Re: [iptables] url regirigées et masquerading

["timoon3@xxxxxxxxxx" <timoon3@xxxxxxxxxx>]

Je me répond à moi-même, et à ceux que cela peut intéresser

Le problème que je décris plus bas peut-être résolupar une règle iptables :
voir : http://www.developpez.com/linux/guide/x7875.html

"

/ Certains routeurs et certaines passerelles d'Internet sont bogués et 
ne répondent pas correctement aux messages ICMP. Cela a pour 
conséquence, entre autres, que la taille maximum des paquets transmis 
via la passerelle peut ne pas être déterminée correctement. En effet, 
les clients de la passerelle utiliseront généralement la taille maximum 
utilisable pour communiquer avec la passerelle, et cette taille peut 
malheureusement être supérieure à la taille maximum des paquets pour 
atteindre certains sites Web. Les messages d'erreurs ICMP étant filtrés, 
personne ne peut s'en apercevoir, et certaines connexions peuvent rester 
bloquées ad vitam eternam. Pratiquement parlant, cela se traduit par 
l'impossibilité, pour certains clients bénéficiant du partage de 
connexion à Internet, d'accéder à certains sites Web ou à certains gros 
fichiers d'une page (images par exemple). /

/ Pour pallier ce problème Linux propose une technique approximative, 
dont le but est de fixer une option des paquets TCP d'établissement de 
connexion, afin de limiter la taille des paquets suivants de la 
connexion à la taille maximum déterminée pour la route vers les 
ordinateurs cibles. Ainsi, les clients se limitent d'eux-même, pourvu 
que la taille maximum des paquets de la route soit correctement 
déterminée, bien entendu. Il est recommandé d'activer cette 
fonctionnalité, ce qui se fait à l'aide de la commande suivante : /

//

/# Restreint la taille des paquets des connexions TCP
# lors de leur établissement :
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o ppp0 \
   --clamp-mss-to-pmtu/

/Cette règle un peu compliquée permet de modifier le champ MSS 
(« Maximum Segment Size ») des paquets d'établissement des connexions 
TCP (paquets disposant des flags TCP SYN ou RST) qui traversent la 
passerelle, et de forcer ce champ à la valeur de la taille maximum des 
paquets sur le chemin (« Path Maximum Transmission Unit » dans l'option 
--clamp-mss-to-pmtu)./

Voilà avec cette règle en plus, tout fonctionne.


timoon3@xxxxxxxxxx wrote:

> Bonjour à tous,
> j'utilise iptables pour partager une connection internet entre 2 postes.
> pas de problèmes particuliers sauf dans les cas ou en surfant sur le 
> web, une url est automatiquement redirigée vers une autre ( par 
> exemple addons.mozilla.org ) : la machine masqueradée est bien 
> connectée mais ne peut pas récupérer la nouvelle url....le navigateur 
> reste en attente indéfiniment...
>
> Voici les règles que je met en oeuvre :
>
> /sbin/iptables -A FORWARD -i eth0 -o ppp0  -j ACCEPT
> /sbin/iptables -A FORWARD -i ppp0 -o eth0   -j ACCEPT
> /sbin/iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> Rien de bien extraordinaire en fait...
> Par quels moyens puis je pallier à ce problème ?
>
>
> merci de vos réponses ou suggestions
>
> ----------------------------------
> Informations, désabonnement, règles, obligations sur la liste 
> Aide-Linux :
> http://lists.ze-linux.org/howto_ml.html
> Liste Herbergee par Over-Link [http://www.over-link.net]


----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]