A sta se desi kada hoces da pristupis hotmailu ?
Moze biti da je neki problem sa firewallom ili nacinom na koji je konfigurisan NAT (hotmail verovatno koristi https, a download.com http). Posalji listu iptables komandi koje koristis na linuxu (za firewall i NAT), pa da vidimo.

https nije problem, jer na nekim drugim sajtovima radi bez problema (www.gmail.com). Evo deo IPtables koji se odnosi na forward i nat:

_______________________________________________________________________________
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m policy --dir in --pol ipsec --proto esp
-j forward_int
-A FORWARD -i eth0 -j forward_ext
-A FORWARD -i eth1 -j forward_int

-A FORWARD -j DROP
______________________________________________________________________
-A forward_ext -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACC
EPT

-A forward_ext -m state --state INVALID -j DROP

-A forward_ext -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT

-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type
0 -j ACCEPT

-A forward_ext -d 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -j ACCEPT

-A forward_ext -s 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -m policy --dir in --pol ipsec --proto esp
-j ACCEPT

-A forward_ext -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A forward_ext -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A forward_ext -j DROP

-A forward_int -o eth0 -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACC
EPT

-A forward_int -m state --state INVALID -j DROP

-A forward_int -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT

-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type
0 -j ACCEPT

-A forward_int -d 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -j ACCEPT

-A forward_int -s 172.16.10.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLI
SHED -m policy --dir in --pol ipsec --proto esp
-j ACCEPT

-A forward_int -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A forward_int -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A forward_int -j DROP

______________________________________________________________
:PREROUTING ACCEPT [331705:21771578]

:POSTROUTING ACCEPT [1925:264264]

:OUTPUT ACCEPT [0:0]

-A POSTROUTING -o eth1 -j MASQUERADE
______________________________________________________________________




_{[Ovu poruku je menjao IzNoGood dana 29.06.2005. u 12:04 GMT+1]}

probaj sa manjom vrednoscu za MTU, to nekad pomogne... verovatno ti ne radi ni msn messenger, microsoft.com

Zaista vrlo cudno. Mada ne vidim nista sto bi pravilo problem, definitifno bih probao sa skroz cistim firewallom (koji ima ACCEPT za sve po defaultu, bez DROP pravila, ipseca i clamp mss-a) i samo MASQUARADE rule. Sta se desi kada sa windows masine uradis telent na port 80 na hotmail recimo ? Nikada ne uspostavi vezu ?

Evo ovako stvari stoje....
Telnetujem se na port 80 na Hotmail.com bez problema, zatim sam izbrisao sve iptables rulove, i stavio polise na ACCEPT i , interesantna stvar, i dalje ne radi !???
Pokusavao sam i kombinacije sa smanjivanjem MTU-a, ni to nije pomoglo, polako postajem ochajan :/
Jedini moj zakljucak je da firewall radi, i NAT radi, ali NE ZNAM STA NE VALJA...
IPSec openSwan ?????????????

Inace, Gorane, u pravu si, ne rade ni msn, ni microsoft, ni icq ....... Da li si se mozda susretao sa slicnim problemom?

Naime o cemu se radi kod tebe! Tvoji hostovi u intranet-u imaju veci MTU nego sto bi trebali da imaju (default za ethernet port je 1500) setuj im manji MTU npr. na 1400 i to ce da radi ali setovanje MTU-a moras da uradis na svakoj windows/linux masini u mrezi jer MTU koji setujes na gateway-u nema uticaja na hostove u intranet-u :oS Mozda postoji neko drugo resenje ali za ovo znam da radi.

Intresantno je da u firewallu postoji pravilo sa --clamp-mss-to-pmtu. Posto mu svi paketi idu preko linuxa, trebalo bi da je dovoljna da linux outgoing interface (eth1) ima isparavan MTU. A posto mu svi siteovi rade sa linuxom, izgleda da eth1 ima ispravan MTU.

IzNoGoode, obavesti nas obavezno da li smanjenje MTU-a na windowsu resava problem, bas me zanima,

naime isto sam uradio kod mene jer sam imao isti problem. Iz intranet mreze nisu radili pojedini sajtovi tipa msn.con microsoft.com i sl. e posto u intranet mrezi imam linux masine bilo je dovoljno da setujem njihov mtu na 1400 i sve je odlicno radilo. E da! Da napomenem da je na firewall-u bilo dodato pravilo --clamp-mss-to-pmtu i s'tim pravilom nije radilo.

Najzad radi !!!

na gatewayu, (na interfejsu koji ima javnu IP adresu) smanjio sam MTU na 1400, i sad sve radi bez problema. u firewall-u je vec bilo setovano --clamp-mss-to-pmtu, i na windows mashinama nema potrebe da se setuje nista.
Hvala vam puno svima, sad mogu malo da se opustim :)

hm... cudno meni tako nece da radi !?!? mada ja preko wireless linka uspostavljam VPN tunel do pptpd server-a koji mi dodeljuje javnu adresu na interfejs ppp0. E sada ja setujem mtu na ppp0 na 1400 ali to ocigledno nema efekta.?!? E sada nemam ideju zato to negde radi a negde ne ??? stavio sam u input lanac su paketi tipa icmp type 3 dozvoljeni i u forward lanac --clamp-mss-to-pmtu pravilo i to ocigledno ne prolazi ...!! grrrrr