http://blog.muffty.org/47/ Дневникът на Милен Панков Wed, 08 Jun 2011 00:40:03 +0000 hourly 1 http://wordpress.org/?v=3.2.1 http://blog.muffty.org/47/comment-page-1/#comment-753 Милен Панков Wed, 19 Dec 2007 12:25:45 +0000 http://blog.muffty.org/?p=47#comment-753 Тази конфигурация работеше доста време без проблеми, докато тези дни не се натъкнах на един. В някои случаи компютри от точка 2 нямат достъп до определени ресурси в интернет. След бая ровене и дъмпване се оказа, че това важи само за пакети, които идват с високо MTU и с флаг "Don't Fragment". При tcpdump на външния интерфейс на точка 1 се вижда следното: IP a.b.c.d > <em>the_ip_on_internet</em>: ICMP a.b.c.d unreachable - need to frag (mtu 1428), length 556 Разбира се отсрещния хост блокира ICMP. Успях да се справя с това като на точка 2 зададох следното в iptables: <code>iptables -I FORWARD -o <em>the_internal_dev</em> -p tcp -s 10.1.10.0/24 -d ! 192.168.1.0/24 --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu</code> Горното сработва само ако е последна команда във FORWARD ползваща insert. Тази конфигурация работеше доста време без проблеми, докато тези дни не се натъкнах на един. В някои случаи компютри от точка 2 нямат достъп до определени ресурси в интернет. След бая ровене и дъмпване се оказа, че това важи само за пакети, които идват с високо MTU и с флаг „Don’t Fragment“. При tcpdump на външния интерфейс на точка 1 се вижда следното:
IP a.b.c.d > the_ip_on_internet: ICMP a.b.c.d unreachable – need to frag (mtu 1428), length 556
Разбира се отсрещния хост блокира ICMP.
Успях да се справя с това като на точка 2 зададох следното в iptables:
iptables -I FORWARD -o the_internal_dev -p tcp -s 10.1.10.0/24 -d ! 192.168.1.0/24 --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Горното сработва само ако е последна команда във FORWARD ползваща insert.

]]>