[Linux-bruxelles] Re: Mise en ligne site internet OVH

David GLAUDE dglaude at ael.be
Mer 28 Déc 22:01:00 CET 2005 

Je pense que l'ignoble configuration est une mauvaise interaction entre
MSS Clamp et le connection tracker de FTP. La fonctionnalité serait que
le MSS Clamp est appliqué sur la connection de contrôle et pas sur les
connection data du transfert FTP.

La possible explication est l'utilisation de fwbuilder pour créer les
règles iptable(? kernel 2.4).

Je dois avoué que j'en ai eu un petit peu marre de chercher et donc j'ai
pas cherché plus loin.

David GLAUDE

Alexandre Dulaunoy wrote:
> On 28/Dec/05 15:03 +0100, David GLAUDE wrote:
> 
>> Pour ainsi dire, j'ai déjà du me battre contre ce genre de problème avec
>> OVH.
>>
>> Les transferts FTP d'un PC Windows via mon firewall "debian live cd
>> firewall" via ethernet en PPPoE via ma scarlet box jusque chez eux avait
>> des problèmes.
>>
>> Les problèmes semblent être lié au MTU et à la façon dont j'avais mis en
>> place mes règles de PMTU. Il y a aussi vraissemblablement un filtrage
>> aggressif des packets ICMP qui empêche OVH de bien voir qu'il y a un
>> problème de MTU.
>>
>> Pour moi les petits échanges marchaient et les gros pas du tout!!!
>>
>> J'ai sniffer (sauf côté ADSL) et j'ai pas vraiment trouvé.
>>
>> Comme cela marchait de mon firewall (mais pas de mon serveur debian)
>> j'ai installé un proxy transparent FTP et là tout marche mieux...
>> évidemment c'est un peu comme utiliser un char panzer pour tuer une
>> mouche...
> 
> Une astuce qui fonctionne assez bien.
> 
> La solution "propre"  est de force un MSS  (Maximum Size Segment) plus
> petit pour une route donnée.
> 
> man route
> 
> "mss M  set the  TCP Maximum Segment  Size (MSS) for  connections over
> this route to  M bytes.  The default is the  device MTU minus headers,
> or a  lower MTU when path  mtu discovery occured. This  setting can be
> used  to force  smaller TCP  packets on  the other  end when  path mtu
> discovery does  not work  (usually because of  misconfigured firewalls
> that block ICMP Fragmentation Needed)"
> 
> Pour info, je ne crois pas que le problème vienne d'OVH ;-) mais d'une
> ignoble configuration PPPoE sur le router.

Plus d'informations sur la liste de diffusion Linux-bruxelles