggé une règle de routage
spécifique modi fiant la fragmentation des paquets. (comme si j'ai forcé un
MTU00 sur ma carte réseau)

Je ne sais pas si ceci serait faisable, person nellement je ne vois pas vraiment
comment le faire niveau OS




________________________________
De : Pascal Hambourg uf.fr.eu.org>
À : DEBIAN
Envoy é le : Mer 1 décembre 2010, 13h 10min 25s
Objet : Re: règle Iptable s changement de MTU

Salut,

Tahar BEN ACHOUR a écrit :


Je dois mettre une place un règle iptables pour forcer le MTU sur ma
carte



iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

j'avais configur é au niveau de mon etc/interfaces un MTU à
1300 sur ma carte rése au, mais le fournisseur a déconseillé cela par
rapport à son appl i



Peut-on savoir pourquoi ?

et a demandé une règle iptables qui forcerai un
MTU00 pour tout trafic UDP passant sur le port 50 60



Ce n'est pas possible, voir ci-dessus. C'est le routage qui défin it le
MTU, pas iptables.

On pourrait essayer d'utiliser le routage a vancé avec marquage des
paquets par iptables, mais je ne ne suis pas s ûr que ça marche.

iptables -t mangle -A POSTROUTING -p udp -o et h0 -j TCPMSS --set-mss 1300



Cette règle est erronée. La cible TCPM SS modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP e t ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

je ne sais pas si on peut utiliser TCPMSS avec de s paquets UDP.



Ben non puisque le MSS est une option spécifique à TCP.

--
Lisez la FAQ de la liste avant de poser une question :
ht tp://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un m essage avec comme objet "unsubscribe"
vers ts.debian.org
En cas de soucis, contactez EN ANGLAIS ian.org
Archive: http://list" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://list" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/



--0-794859055-1291206237=:91835
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></he ad><body><div style="font-family:arial,helvetica,sans-serif;font-size:12p t"><div>Merci pour ta réponse, <br><br>En effet, j'avais mal vu et mal an alysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modi fiant la fragmentation des paquets. (comme si j'ai forcé un MTU00 su r ma carte réseau)<br><br>Je ne sais pas si ceci serait faisable, personn ellement je ne vois pas vraiment comment le faire niveau OS<br></div><div s tyle="font-family: arial,helvetica,sans-serif; font-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 10pt;"><font face="Tahoma" size="2"><hr size="1"><b><span style="font-weight: bo ld;">De :</span></b> Pascal Hambourg &lt;&gt;<br ><b><span
style="font-weight: bold;">À :</span></b> DEBIAN &lt;debian-user-frenc &gt;<br><b><span style="font-weight: bold;">Envoyé le :</span></b> Mer 1 décembre 2010, 13h 10min 25s<br><b><span style="fon t-weight: bold;">Objet&nbsp;:</span></b> Re: règle Iptables changement de MTU<br></font><br>Salut,<br><br>Tahar BEN ACHOUR a écrit :<br>&gt; <br>& gt; <br>&gt; Je dois mettre une place un règle iptables pour forcer le MT U sur ma<br>&gt; carte<br><br>iptables ne fait que filtrer/modifier les paq uets IP. Il ne permet pas<br>de modifier le MTU d'une interface.<br><br>&gt ; j'avais configuré au niveau de mon etc/interfaces un MTU à<br>&gt; 13 00 sur ma carte réseau, mais le fournisseur a déconseillé cela par<br >&gt; rapport à son appli<br><br>Peut-on savoir pourquoi ?<br><br>&gt; et a demandé une règle iptables qui forcerai un<br>&gt; MTU00 pour t out trafic UDP passant sur le port 5060<br><br>Ce n'est pas possible, voir ci-dessus.
C'est le routage qui définit le<br>MTU, pas iptables.<br><br>On pourrait essayer d'utiliser le routage avancé avec marquage des<br>paquets par ip tables, mais je ne ne suis pas sûr que ça marche.<br><br>&gt; iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300<br><br>Cet te règle est erronée. La cible TCPMSS modifie la valeur de l'option<br> MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le<br> protocole TCP. D'autre part MSS et MTU ne sont pas égaux.<br><br>&gt; je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.<br><br>Ben non puisque le MSS est une option spécifique à TCP.<br><br>-- <br>Lisez la FAQ de la liste avant de poser une question :<br><a href="http://wiki.de bian.org/fr/FrenchLists" target="_blank">http://wiki.debian.org/fr/French Lists</a><br><br>Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>vers <a
ymailto="mailto:" href="mai lto:">debian-user-french-REQUEST @lists.debian.org</a><br>En cas de soucis, contactez EN ANGLAIS <a ymailto ="mailto:" href="mailto: ian.org"></a><br>Archive: <a href="http://list" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://list s.debian.org/" target="_blank">http://lis ts.debian.org/</a><br><br></div></div>
</ div><br>




