Forums Linux Autres OS Linux Debian

règle Iptables changement de MTU

Le
Tahar BEN ACHOUR
--0-2125125995-1291203727=:74070
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour à tous, Je dois mettre une place un règle iptables pour fo=
rcer le MTU sur ma carte à 1300 j'avais configuré au niveau de mon e=
tc/interfaces un MTU à 1300 sur ma carte réseau, mais le fournisseur=
a déconseillé cela par rapport à son appli et a demandé une r=
ègle iptables qui forcerai un MTU=1300 pour tout trafic UDP passant =
sur le port 5060 iptables -t mangle -A POSTROUTING -p udp -o eth0 -j T=
CPMSS --set-mss 1300 je ne sais pas si on peut utiliser TCPMSS avec d=
es paquets UDP. Merci pour votre aide
--0-2125125995-1291203727=:74070
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></he=
ad><body><div style="font-family:arial,helvetica,sans-serif;font-size:12p=
t;color:#000000;"><div>Bonjour à tous,<br><br>Je dois mettre une place un=
règle iptables pour forcer le MTU sur ma carte à 1300 j'avais configur=
é au niveau de mon etc/interfaces un MTU à 1300 sur ma carte réseau, =
mais le fournisseur a déconseillé cela par rapport à son appli et a d=
emandé une règle iptables qui forcerai un MTU=1300 pour tout trafic U=
DP passant sur le port 5060<br><br>iptables -t mangle -A POSTROUTING -p udp=
-o eth0 -j TCPMSS --set-mss 1300 <br><br>je ne sais pas si on peut utilise=
r TCPMSS avec des paquets UDP.<br><br><br><br>Merci pour votre aide<br></di=
v> </div><br> </body></html>
--0-2125125995-1291203727=:74070--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/947525.74070.qm@web26306.mail.ukl.yahoo.com
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Pascal Hambourg
Le #22869091
Salut,

Tahar BEN ACHOUR a écrit :


Je dois mettre une place un règle iptables pour forcer le MTU sur ma
carte



iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

j'avais configuré au niveau de mon etc/interfaces un MTU à
1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par
rapport à son appli



Peut-on savoir pourquoi ?

et a demandé une règle iptables qui forcerai un
MTU00 pour tout trafic UDP passant sur le port 5060



Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
MTU, pas iptables.

On pourrait essayer d'utiliser le routage avancé avec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche.

iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300



Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.



Ben non puisque le MSS est une option spécifique à TCP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #22869081
--0-794859055-1291206237=:91835
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Merci pour ta réponse,

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois
faire c'est tagger le traffic UDP ar rivant sur le port 5060 chose normalement
faisable avec iptables, et cr éer sur chaque trafic taggé une règle de routage
spécifique modi fiant la fragmentation des paquets. (comme si j'ai forcé un
MTU00 sur ma carte réseau)

Je ne sais pas si ceci serait faisable, person nellement je ne vois pas vraiment
comment le faire niveau OS




________________________________
De : Pascal Hambourg À : DEBIAN Envoy é le : Mer 1 décembre 2010, 13h 10min 25s
Objet : Re: règle Iptable s changement de MTU

Salut,

Tahar BEN ACHOUR a écrit :


Je dois mettre une place un règle iptables pour forcer le MTU sur ma
carte



iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

j'avais configur é au niveau de mon etc/interfaces un MTU à
1300 sur ma carte rése au, mais le fournisseur a déconseillé cela par
rapport à son appl i



Peut-on savoir pourquoi ?

et a demandé une règle iptables qui forcerai un
MTU00 pour tout trafic UDP passant sur le port 50 60



Ce n'est pas possible, voir ci-dessus. C'est le routage qui défin it le
MTU, pas iptables.

On pourrait essayer d'utiliser le routage a vancé avec marquage des
paquets par iptables, mais je ne ne suis pas s ûr que ça marche.

iptables -t mangle -A POSTROUTING -p udp -o et h0 -j TCPMSS --set-mss 1300



Cette règle est erronée. La cible TCPM SS modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP e t ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

je ne sais pas si on peut utiliser TCPMSS avec de s paquets UDP.



