VYRESENO: Divna maskarada

Leos Bitto bitto na atrey.karlin.mff.cuni.cz
Pátek Leden 22 21:25:55 CET 1999


Michal Krause (mike na navrcholu.cz) wrote:
: Dne 22. 1. 1999 Leos Bitto napsal:
: 
: > Michal Krause (mike na navrcholu.cz) wrote:
: > : Problem nastal v pripade, ze nejaky server posilal data tak, ze se nevesla 
: > : do jednoho paketu a musela se fragmentovat. Fragmenty uz ale neobsahuji 
: > : informaci o portu a tudiz nemohly byt forwardnuty na spravny comp. 
: > : Nepomohla ani volba IP_ALWAYS_DEFRAG pri kompilaci kernelu.
: > 
: > Pokud nepomohlo IP_ALWAYS_DEFRAG tak je toto vysvetleni chybne! Ja bych za
: > techto okolnosti tipoval na problem s routerem na druhe strane pevne linky.
: > Treba ma natvrdo MTU 1500 a nenecha si ho zmenit.
: 
: Ne, router na druhe strane se meni zcela podle mych prani. MTA/MTU bylo vzdy
: stejne na onou stranach.

A byl ten router doopravdy schopny s jinym MTU nez 1500 pracovat?

: Nevim, jestli je toto vysvetleni chybne: pochazi z konference o
: masqueradingu (http://home.indyramp.com/lists/masq/), kde se na tom vetsina
: lidi shodla. Nekolik lidi tam konstatuje, ze IP_ALWAYS_DEFRAG v praxi
: nepomohl a je treba nastavit MTA/MTU na 1500. 

Ale to potom znamena ze parametr IP_ALWAYS_DEFRAG nedela to co by delat mel.

: Ja si ale myslim, ze vysvetleni muze byt spravne. Nemam prilisne znalosti o
: vnitrnich principech maskarady, ale domnivam se, ze to pravda byt muze a to z
: nasledujicich duvodu: 
: 
: a) pri pozadavku na tento server jsem obdrzel kousek dat, ale pak uz nic
: (predpokladam, ze prvni paket jsem dostal, fragmenty uz ne)

Opet: pokud je zapnuto IP_ALWAYS_DEFRAG, tohle by vubec nemelo vadit.

: b) neni mozne, ze by kod maskarady pakety a fragmenty obdrzel (a pokusil se
: je forwardnout) drive nez kod pro defragmentaci? 

Pokud ano, jedna se o chybu v kernelu ktera se tam nejakym zlym zpusobem
vplizila v posledni dobe. Drive to takhle nefungovalo.

Jak to vypadalo s browsenim z toho serveru samotneho? Tam to take nefungovalo?
Pokud je to tak jak si myslim, tak by nemelo. Pokud to ovsem tam fungovalo
a ve vnitrni siti ne, nenapada me kde by mohla byt chyba. Respektive napada
- v masqeradingu. Ale nevim kde presneji.



Leos Bitto


Další informace o konferenci Linux