</body></html>
--0-794859055-1291206237=:91835--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://list" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://list" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/
Avatar
Daniel Huhardeaux
Bonjour,

Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit :
Merci pour ta réponse,

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je
dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose
normalement faisable avec iptables, et créer sur chaque trafic taggé
une règle de routage spécifique modifiant la fragmentation des
paquets. (comme si j'ai forcé un MTU00 sur ma carte réseau)



Pascal t'a demandé pourquoi et je serai également intéressé par la
réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060
n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu
devras (logiquement) faire de même.

Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de
savoir pourquoi ton fournisseur te demande cette manipulation (je suis
moi même fournisseur, cela m'intéresse d'autant plus).

[...]
*De :* Pascal Hambourg
*À :* DEBIAN
*Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s
*Objet :* Re: règle Iptables changement de MTU

Salut,

Tahar BEN ACHOUR a écrit :
>
>
> Je dois mettre une place un règle iptables pour forcer le MTU sur ma
> carte

iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

> j'avais configuré au niveau de mon etc/interfaces un MTU à
> 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par
> rapport à son appli

Peut-on savoir pourquoi ?

> et a demandé une règle iptables qui forcerai un
> MTU00 pour tout trafic UDP passant sur le port 5060

Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
MTU, pas iptables.

On pourrait essayer d'utiliser le routage avancé avec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche.

> iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss
1300

Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

> je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.

Ben non puisque le MSS est une option spécifique à TCP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
<mailto:
En cas de soucis, contactez EN ANGLAIS
<mailto:
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
--0-1377668136-1291210132=:55892
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

On a un problème de communication SIP entre différents réseaux, ce pr oblème n'a
été résolu que quand on a baissé le MTU à 1300 si non parfois on a communication
blanche c'est pour ça, le problème pe ut se situer ailleurs c'est à dire niveau
firewall ou routeur, mais co mme je n'ai pas la main dessus et que les
"responsables" ne veulent pas toucher à leur firewall, je suis obligé de trouver
une solution cô té OS.






________________________________
De : Daniel Huhardeaux
À : g
Envoyé le : Mer 1 décembre 2010, 13h 33min 32s
Objet : Re: Re : r ègle Iptables changement de MTU

Bonjour,

Le 01/12/2010 13:23, T ahar BEN ACHOUR a écrit :
Merci pour ta réponse,

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois
faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normaleme nt
faisable avec iptables, et créer sur chaque trafic taggé une r ègle de routage
spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un
MTU00 sur ma carte réseau)



Pascal t'a demandé pourquoi et je serai également intéressé par la répo nse.
D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal
pour le SIP, le RTP passe par d'autres ports, tu dev ras (logiquement) faire de
même.

Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de savoir
pourquoi ton fournisse ur te demande cette manipulation (je suis moi même
fournisseur, cela m 'intéresse d'autant plus).

[...]
*De :* Pascal Hambourg <pascal.
*À :* DEBIAN rg>
*Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s
*Objet :* Re: règle Iptables changement de MTU

Salut,

Tahar BEN A CHOUR a écrit :
>
>
> Je dois mettre une place un règle ipt ables pour forcer le MTU sur ma
> carte

iptables ne fait que f iltrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'u ne interface.

> j'avais configuré au niveau de mon etc/interface s un MTU à
> 1300 sur ma carte réseau, mais le fournisseur a déco nseillé cela par
> rapport à son appli

Peut-on savoir pour quoi ?

> et a demandé une règle iptables qui forcerai un
> MTU00 pour tout trafic UDP passant sur le port 5060

Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
MTU, p as iptables.

On pourrait essayer d'utiliser le routage avancé av ec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche.

> iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300

Cette règle est erronée. La cible TCPMS S modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

> je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.

Ben non puisque le MSS est une option spéc ifique à TCP.

-- Lisez la FAQ de la liste avant de poser une que stion :
http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABO NNER, envoyez un message avec comme objet "unsubscribe"
vers debian-use
<mailto: sts.debian.org>
En cas de soucis, contactez EN ANGLAIS .debian.org
<mailto:
Archive: http://li sts.debian.org/





-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/F renchLists

Pour vous DESABONNER, envoyez un message avec comme objet " unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http:/ /lists.debian.org/



--0-1377668136-1291210132=:55892
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></he ad><body><div style="font-family:arial,helvetica,sans-serif;font-size:12p t"><div>On a un problème de communication SIP entre différents réseau x, ce problème n'a été résolu que quand on a baissé le MTU à 13 00 sinon parfois on a communication blanche c'est pour ça, le problème peut se situer ailleurs c'est à dire niveau firewall ou routeur, mais com me je n'ai pas la main dessus et que les "responsables" ne veulent pas touc her à leur firewall, je suis obligé de trouver une solution côté OS .<br><br><br></div><div style="font-family: arial,helvetica,sans-serif; f ont-size: 12pt;"><br><div style="font-family: arial,helvetica,sans-serif; font-size: 10pt;"><font face="Tahoma" size="2"><hr size="1"><b><span style="font-weight: bold;">De :</span></b> Daniel Huhardeaux &lt;no-spam @tootai.net&gt;<br><b><span style="font-weight: bold;">À :</span></b>
<br><b><span style="font-weight: bold ;">Envoyé le :</span></b> Mer 1 décembre 2010, 13h 33min 32s<br><b><spa n style="font-weight: bold;">Objet&nbsp;:</span></b> Re: Re : règle Ipt ables changement de MTU<br></font><br>Bonjour,<br><br>Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit :<br>&gt; Merci pour ta réponse,<br>&gt; <br>& gt; En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé un e règle de routage spécifique modifiant la fragmentation des paquets. ( comme si j'ai forcé un MTU00 sur ma carte réseau)<br><br>Pascal t' a demandé pourquoi et je serai également intéressé par la réponse . D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu devras (logi quement) faire de
même.<br><br>Je n'ai jamais vu de problème de MTU sur le port SIP et s erai curieux de savoir pourquoi ton fournisseur te demande cette manipulati on (je suis moi même fournisseur, cela m'intéresse d'autant plus).<br>< br>[...]<br>&gt; *De :* Pascal Hambourg &lt;<a ymailto="mailto:pascal.mai " href="mailto:">pascal.mail@ plouf.fr.eu.org</a>&gt;<br>&gt; *À :* DEBIAN &lt;<a ymailto="mailto:deb " href="mailto: ebian.org"></a>&gt;<br>&gt; *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s<br>&gt; *Objet :* Re: règle Ipta bles changement de MTU<br>&gt; <br>&gt; Salut,<br>&gt; <br>&gt; Tahar BEN A CHOUR a écrit :<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Je dois mettre une place un règle iptables pour forcer le MTU sur ma<br>&gt; &gt; carte<br> &gt; <br>&gt; iptables ne fait que filtrer/modifier les paquets IP. Il ne p ermet
pas<br>&gt; de modifier le MTU d'une interface.<br>&gt; <br>&gt; &gt; j'av ais configuré au niveau de mon etc/interfaces un MTU à<br>&gt; &gt; 130 0 sur ma carte réseau, mais le fournisseur a déconseillé cela par<br> &gt; &gt; rapport à son appli<br>&gt; <br>&gt; Peut-on savoir pourquoi ?< br>&gt; <br>&gt; &gt; et a demandé une règle iptables qui forcerai un<b r>&gt; &gt; MTU00 pour tout trafic UDP passant sur le port 5060<br>&gt ; <br>&gt; Ce n'est pas possible, voir ci-dessus. C'est le routage qui dé finit le<br>&gt; MTU, pas iptables.<br>&gt; <br>&gt; On pourrait essayer d' utiliser le routage avancé avec marquage des<br>&gt; paquets par iptables , mais je ne ne suis pas sûr que ça marche.<br>&gt; <br>&gt; &gt; iptab les -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300<br>&gt ; <br>&gt; Cette règle est erronée. La cible TCPMSS modifie la valeur d e l'option<br>&gt; MSS d'un paquet de synchronisation TCP et ne fonctionne donc
qu'avec le<br>&gt; protocole TCP. D'autre part MSS et MTU ne sont pas ég aux.<br>&gt; <br>&gt; &gt; je ne sais pas si on peut utiliser TCPMSS avec d es paquets UDP.<br>&gt; <br>&gt; Ben non puisque le MSS est une option sp écifique à TCP.<br>&gt; <br>&gt; -- Lisez la FAQ de la liste avant de p oser une question :<br>&gt; <a href="http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchList s" target="_blank">http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists</a><br>&gt; <br> &gt; Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>&gt; vers <a ymailto="mailto: .org" href="mailto:">debian-us </a> &lt;mailto:<a ymailto="mailto:debi " href="mailto:debian-user-french- "></a>&g t;<br>&gt; En cas de soucis, contactez EN ANGLAIS <a
ymailto="mailto:" href="mailto: ists.debian.org"></a> &lt;mailto:<a ymailto="m ailto:" href="mailto: rg"></a>&gt;<br>&gt; Archive: <a href="http:// lists.debian.org/" target="_blank">http:/ /lists.debian.org/</a><br>&gt; <br>&gt; <br ><br>-- Lisez la FAQ de la liste avant de poser une question :<br><a href ="http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank">http://wiki.de bian.org/fr/FrenchLists</a><br><br>Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>vers <a ymailto="mailto:debian-user-fr " href="mailto: sts.debian.org"></a><br>En cas d e soucis, contactez EN ANGLAIS <a ymailto="mailto: .org"
href="mailto:"></a ><br>Archive: <a href="http://lists.debian.org/ t" target="_blank">http://lists.debian.org/</a ><br><br></div></div>
</div><br>