Ben non puisque le MSS est une option spécifique à TCP.

--
Lisez la FAQ de la liste avant de poser une question :
ht tp://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un m essage avec comme objet "unsubscribe"
vers ts.debian.org
En cas de soucis, contactez EN ANGLAIS ian.org
Archive: http://lists.debian.org/



--0-794859055-1291206237=:91835
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

style="font-weight: bold;">À : C'est le routage qui définit le ymailto="mailto:" href="mai lto:">debian-user-french-REQUEST @lists.debian.org </ div><br>




</body></html>
--0-794859055-1291206237=:91835--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Daniel Huhardeaux
Le #22869221
Bonjour,

Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit :
Merci pour ta réponse,

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je
dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose
normalement faisable avec iptables, et créer sur chaque trafic taggé
une règle de routage spécifique modifiant la fragmentation des
paquets. (comme si j'ai forcé un MTU00 sur ma carte réseau)



Pascal t'a demandé pourquoi et je serai également intéressé par la
réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060
n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu
devras (logiquement) faire de même.

Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de
savoir pourquoi ton fournisseur te demande cette manipulation (je suis
moi même fournisseur, cela m'intéresse d'autant plus).

[...]
*De :* Pascal Hambourg *À :* DEBIAN *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s
*Objet :* Re: règle Iptables changement de MTU

Salut,

Tahar BEN ACHOUR a écrit :
>
>
> Je dois mettre une place un règle iptables pour forcer le MTU sur ma
> carte

iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

> j'avais configuré au niveau de mon etc/interfaces un MTU à
> 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par
> rapport à son appli

Peut-on savoir pourquoi ?

> et a demandé une règle iptables qui forcerai un
> MTU00 pour tout trafic UDP passant sur le port 5060

Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
MTU, pas iptables.

On pourrait essayer d'utiliser le routage avancé avec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche.

> iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss
1300

Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

> je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.

Ben non puisque le MSS est une option spécifique à TCP.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #22869431
--0-1377668136-1291210132=:55892
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

On a un problème de communication SIP entre différents réseaux, ce pr oblème n'a
été résolu que quand on a baissé le MTU à 1300 si non parfois on a communication
blanche c'est pour ça, le problème pe ut se situer ailleurs c'est à dire niveau
firewall ou routeur, mais co mme je n'ai pas la main dessus et que les
"responsables" ne veulent pas toucher à leur firewall, je suis obligé de trouver
une solution cô té OS.






________________________________
De : Daniel Huhardeaux À : g
Envoyé le : Mer 1 décembre 2010, 13h 33min 32s
Objet : Re: Re : r ègle Iptables changement de MTU

Bonjour,

Le 01/12/2010 13:23, T ahar BEN ACHOUR a écrit :
Merci pour ta réponse,

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois
faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normaleme nt
faisable avec iptables, et créer sur chaque trafic taggé une r ègle de routage
spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un
MTU00 sur ma carte réseau)



Pascal t'a demandé pourquoi et je serai également intéressé par la répo nse.
D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal
pour le SIP, le RTP passe par d'autres ports, tu dev ras (logiquement) faire de
même.

Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de savoir
pourquoi ton fournisse ur te demande cette manipulation (je suis moi même
fournisseur, cela m 'intéresse d'autant plus).

[...]
*De :* Pascal Hambourg *À :* DEBIAN *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s
*Objet :* Re: règle Iptables changement de MTU

Salut,

Tahar BEN A CHOUR a écrit :
>
>
> Je dois mettre une place un règle ipt ables pour forcer le MTU sur ma
> carte

iptables ne fait que f iltrer/modifier les paquets IP. Il ne permet pas
de modifier le MTU d'u ne interface.

> j'avais configuré au niveau de mon etc/interface s un MTU à
> 1300 sur ma carte réseau, mais le fournisseur a déco nseillé cela par
> rapport à son appli

Peut-on savoir pour quoi ?

> et a demandé une règle iptables qui forcerai un
> MTU00 pour tout trafic UDP passant sur le port 5060

Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
MTU, p as iptables.

On pourrait essayer d'utiliser le routage avancé av ec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche.

> iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300

Cette règle est erronée. La cible TCPMS S modifie la valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont pas égaux.

> je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.

Ben non puisque le MSS est une option spéc ifique à TCP.

-- Lisez la FAQ de la liste avant de poser une que stion :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABO NNER, envoyez un message avec comme objet "unsubscribe"
vers debian-use
En cas de soucis, contactez EN ANGLAIS .debian.org
Archive: http://li sts.debian.org/





-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/F renchLists

Pour vous DESABONNER, envoyez un message avec comme objet " unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http:/ /lists.debian.org/



--0-1377668136-1291210132=:55892
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

même. pas qu'avec le ymailto="mailto:" href="mailto: ists.debian.org"> href="mailto:"> </div><br>




</body></html>
--0-1377668136-1291210132=:55892--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #22869851
--0-1996557635-1291215404=:59592
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour à tous,

je pense avoir trouvé une solution pour répondre à ce besoin,


#iptables -A PREROUTING -t mangle -p udp --dport 50 60 -j MARK --set-mark 2

# echo 202 sip.in >> /etc/iproute2/rt_tables
# ip rule add fwmark 2 table sip.in
# ip route add default via 193.9 5.123.6 mtu 1300 dev eth0 table sip.in
# ip route flush cache

je n 'en suis pas sûr du tout, mais ça répond assez à ce que j'ai besoin de
faire, je vais devoir procéder à des tests pour confirmer.

Merci pour votre aide.




________________________________
De : Tahar BEN ACHOUR À : DEBIAN Envoyé le : Mer 1 décembre 2010, 14h 28min 52s
Obj et : Re : Re : règle Iptables changement de MTU


On a un problèm e de communication SIP entre différents réseaux, ce problème n'a
été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication
blanche c'est pour ça, le problème peut se situer ail leurs c'est à dire niveau
firewall ou routeur, mais comme je n'ai pas la main dessus et que les
"responsables" ne veulent pas toucher à leur firewall, je suis obligé de trouver
une solution côté OS.






________________________________
De : Daniel Huhardeaux À :
Envoyé l e : Mer 1 décembre 2010, 13h 33min 32s
Objet : Re: Re : règle Iptable s changement de MTU

Bonjour,

Le 01/12/2010 13:23, Tahar BEN ACHOU R a écrit :
Merci pour ta réponse,

En effet, j'avais mal v u et mal analysé le problème, en fait ce que je dois
faire c'est ta gger le traffic UDP arrivant sur le port 5060 chose normalement
faisabl e avec iptables, et créer sur chaque trafic taggé une règle de routag e
spécifique modifiant la fragmentation des paquets. (comme si j'ai f orcé un
MTU00 sur ma carte réseau)



Pascal t'a demandé p ourquoi et je serai également intéressé par la réponse.
D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le sig nal
pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement ) faire de
même.

Je n'ai jamais vu de problème de MTU sur le p ort SIP et serai curieux de savoir
pourquoi ton fournisseur te demande c ette manipulation (je suis moi même
fournisseur, cela m'intéresse d' autant plus).

[...]
*De :* Pascal Hambourg *À :* DEBIAN *Envoy é le :* Mer 1 décembre 2010, 13h 10min 25s
*Objet :* Re: règle Ip tables changement de MTU

Salut,

Tahar BEN ACHOUR a écri t :
>
>
> Je dois mettre une place un règle iptables pour for cer le MTU sur ma
> carte

iptables ne fait que filtrer/modifie r les paquets IP. Il ne permet pas
de modifier le MTU d'une interface.

> j'avais configuré au niveau de mon etc/interfaces un MTU à
> 1300 sur ma carte réseau, mais le fournisseur a déconseillé ce la par
> rapport à son appli

Peut-on savoir pourquoi ?

> et a demandé une règle iptables qui forcerai un
> MTU00 pour tout trafic UDP passant sur le port 5060

Ce n'est pas possib le, voir ci-dessus. C'est le routage qui définit le
MTU, pas iptables .

On pourrait essayer d'utiliser le routage avancé avec marquage des
paquets par iptables, mais je ne ne suis pas sûr que ça marche .

> iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --s et-mss 1300

Cette règle est erronée. La cible TCPMSS modifie l a valeur de l'option
MSS d'un paquet de synchronisation TCP et ne fonct ionne donc qu'avec le
protocole TCP. D'autre part MSS et MTU ne sont p as égaux.

> je ne sais pas si on peut utiliser TCPMSS avec des p aquets UDP.

Ben non puisque le MSS est une option spécifique à TCP.

-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envo yez un message avec comme objet "unsubscribe"
vers debian-user-french-R
En cas de soucis, contactez EN ANGLAIS g
Archive: http://lists.debian .org/





-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscrib e"
vers
En cas de soucis, c ontactez EN ANGLAIS
Archive: http://lists.deb ian.org/



--0-1996557635-1291215404=:59592
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></he ad><body><div style="font-family:arial,helvetica,sans-serif;font-size:12p t"><div>Bonjour à tous,<br><br>je pense avoir trouvé une solution pour répondre à ce besoin,<br><br><br>#iptables -A PREROUTING -t mangle -p u dp --dport 5060&nbsp; -j MARK --set-mark 2
<br>
<br># echo 202 sip.in & gt;&gt; /etc/iproute2/rt_tables
<br># ip rule add fwmark 2 table sip.in
<br># ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip. in
<br># ip route flush cache
été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication blanche c'est pour ça, le problème peut se situer aille urs c'est à dire niveau firewall ou routeur, mais comme je n'ai pas la ma in dessus et que les "responsables" ne veulent pas toucher à leur firewal l, je suis obligé de trouver une solution côté OS. debian-user-french @lists.debian.org même. ne fait que filtrer/modifier les paquets IP. Il ne permet
pas qu'a vec le href="mailto:">debian-user-fr ymailto="mailto:" target="_ blank" href="mailto:">debian-u </div><br>




</div></div>
</div><br>




</body></html>
--0-1996557635-1291215404=:59592--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Pascal Hambourg
Le #22869891
Tahar BEN ACHOUR a écrit :

En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois
faire c'est tagger le traffic UDP arrivant sur le port 5060



Arrivant ? Sortant, tu veux dire ? Ça ne servirait à rien de marquer les
paquets reçus.

chose normalement
faisable avec iptables, et créer sur chaque trafic taggé une règle de routage
spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un
MTU00 sur ma carte réseau)

Je ne sais pas si ceci serait faisable, personnellement je ne vois pas vraiment
comment le faire niveau OS



Je verrais quelque chose comme ce qui suit. A essayer.

# marquage des paquets SIP émis avec la valeur 0x1 (arbitraire)
iptables -t mangle -A OUTPUT -p udp --dport 5060 -j MARK --set-mark 0x1
iptables -t mangle -A OUTPUT -p udp --sport 5060 -j MARK --set-mark 0x1

# regle de routage en fonction de la marque 0x1
ip rule add fwmark 0x1 table 100

# table de routage 100 (arbitraire) avec MTU reduit
# cette table doit reprendre les routes de la table normale (main)
ip route add <sous-reseau-local> dev <interface> mtu 1300 table 100
ip route add default via <passerelle> dev <interface> mtu 1300 table 100
...

Mais comme l'a souligné Daniel, cela ne traite que les paquets SIP, qui
ne contiennent que la signalisation. Les paquets des flux de données
audio utilisent d'autres ports. On peut néanmoins les identifier avec le
marquage de connexion CONNMARK. Et bien entendu, cela ne traite que le
trafic sortant. Si quelque chose gêne le trafic entrant, cela n'aura
aucune influence.

PS : merci d'éviter le HTML, ça alourdit inutilement les messages.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Pascal Hambourg
Le #22870161
Tahar BEN ACHOUR a écrit :

je pense avoir trouvé une solution pour répondre à ce besoin,


#iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2

# echo 202 sip.in >> /etc/iproute2/rt_tables
# ip rule add fwmark 2 table sip.in
# ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in
# ip route flush cache



Nos messages se sont croisés et se rejoignent à quelques détails près.

Reste une question à éclaircir : la machine sur laquelle tu créées ces
règles est-elle serveur ou client SIP ou bien un routeur situé sur le
chemin entre le serveur et le client ?

Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite
les paquets entrants, et si ces paquets sont destinés à la machine
elle-même les règles de routage avancé sont sans effet (la table "local"
est prioritaire). Dans le second cas la table de routage alternative a
des chances d'être incomplète. Comme je l'ai déjà écrit elle devrait
contenir les mêmes routes que la table principale, avec mtu 1300 en plus
pour celles qui en ont besoin.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #22870601
----- Message d'origine ----
De : Pascal Hambourg À : DEBIAN Envoyé le : Mer 1 décembre 2010, 16h 54min 59s
Objet : Re: Re : Re : Re : règle Iptables changement de MTU

Tahar BEN ACHOUR a écrit :
>
> je pense avoir trouvé une solution pour répondr e à ce besoin,
>
>
> #iptables -A PREROUTING -t mangle -p udp --dport 5060 -j MARK --set-mark 2

>
> # echo 202 sip.in >> /etc/iproute2/rt_tables
> # ip rule add fwmark 2 table sip.in
> # ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in
> # ip route flush cache

Nos messages se sont croisés et se rejoignent à quelques détails près.

Reste une question à éclaircir : la machine sur laquelle tu créées ces
règles e st-elle serveur ou client SIP ou bien un routeur situé sur le
chemin entre le serveur et le client ?



Merci beaucoup pour ton aide,

l a machine sur laquelle j'applique ces règles c'est le serveur SIP


Dans le premier cas, la chaîne PREROUTING ne convient pas : elle tr aite
les paquets entrants, et si ces paquets sont destinés à la ma chine
elle-même les règles de routage avancé sont sans effet (la table "local"
est prioritaire). Dans le second cas la table de routage alternative a
des chances d'être incomplète. Comme je l'ai déj à écrit elle devrait
contenir les mêmes routes que la table prin cipale, avec mtu 1300 en plus
pour celles qui en ont besoin.



PRER OUTING ce n'est pas avant d'être routé ? le marquage ne doit pas se fai re
avant de router le paquet vers la destination ?

Sinon je vois à peu près ce que tu veux dire par rapport au contneu de la table
pr incipale, je vais essayer d'appliquer les modifications et faire mes tests, je
vous tiendrai au courant, mais a priori c'est la solution à adopte r à quelques
modif près.

Encore merci pour ton aide


PS : Désolé pour le HTML je ne m'étais pas rendu compte, d'habitude je l e
désactive




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Pascal Hambourg
Le #22870791
Tahar BEN ACHOUR a écrit :

De : Pascal Hambourg
Reste une question à éclaircir : la machine sur laquelle tu créées ces
règles est-elle serveur ou client SIP ou bien un routeur situé sur le
chemin entre le serveur et le client ?



la machine sur laquelle j'applique ces règles c'est le serveur SIP

Dans le premier cas, la chaîne PREROUTING ne convient pas : elle traite
les paquets entrants, et si ces paquets sont destinés à la machine
elle-même les règles de routage avancé sont sans effet (la table "local"
est prioritaire). [...]



PREROUTING ce n'est pas avant d'être routé ?



C'est avant la décision de routage *d'entrée*, qui décide si un paquet
reçu doit être livré à un processus local (dans ce cas il poursuit sont
chemin dans les chaînes INPUT) ou retransmis ("forwarded") vers une
autre machine (dans ce cas il poursuit son chemin dans les chaînes
FORWARD et POSTROUTING). Cf. le schéma de la page Wikipédia sur
iptables. La retransmission ("forwarding") ne peut se produire que si la
machine fonctionne en routeur.

le marquage ne doit pas se faire
avant de router le paquet vers la destination ?



Si la destination est locale, le marquage en vue du routage ne sert à
rien car la table de routage "local" est prioritaire, cf. la première
ligne de ip rule list qui n'est pas modifiable. Quel intérêt y aurait-il
de limiter le MTU (Maximum *Transmit* Unit) pour des paquets *reçus* ?
Tout ce qu'on peut faire, c'est limiter la taille des paquets sortants,
c'est-à-dire émis (par un hôte) ou retransmis (par un routeur).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Poster une réponse
Anonyme