Page 1 sur 1
Publié : dim. mars 07, 2004 5:31 pm
par NDY 259 - Alain
En quoi un provider peut il se retrouver en face de problemes de "compatibilité" avec des firewalls ?
En quoi ces problemes de compatibilités peuvent ils être resolu en changeant les valeurs de la MTU ??
Voila... c'est vague, mais je ne comprend pas trés bien le probleme de Télé2 décrit ci dessous =>
Jusqu'à aujourd'hui, des utilisateurs ont expérimenté des problèmes de navigation lors de certaines session. Les pages semblaient gelées, il fallait réinitialiser la connexion pour corriger le défaut. Ces problèmes étaient liés à l'utilisation de certains pare-feu incompatibles avec des équipements de notre réseau. Ces équipements ont été corrigés aujourd'hui afin de pallier ce problème.
Les utilisateurs ayant forcé la taille du paramètre MTU de leur ordinateur peuvent revenir à la configuration standard (négociation du MTU à la connexion).
Publié : dim. mars 07, 2004 7:14 pm
par Soron_12f
je sais plus trops bien mais en gros, des fois si tu as un MTU trops gros, donc certaines trames IP grandes, avec les header du protocol pppOe entre le routeur et le modem adsl (je mélange peut être un peu, il faut adapter en fonction :P ) la trame résultante dépasse la valeur max du modem et le packet ne peut alors pas être utilisé. (dropée il me semble)
du coups dans ces situation il fallais forcer l'OS a ne jamais dépasser une certain valeurs, en gros mettre un MTU = 1500 - la taille du header pppoE ...
voilà une idée jettée comme cela, mais je touche de loin là ...
Publié : dim. mars 07, 2004 7:51 pm
par NDY 259 - Alain
Oui ca je savais (vaguement
), mais quel rapport avec les Firewalls ?
C'est la question que je me pose
Publié : dim. mars 07, 2004 9:47 pm
par Ghostrider
Sur certains firewall tu peux filtrer en fonction de la taille de trame ou du service ou d un autre element precisé dnas l header ethernet ....
Si le firewall ( certains font du NAT ou decodent des paquets encapsullés) redimensionne la taille du datagramme Ip ca peut peut etre gener un routeur ou un equipement de niveau 2 ou 3 qui serait moins concilliant ou qui blocque un pacquet qui lui semble hors negociation initial ...
Ou alors le filtrage du firewall a peut etre changer le crc et cela gene le FAI ....
C est vrai qu on voit tjs le firewall en passif mais certains sont peut etre plus intrusif dans le "routage ou decryptage d une trame Ip "
Mais bon j ai un survolé l IP durant ma formation , suis pas un expert IP
Peut etre demandé a un certifié CISCO ....
Publié : dim. mars 07, 2004 10:37 pm
par NDY 259 - Alain
Non pas la peine d'aller aussi loin...
Tu aurais, à tout hasard, le nom de ces firewall, non pas que je veuille changer mon ZA pro, mais j'aimerais en savoir un poil de plus sur ces modeles.
C'est pas vitale non plus. Te casse pas la dessus.
A bientot et merci !
Publié : lun. mars 08, 2004 6:41 pm
par Soron_12f
regarde au début, ptet un début d'explication
http://blue-labs.org/howto/mtu-mss.php
en gros -> MTU adatpé via des ICMP mais si bloqués pof pof ca marche plus
note qu'il y a aussi une technique TCPMSS, que je connais pas, mais qui permet aussi de régler le MTU.
pour le reste il faudrait voir la config du réseau sur lequel il y avait le problème. ou était positionné le firewall, avant ou après le modem ADSL, che le cilent, provideur ou entre le provideur et le site web...
Publié : lun. mars 08, 2004 6:49 pm
par Soron_12f
un firewall où ils font des modif entre les deux end-users :D
http://www.linux.org/docs/ldp/howto/Adv ... u-mss.html
Publié : lun. mars 08, 2004 7:41 pm
par NDY 259 - Alain
'rci !
Le mal de tête me guette.....
LOL !