</body></html>
--0-1377668136-1291210132=:55892--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/F" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
--0-1996557635-1291215404=:59592
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour à tous,

je pense avoir trouvé une solution pour répondre à ce besoin,


#iptables -A PREROUTING -t mangle -p udp --dport 50 60 -j MARK --set-mark 2

# echo 202 sip.in >> /etc/iproute2/rt_tables
# ip rule add fwmark 2 table sip.in
# ip route add default via 193.9 5.123.6 mtu 1300 dev eth0 table sip.in
# ip route flush cache

je n 'en suis pas sûr du tout, mais ça répond assez à ce que j'ai besoin de
faire, je vais devoir procéder à des tests pour confirmer.

Merci pour votre aide.




________________________________
De : Tahar BEN ACHOUR
À : DEBIAN ists.debian.org>
Envoyé le : Mer 1 décembre 2010, 14h 28min 52s
Obj et : Re : Re : règle Iptables changement de MTU


On a un problèm e de communication SIP entre différents réseaux, ce problème n'a
été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication
blanche c'est pour ça, le problème peut se situer ail leurs c'est à dire niveau
firewall ou routeur, mais comme je n'ai pas la main dessus et que les
"responsables" ne veulent pas toucher à leur firewall, je suis obligé de trouver
une solution côté OS.






