4. боремся с фрагментацией пакетов MTU MSS

боремся с фрагментацией пакетов MTU MSS

  • I

    Доброго здоровья..

    Столкнулся с проблемой "умирания" IPSEC. Решение проблемы выглядит так
    iptables -t mangle -A INPUT -j TCPMSS –set-mss 1402 -s  {branch office IP} -p tcp --syn

    подробное описание http://www.dlink.co.il/ru/faq/92/507.html

    а как это решить на pf ?

    0
  • I

    Cейчас на страничке интерфейса поставил MTU 576,  tcpdump показывает что пакеты ходят по 1360…. ничего не понимаю но каналы пока работают.  Насколько это правильный выход? ifconfig кстати все равно пишет 1500, куда же уходит правильный параметр?

    # ifconfig rl2
rl2: flags=8843 <up,broadcast,running,simplex,multicast>mtu 1500
        options=8 <vlan_mtu></vlan_mtu></up,broadcast,running,simplex,multicast>
    0
  • S

    вот, было про иписеки и мтэу

    http://forum.pfsense.org/index.php/topic,19900.0.html

    0
  • I

    @Shraik:

    вот, было про иписеки и мтэу

    http://forum.pfsense.org/index.php/topic,19900.0.html

    там они тоже в закладке вэба поменяли, это получается для всех соединений, а хотелось бы для конкретных. хотя уже все равно, два дня полет нормальный для всех впнов.

    0
  • E

    а при чём тут iptables?

    0
  • Z

    @Eugene:

    а при чём тут iptables?

    казалось бы…

    0
  • I

    пофлудим?

    0
  • Z

    @izuware:

    пофлудим?

    конечно

    scrub in on <if0> all no-df</if0>
    0
  • I

    @zar0ku1:

    scrub in on <if0> all no-df</if0>

    в каком месте применять? после перезагрузки правил файрвола ?

    0
  • Z

    @izuware:

    в каком месте применять? после перезагрузки правил файрвола ?

    в pf прменять… эммм... а как у тебя это правило заработает, если ты не перезагрузишь/перечитаешь фаервол?

    0
  • D

    Посмотрите в сторону меню System > Advanced раздел Traffic Shaper and Firewall Advanced . Читаем и активируем нужные галки.

    • Clear DF bit instead of dropping
    • Firewall Optimization Options
    • Disable Firewall Scrub
    0
  • I

    @zar0ku1:

    @izuware:

    в каком месте применять? после перезагрузки правил файрвола ?

    в pf прменять… эммм... а как у тебя это правило заработает, если ты не перезагрузишь/перечитаешь фаервол?

    так и не понял, куда записать..  :-\

    0
  • I

    @dvserg:

    Посмотрите в сторону меню System > Advanced раздел Traffic Shaper and Firewall Advanced . Читаем и активируем нужные галки.

    • Clear DF bit instead of dropping
    • Firewall Optimization Options
    • Disable Firewall Scrub

    спасибо, попробую.
    а на что это должно повлиять?
    первый пункт снимаем DF вместо дропа пакета.. так пакеты на самом деле не дропаются …
    по второму не понятно что выставить, у меня везде по умолчанию, нормаль
    третий вообще непонятен, слово scrub услышал вчера впервый раз  ???

    0
  • Z

    @izuware:

    cпасибо, попробую.
    а на что это должно повлиять?
    первый пункт снимаем DF вместо дропа пакета.. так пакеты на самом деле не дропаются …
    по второму не понятно что выставить, у меня везде по умолчанию, нормаль
    третий вообще непонятен, слово scrub услышал вчера впервый раз  ???

    http://www.openbsd.org/faq/pf/scrub.html

    @izuware:

    так и не понял, куда записать..  :-\

    настоятельно рекомендую почитать что такое packet filter (pf) и как им пользоваться

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy