DF bit, fragmentace na TCP
Adam Pribyl
covex na ahoj.fsik.cvut.cz
Pátek Prosinec 20 20:10:50 CET 2002
Nevite nekdo jak nastavit (pravdepodobne kernel) v RH(7.0-8.0) aby
neposilal pakety TCP spojeni s DF bitem?
O co jde: mam problemy s tim, ze firewall (BSD) mi vraci TCP pakety
na jakekoli ip:port, krom ip:22 s odpovedi TYPE=3 CODE=1 (=host
unreachable).
Vypada to asi takle (iptables LOG):
IN= OUT=eth0 SRC=<my_ip> DST=<ip> LEN=60 TOS=0x00 PREC=0x00
TTL=64 ID=512 DF PROTO=TCP SPT=33939 DPT=80 WINDOW=5840 RES=0x00 SYN
URGP=0
IN=eth0 OUT= MAC=<mac> SRC=<fw_ip> DST=<my_ip>
LEN=56 TOS=0x00 PREC=0x00 TTL=255 ID=48032 DF PROTO=ICMP TYPE=3 CODE=1
[SRC=<my_ip> DST=<ip> LEN=80 TOS=0x00 PREC=0x00
TTL=63 ID=62895 FRAG:64 PROTO=TCP ]
Chyba pravdepodobne neni na fw, protoze pres nej jede mnozstvi
stroju s W2k a W98 a ty s tim problemy nemaji.
Z toho ze vraceny paket obsahuje informaci FRAG:64 jsem usoudil, ze fw
pozaduje povolenou fragmentaci paketu. Neni mi vsak jasne proc RH, resp.
kernel 2.4.18-18 posila TCP pakety s DF bitem (Do not fragment). Bohuzel
to neni problem jednoho stroje, delaji to vsechny RH 7-8 co na siti jsou
a i posledni pokus s MDK dopadl stejne.
Jsem z toho ponekud zmaten - na netu jsem nic nenasel, v
/proc/sys/net/ipv4/ take ne. Zachytil jsem jen nejakou zminku o tom, ze
diky spatne nastavenemu fw muze v linuxu dojit ke spatnemu nastaveni MTU.
MTU je vsak na 1500 a jakykoli pohyb s nim k nicemu nebyl, takze na to
bych to nesvadel.
Další informace o konferenci Linux