________________________________
De : Daniel Huhardeaux <n
À :
Envoyé l e : Mer 1 décembre 2010, 13h 33min 32s
Objet : Re: Re : règle Iptable s changement de MTU

Bonjour,

Le 01/12/2010 13:23, Tahar BEN ACHOU R a écrit :
Merci pour ta réponse,

En effet, j'avais mal v u et mal analysé le problème, en fait ce que je dois
faire c'est ta gger le traffic UDP arrivant sur le port 5060 chose normalement
faisabl e avec iptables, et créer sur chaque trafic taggé une règle de routag e
spécifique modifiant la fragmentation des paquets. (comme si j'ai f orcé un
MTU00 sur ma carte réseau)



Pascal t'a demandé p ourquoi et je serai également intéressé par la réponse.
D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le sig nal
pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement ) faire de
même.

Je n'ai jamais vu de problème de MTU sur le p ort SIP et serai curieux de savoir
pourquoi ton fournisseur te demande c ette manipulation (je suis moi même
fournisseur, cela m'intéresse d' autant plus).

[...]
*De :* Pascal Hambourg u.org>
*À :* DEBIAN
*Envoy é le :* Mer 1 décembre 2010, 13h 10min 25s
*Objet :* Re: règle Ip tables changement de MTU

Salut,

Tahar BEN ACHOUR a écri t :
>
>
> Je dois mettre une place un règle iptables pour for cer le MTU sur ma
> carte

iptables ne fait que filtrer/modifie r les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

> j'avais configuré au niveau de mon etc/interfaces un MTU à
> 1300 sur ma carte réseau, mais le fournisseur a déconseillé ce la par
> rapport à son appli

Peut-on savoir pourquoi ?

> et a demandé une règle iptables qui forcerai un
> MTU00 pour tout trafic UDP passant sur le port 5060

Ce n'est pas possib le, voir ci-dessus. C'est le routage qui définit le
MTU, pas iptables .

On pourrait essayer d'utiliser le routage avancé avec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche .

> iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --s et-mss 1300

Cette règle est erronée. La cible TCPMSS modifie l a valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonct ionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont p as égaux.

> je ne sais pas si on peut utiliser TCPMSS avec des p aquets UDP.

Ben non puisque le MSS est une option spécifique à TCP.

-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envo yez un message avec comme objet "unsubscribe"
vers debian-user-french-R
<mailto: .org>
En cas de soucis, contactez EN ANGLAIS g
<mailto:
Archive: http://lists.debian" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian .org/





-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscrib e"
vers
En cas de soucis, c ontactez EN ANGLAIS
Archive: http://lists.deb ian.org/



--0-1996557635-1291215404=:59592
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></he ad><body><div style="font-family:arial,helvetica,sans-serif;font-size:12p t"><div>Bonjour à tous,<br><br>je pense avoir trouvé une solution pour répondre à ce besoin,<br><br><br>#iptables -A PREROUTING -t mangle -p u dp --dport 5060&nbsp; -j MARK --set-mark 2
<br>
<br># echo 202 sip.in & gt;&gt; /etc/iproute2/rt_tables
<br># ip rule add fwmark 2 table sip.in
<br># ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip. in
<br># ip route flush cache
<br><br>je n'en suis pas sûr du tout, m ais ça répond assez à ce que j'ai besoin de faire, je vais devoir pro céder à des tests pour confirmer.<br><br>Merci pour votre aide.<br></di v><div style="font-family: arial,helvetica,sans-serif; font-size: 12pt;"> <br><div style="font-family: times new roman,new york,times,serif; font-s ize: 12pt;"><font face="Tahoma" size="2"><hr size="1"><b><span style ="font-weight: bold;">De :</span></b> Tahar BEN ACHOUR &lt; .fr&gt;<br><b><span style="font-weight: bold;">À :</span></b> DEBIAN &l t;&gt;<br><b><span style="font-weight: bold;">Envoyé le :</span></b> Mer 1 décembre 2010, 14h 28min 52s<br><b ><span style="font-weight: bold;">Objet&nbsp;:</span></b> Re : Re : règ le Iptables changement de MTU<br></font><br><div style="font-family: aria l,helvetica,sans-serif; font-size: 12pt;"><div>On a un problème de commun ication SIP entre différents réseaux, ce problème n'a
été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication blanche c'est pour ça, le problème peut se situer aille urs c'est à dire niveau firewall ou routeur, mais comme je n'ai pas la ma in dessus et que les "responsables" ne veulent pas toucher à leur firewal l, je suis obligé de trouver une solution côté OS.<br><br><br></div>< div style="font-family: arial,helvetica,sans-serif; font-size: 12pt;"><br ><div style="font-family: arial,helvetica,sans-serif; font-size: 10pt;">< font face="Tahoma" size="2"><hr size="1"><b><span style="font-weigh t: bold;">De :</span></b> Daniel Huhardeaux &lt;&gt;<br>< b><span style="font-weight: bold;">À :</span></b>
debian-user-french @lists.debian.org<br><b><span style="font-weight: bold;">Envoyé le :</s pan></b> Mer 1 décembre 2010, 13h 33min 32s<br><b><span style="font-wei ght: bold;">Objet&nbsp;:</span></b> Re: Re : règle Iptables changement de MTU<br></font><br>Bonjour,<br><br>Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit :<br>&gt; Merci pour ta réponse,<br>&gt; <br>&gt; En effet, j'ava is mal vu et mal analysé le problème, en fait ce que je dois faire c'es t tagger le traffic UDP arrivant sur le port 5060 chose normalement faisabl e avec iptables, et créer sur chaque trafic taggé une règle de routag e spécifique modifiant la fragmentation des paquets. (comme si j'ai forc é un MTU00 sur ma carte réseau)<br><br>Pascal t'a demandé pourqu oi et je serai également intéressé par la réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement) faire de
même.<br><br>Je n'ai jamais vu de problème de MTU sur le port SIP e t serai curieux de savoir pourquoi ton fournisseur te demande cette manipul ation (je suis moi même fournisseur, cela m'intéresse d'autant plus).<b r><br>[...]<br>&gt; *De :* Pascal Hambourg &lt;<a rel="nofollow" ymailto ="mailto:" target="_blank" href="mailto:pa "></a>&gt;<br>&gt; *À :* DEBIAN &lt;<a rel="nofollow" ymailto="mailto: ts.debian.org" target="_blank" href="mailto: bian.org"></a>&gt;<br>&gt; *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s<br>&gt; *Objet :* Re: règle Iptab les changement de MTU<br>&gt; <br>&gt; Salut,<br>&gt; <br>&gt; Tahar BEN AC HOUR a écrit :<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; Je dois mettre une place un règle iptables pour forcer le MTU sur ma<br>&gt; &gt; carte<br>& gt; <br>&gt; iptables
ne fait que filtrer/modifier les paquets IP. Il ne permet
pas<br>&gt; d e modifier le MTU d'une interface.<br>&gt; <br>&gt; &gt; j'avais configur é au niveau de mon etc/interfaces un MTU à<br>&gt; &gt; 1300 sur ma car te réseau, mais le fournisseur a déconseillé cela par<br>&gt; &gt; ra pport à son appli<br>&gt; <br>&gt; Peut-on savoir pourquoi ?<br>&gt; <br> &gt; &gt; et a demandé une règle iptables qui forcerai un<br>&gt; &gt; MTU00 pour tout trafic UDP passant sur le port 5060<br>&gt; <br>&gt; C e n'est pas possible, voir ci-dessus. C'est le routage qui définit le<br> &gt; MTU, pas iptables.<br>&gt; <br>&gt; On pourrait essayer d'utiliser le routage avancé avec marquage des<br>&gt; paquets par iptables, mais je ne ne suis pas sûr que ça marche.<br>&gt; <br>&gt; &gt; iptables -t mangl e -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300<br>&gt; <br>&gt; C ette règle est erronée. La cible TCPMSS modifie la valeur de l'option<b r>&gt; MSS d'un paquet de synchronisation TCP et ne fonctionne donc
qu'a vec le<br>&gt; protocole TCP. D'autre part MSS et MTU ne sont pas égaux.< br>&gt; <br>&gt; &gt; je ne sais pas si on peut utiliser TCPMSS avec des pa quets UDP.<br>&gt; <br>&gt; Ben non puisque le MSS est une option spécifi que à TCP.<br>&gt; <br>&gt; -- Lisez la FAQ de la liste avant de poser un e question :<br>&gt; <a rel="nofollow" target="_blank" href="http://w iki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists</a><br >&gt; <br>&gt; Pour vous DESABONNER, envoyez un message avec comme objet "u nsubscribe"<br>&gt; vers <a rel="nofollow" ymailto="mailto:debian-user- " target="_blank" href="mailto:debian-us "> .org</a> &lt;mailto:<a rel="nofollow" ymailto="mailto:debian-user-frenc " target="_blank"
href="mailto:">debian-user-fr </a>&gt;<br>&gt; En cas de soucis, contactez E N ANGLAIS <a rel="nofollow" ymailto="mailto: " target="_blank" href="mailto:">listmaster@ lists.debian.org</a> &lt;mailto:<a rel="nofollow" ymailto="mailto:listm " target="_blank" href="mailto: ebian.org"></a>&gt;<br>&gt; Archive: <a rel="n ofollow" target="_blank" href="http://lists.debian" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/4CF63B31.7060009 @plouf.fr.eu.org">http://lists.debian" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/< /a><br>&gt; <br>&gt; <br><br>-- Lisez la FAQ de la liste avant de poser une question :<br><a rel="nofollow" target="_blank" href="http://wiki.de bian.org/fr/FrenchLists">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists</a><br><br>P our vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>v ers <a rel="nofollow"
ymailto="mailto:" target="_ blank" href="mailto:">debian-u </a><br>En cas de soucis, contactez EN A NGLAIS <a rel="nofollow" ymailto="mailto:" t arget="_blank" href="mailto:"> ts.debian.org</a><br>Archive: <a rel="nofollow" target="_blank" href= "http://lists.debian" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/">http://lists.debian" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.o rg/</a><br><br></div></div>
</div><br>




</div></div>
</div><br>




</body></html>
--0-1996557635-1291215404=:59592--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/
Avatar
Pascal Hambourg
Tahar BEN ACHOUR a écrit :

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois
faire c'est tagger le traffic UDP arrivant sur le port 5060



Arrivant ? Sortant, tu veux dire ? Ça ne servirait à rien de marquer les
paquets reçus.

chose normalement
faisable avec iptables, et créer sur chaque trafic taggé une règle de routage
spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un
MTU00 sur ma carte réseau)

Je ne sais pas si ceci serait faisable, personnellement je ne vois pas vraiment
comment le faire niveau OS



Je verrais quelque chose comme ce qui suit. A essayer.

# marquage des paquets SIP émis avec la valeur 0x1 (arbitraire)
iptables -t mangle -A OUTPUT -p udp --dport 5060 -j MARK --set-mark 0x1
iptables -t mangle -A OUTPUT -p udp --sport 5060 -j MARK --set-mark 0x1

# regle de routage en fonction de la marque 0x1
ip rule add fwmark 0x1 table 100

# table de routage 100 (arbitraire) avec MTU reduit
# cette table doit reprendre les routes de la table normale (main)
ip route add <sous-reseau-local> dev <interface> mtu 1300 table 100
ip route add default via <passerelle> dev <interface> mtu 1300 table 100
...

Mais comme l'a souligné Daniel, cela ne traite que les paquets SIP, qui
ne contiennent que la signalisation. Les paquets des flux de données
audio utilisent d'autres ports. On peut néanmoins les identifier avec le
marquage de connexion CONNMARK. Et bien entendu, cela ne traite que le
trafic sortant. Si quelque chose gêne le trafic entrant, cela n'aura
aucune influence.

PS : merci d'éviter le HTML, ça alourdit inutilement les messages.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Pascal Hambourg
Tahar BEN ACHOUR a écrit :

je pense avoir trouvé une solution pour répondre à ce besoin,


#iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2

# echo 202 sip.in >> /etc/iproute2/rt_tables
# ip rule add fwmark 2 table sip.in
# ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in
# ip route flush cache



Nos messages se sont croisés et se rejoignent à quelques détails près.

Reste une question à éclaircir : la machine sur laquelle tu créées ces
règles est-elle serveur ou client SIP ou bien un routeur situé sur le
chemin entre le serveur et le client ?

Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite
les paquets entrants, et si ces paquets sont destinés à la machine
elle-même les règles de routage avancé sont sans effet (la table "local"
est prioritaire). Dans le second cas la table de routage alternative a
des chances d'être incomplète. Comme je l'ai déjà écrit elle devrait
contenir les mêmes routes que la table principale, avec mtu 1300 en plus
pour celles qui en ont besoin.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Tahar BEN ACHOUR
----- Message d'origine ----
De : Pascal Hambourg <pascal.m
À : DEBIAN
Envoyé le : Mer 1 décembre 2010, 16h 54min 59s
Objet : Re: Re : Re : Re : règle Iptables changement de MTU

Tahar BEN ACHOUR a écrit :
>
> je pense avoir trouvé une solution pour répondr e à ce besoin,
>
>
> #iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2

>
> # echo 202 sip.in >> /etc/iproute2/rt_tables
> # ip rule add fwmark 2 table sip.in
> # ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in
> # ip route flush cache

Nos messages se sont croisés et se rejoignent à quelques détails près.

Reste une question à éclaircir : la machine sur laquelle tu créées ces
règles e st-elle serveur ou client SIP ou bien un routeur situé sur le
chemin entre le serveur et le client ?



Merci beaucoup pour ton aide,

l a machine sur laquelle j'applique ces règles c'est le serveur SIP


Dans le premier cas, la chaîne PREROUTING ne convient pas : elle tr aite
les paquets entrants, et si ces paquets sont destinés à la ma chine
elle-même les règles de routage avancé sont sans effet (la table "local"
est prioritaire). Dans le second cas la table de routage alternative a
des chances d'être incomplète. Comme je l'ai déj à écrit elle devrait
contenir les mêmes routes que la table prin cipale, avec mtu 1300 en plus
pour celles qui en ont besoin.



PRER OUTING ce n'est pas avant d'être routé ? le marquage ne doit pas se fai re
avant de router le paquet vers la destination ?

Sinon je vois à peu près ce que tu veux dire par rapport au contneu de la table
pr incipale, je vais essayer d'appliquer les modifications et faire mes tests, je
vous tiendrai au courant, mais a priori c'est la solution à adopte r à quelques
modif près.

Encore merci pour ton aide


PS : Désolé pour le HTML je ne m'étais pas rendu compte, d'habitude je l e
désactive




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Pascal Hambourg
Tahar BEN ACHOUR a écrit :

De : Pascal Hambourg

Reste une question à éclaircir : la machine sur laquelle tu créées ces
règles est-elle serveur ou client SIP ou bien un routeur situé sur le
chemin entre le serveur et le client ?



la machine sur laquelle j'applique ces règles c'est le serveur SIP

Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite
les paquets entrants, et si ces paquets sont destinés à la machine
elle-même les règles de routage avancé sont sans effet (la table "local"
est prioritaire). [...]



PREROUTING ce n'est pas avant d'être routé ?



C'est avant la décision de routage *d'entrée*, qui décide si un paquet
reçu doit être livré à un processus local (dans ce cas il poursuit sont
chemin dans les chaînes INPUT) ou retransmis ("forwarded") vers une
autre machine (dans ce cas il poursuit son chemin dans les chaînes
FORWARD et POSTROUTING). Cf. le schéma de la page Wikipédia sur
iptables. La retransmission ("forwarding") ne peut se produire que si la
machine fonctionne en routeur.

le marquage ne doit pas se faire
avant de router le paquet vers la destination ?



Si la destination est locale, le marquage en vue du routage ne sert à
rien car la table de routage "local" est prioritaire, cf. la première
ligne de ip rule list qui n'est pas modifiable. Quel intérêt y aurait-il
de limiter le MTU (Maximum *Transmit* Unit) pour des paquets *reçus* ?
Tout ce qu'on peut faire, c'est limiter la taille des paquets sortants,
c'est-à-dire émis (par un hôte) ou retransmis (par un routeur).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/