linux user group brescia

On Tue, Feb 18, 2003 at 12:34:03PM +0100, Pierpaolo Scaini wrote:
> 
> In message <20030218111850.A16470 a dmf.unicatt.it>
>           Luca Giuzzi <giuzzi a dmf.bs.unicatt.it> wrote:
> 
> > Immagino che tu abbia provato a connetterti anche direttamente (non
> > tramite squid)... prova a vedere cosa succede dopo aver fatto
> > 
> > echo 0 > /proc/sys/net/ipv4/tcp_ecn
> > 
> > ... ho visto che il FW di finanze li blocca  :((((
> 
> Confermo!!
> 
> Mettendo a 0 l'ECN sul firewall, finanze.it funziona.
> 
L'ecn e' una cosa carina ed e' documentato come standard dalla
RFC3168... oramai e' in giro da un po' di anni (1999) e speravo
che non ci fossero piu' FW che lo bloccassero (e' un baco di
sitema bloccare i pacchetti con ECN  attivato... non si tratta
di una "possibilita'"). Purtroppo mi sbagliavo :((


> Non conoscevo ECN e cosi' oggi ho imparato qualcosa di nuovo.
> E leggendo in giro mi pare anche una cosa carina... immagino non vi
> sia verso di configurare il FW per disabilitarlo "in automatico" quando
> non funge... mi piacea l'idea di lasciarlo attivo...
> 
Sarebbe carino, ma purtroppo non e' possibile farlo in modo automatico
per gli hosts per cui non va... bisogna configurarlo di volta in volta
a livello di iptables...

iptables -A OUTPUT -t mangle -p tcp -d router_di_finanze_it
 -j ECN --ecn-tcp-remove

dovrebbe fare al caso tuo
(ma tieni conto che ti serve una versione recente di iptables e
potrebbero ancora esserci dei bachi)

Ciao,
 lg

dell'infrastruttura di iptables standard
> Grazie ancora
> 
> Pierpaolo.

--