Jump to content

Archived

This topic is now archived and is closed to further replies.

lorinc

sites inaccessibles depuis passerelle debian

Recommended Posts

Bon, après avoir cherché sur le net et dans le forum de PCI (me semblait pourtant qu'il y avait un truc, mais bon...)

voilà toute l'histoire : depuis quelques jours j'ai agrandi mon parc informatique et j'en ai profité pour partager ma connec, comme tout le monde.

Pour ce faire, j'ai utilisé un vieux celeron 400 qui dormait sans un coin, j'ai installé un deb dessus (no prob), quelques service (ssh et apache : no prob). J'ai une redirection dynamique vers lui (ddclient avec dyndns, no prob')

me suis fais un domaine local et j'attribu les ip des machine du réseau local en DHCP avec une préférenciation (moi pas fraçais :chinois:) sur ceertaine mac addresse, de sorte que certaines machines physiques se retrouvent toujours avec la même ip locale (192.168.1.X). J'ai configuré bind pour me faire un DNS local (l'est costaud le manuel de bind...), et je peux maintenant acceder à toute les machine du réseau local par leur nom (et pas leur ip) (avec même une redirection de zone pour mamadou... le tout no prob'. ça prend du temps, mais no prob' qd même)

Breff; le bonheur idyllique. Enfin presque.

le probleme, c'est que et depuis la passerelle (qu'on va appeller corum) ET depuis les poste du réseau local, l'acces à certains site m'est bloqué pour une raison que j'ignore.

autant le dns marche bien (nslookup/host/dig sncf.com me renvoie un résultat) autant un ping ou un traceroute part dans les choux...

je parle même pas d'une requete http...

bref, j'y comprend plus grand chose. peut-être que mon serveur DNS perso renvoie des données erronnées (genre pas à jour, mais c'est la galère à mettre à jour), et que par le plus grand des hasards, ces sites ne sont pas pingable???

tout ça pour dire : rem ou sandeman, ayez pitié de moi :reflechis:

:chinois:

Share this post


Link to post
Share on other sites

Bon, en fait, il faut prendre le problème posément. Tout le monde connait le modele osi et ses couches, il faut pouvoire déterminer quelles couches fonctionnent et lesquelles ne fonctionnent pas. A moins que ca ne soit juste un ptit pb de config.

:keskidit: Deja, il faut regarder si les postes du lan accedent exactement a tous les sites auxquels la passerelle accede, et pas à plus. Oui ou non ?

:fumer: Est ce que la passerelle est directement reliée à internet, ou est ce qu'il faut passer par un routeur/firewall hardware ?

:fumer: Qu'en est il de iptables ? Est ce qu'il est démarré, configuré, si oui quelles sont ses règles ( fourni le script + iptables -L ) ?

:D Est ce que tu fais bien le nat/forwading dans les 2 sens ? Souvent, tu peux envoyer des requetes vers l'extérieur, mais ta passerelle ne fait pas suivre la réponse des sites. Dans ce cas, la passerelle accede aux sites, mais pas les postes clients.

:D Un ping ou traceroute c'est de niveau 3, et franchement, si ca ca ne passe pas, c'est générallement que peu de choses ne passent, a part si le ICMP ( protocole du ping et autres commandes du meme genre ) est boycoté niveau passerelle.

ps: une alternative assez simple consiste à indiquer a la passerelle les serveurs d'un FAI, et aussi pour les postes clients, qui iront chercher directement sur le net le dns. Dans la plupart des cas, on a pas besoin d'un serveur dns local.

Share this post


Link to post
Share on other sites

j'ai eu un problème similaire il y a quelques temps, je n'arrivais pas à me connecter sur des sites type eBay ou bien Hotmail. En fait le problème venait du MTU de mon routeur. Apparement les firewall de ces sites bloquent l'accés pour certains MTU. Une fois que je l'ai remis à 1492 ( je crois, je suis pas sur ... ) tout fonctionnait de nouveau.

++

Share this post


Link to post
Share on other sites

bingo, that was it!

en fait ça ne passe que si tout les mtu du reseau sont à 1492 (et pas seulement l'interface de sortie)

c'"est bizzard quand même... mais bon, ça marche. houra!

Y a pas à dire, PCI, c'est le meilleur forum du monde :francais::eeek2:

Share this post


Link to post
Share on other sites

pour faire encore mieux, tu as une ligne iptables

     --clamp-mss-to-pmtu
             Automatically clamp MSS value to (path_MTU - 40).

qui peut *aussi* résoudre ton problème ...

Share this post


Link to post
Share on other sites

bon maintenant que ça marche, ça marche :six:

ce que je ne comprend pas, c'est pourquoi certains site refuse des requetes avec une certaine taille de fenêtre :six:

c'est un bon moyen de blackbouler plein de monde sans raison pertinante, non? je vois mal comment le pauvre type qui vient tout juste de prendre son abo internet sans aucune notion de reseau (et sans parler dOS particulier) peut arriver à se sortir de là...

Share this post


Link to post
Share on other sites

le pb vient pas vraiment du site

il vient du fait qu'entre ta machine et ton modem, tu envoies des trames qui n'ont pas la bonne taille ...

or sur les sites "lourds", il y a des requetes HTTP qui dépassent la taille d'une trame, donc le navigateur ne reçoit que la première trame et attend désperement les suivantes, mais le modem et la carte réseau n'étant plus d'accord, tu peux attendre ...

idem sous dows, des fois tu mets des jours à télécharger 10 Mo, parceque ça ... j'ai eu le cas pas plus tard que ce WE chez un pote qui a cassé son W2K.

Share this post


Link to post
Share on other sites

×
×
  • Create New...