боремся с фрагментацией пакетов MTU MSS
-
Доброго здоровья..
Столкнулся с проблемой "умирания" IPSEC. Решение проблемы выглядит так
iptables -t mangle -A INPUT -j TCPMSS –set-mss 1402 -s {branch office IP} -p tcp --synподробное описание http://www.dlink.co.il/ru/faq/92/507.html
а как это решить на pf ?
-
Cейчас на страничке интерфейса поставил MTU 576, tcpdump показывает что пакеты ходят по 1360…. ничего не понимаю но каналы пока работают. Насколько это правильный выход? ifconfig кстати все равно пишет 1500, куда же уходит правильный параметр?
# ifconfig rl2 rl2: flags=8843 <up,broadcast,running,simplex,multicast>mtu 1500 options=8 <vlan_mtu></vlan_mtu></up,broadcast,running,simplex,multicast>
-
вот, было про иписеки и мтэу
-
вот, было про иписеки и мтэу
там они тоже в закладке вэба поменяли, это получается для всех соединений, а хотелось бы для конкретных. хотя уже все равно, два дня полет нормальный для всех впнов.
-
а при чём тут iptables?
-
-
пофлудим?
-
-
scrub in on <if0> all no-df</if0>
в каком месте применять? после перезагрузки правил файрвола ?
-
в каком месте применять? после перезагрузки правил файрвола ?
в pf прменять… эммм... а как у тебя это правило заработает, если ты не перезагрузишь/перечитаешь фаервол?
-
Посмотрите в сторону меню System > Advanced раздел Traffic Shaper and Firewall Advanced . Читаем и активируем нужные галки.
- Clear DF bit instead of dropping
- Firewall Optimization Options
- Disable Firewall Scrub
-
-
Посмотрите в сторону меню System > Advanced раздел Traffic Shaper and Firewall Advanced . Читаем и активируем нужные галки.
- Clear DF bit instead of dropping
- Firewall Optimization Options
- Disable Firewall Scrub
спасибо, попробую.
а на что это должно повлиять?
первый пункт снимаем DF вместо дропа пакета.. так пакеты на самом деле не дропаются …
по второму не понятно что выставить, у меня везде по умолчанию, нормаль
третий вообще непонятен, слово scrub услышал вчера впервый раз ??? -
cпасибо, попробую.
а на что это должно повлиять?
первый пункт снимаем DF вместо дропа пакета.. так пакеты на самом деле не дропаются …
по второму не понятно что выставить, у меня везде по умолчанию, нормаль
третий вообще непонятен, слово scrub услышал вчера впервый раз ???http://www.openbsd.org/faq/pf/scrub.html
так и не понял, куда записать.. :-\
настоятельно рекомендую почитать что такое packet filter (pf) и как им пользоваться