[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re : Re : Re : règle Iptables changement de MTU



Bonjour à tous,

je pense avoir trouvé une solution pour répondre à ce besoin,


#iptables -A PREROUTING -t mangle -p udp --dport 5060  -j MARK --set-mark 2

# echo 202 sip.in >> /etc/iproute2/rt_tables
# ip rule add fwmark 2 table sip.in
# ip route add default via 193.95.123.6 mtu 1300 dev eth0 table sip.in
# ip route flush cache

je n'en suis pas sûr du tout, mais ça répond assez à ce que j'ai besoin de faire, je vais devoir procéder à des tests pour confirmer.

Merci pour votre aide.


De : Tahar BEN ACHOUR <tahar_ba@yahoo.fr>
À : DEBIAN <debian-user-french@lists.debian.org>
Envoyé le : Mer 1 décembre 2010, 14h 28min 52s
Objet : Re : Re : règle Iptables changement de MTU

On a un problème de communication SIP entre différents réseaux, ce problème n'a été résolu que quand on a baissé le MTU à 1300 sinon parfois on a communication blanche c'est pour ça, le problème peut se situer ailleurs c'est à dire niveau firewall ou routeur, mais comme je n'ai pas la main dessus et que les "responsables" ne veulent pas toucher à leur firewall, je suis obligé de trouver une solution côté OS.




De : Daniel Huhardeaux <no-spam@tootai.net>
À : debian-user-french@lists.debian.org
Envoyé le : Mer 1 décembre 2010, 13h 33min 32s
Objet : Re: Re : règle Iptables changement de MTU

Bonjour,

Le 01/12/2010 13:23, Tahar BEN ACHOUR a écrit :
> Merci pour ta réponse,
>
> En effet, j'avais mal vu et mal analysé le problème, en fait ce que je dois faire c'est tagger le traffic UDP arrivant sur le port 5060 chose normalement faisable avec iptables, et créer sur chaque trafic taggé une règle de routage spécifique modifiant la fragmentation des paquets. (comme si j'ai forcé un MTU=1300 sur ma carte réseau)

Pascal t'a demandé pourquoi et je serai également intéressé par la réponse. D'autant que ton problème ne s'arrêtera pas là: le port 5060 n'est que le signal pour le SIP, le RTP passe par d'autres ports, tu devras (logiquement) faire de même.

Je n'ai jamais vu de problème de MTU sur le port SIP et serai curieux de savoir pourquoi ton fournisseur te demande cette manipulation (je suis moi même fournisseur, cela m'intéresse d'autant plus).

[...]
> *De :* Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
> *À :* DEBIAN <debian-user-french@lists.debian.org>
> *Envoyé le :* Mer 1 décembre 2010, 13h 10min 25s
> *Objet :* Re: règle Iptables changement de MTU
>
> Salut,
>
> Tahar BEN ACHOUR a écrit :
> >
> >
> > Je dois mettre une place un règle iptables pour forcer le MTU sur ma
> > carte
>
> iptables ne fait que filtrer/modifier les paquets IP. Il ne permet pas
> de modifier le MTU d'une interface.
>
> > j'avais configuré au niveau de mon etc/interfaces un MTU à
> > 1300 sur ma carte réseau, mais le fournisseur a déconseillé cela par
> > rapport à son appli
>
> Peut-on savoir pourquoi ?
>
> > et a demandé une règle iptables qui forcerai un
> > MTU=1300 pour tout trafic UDP passant sur le port 5060
>
> Ce n'est pas possible, voir ci-dessus. C'est le routage qui définit le
> MTU, pas iptables.
>
> On pourrait essayer d'utiliser le routage avancé avec marquage des
> paquets par iptables, mais je ne ne suis pas sûr que ça marche.
>
> > iptables -t mangle -A POSTROUTING -p udp -o eth0 -j TCPMSS --set-mss 1300
>
> Cette règle est erronée. La cible TCPMSS modifie la valeur de l'option
> MSS d'un paquet de synchronisation TCP et ne fonctionne donc qu'avec le
> protocole TCP. D'autre part MSS et MTU ne sont pas égaux.
>
> > je ne sais pas si on peut utiliser TCPMSS avec des paquets UDP.
>
> Ben non puisque le MSS est une option spécifique à TCP.
>
> -- Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-french-REQUEST@lists.debian.org <mailto:debian-user-french-REQUEST@lists.debian.org>
> En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
> Archive: 4CF63B31.7060009@plouf.fr.eu.org">http://lists.debian.org/4CF63B31.7060009@plouf.fr.eu.org
>
>

-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: 4CF6409C.4070408@tootai.net">http://lists.debian.org/4CF6409C.4070408@tootai.net




Reply to: