AbcLinuxu:/ Poradna / Linuxová poradna / maškaráda částečně přestala fungovat

Štítky: ADSL, DHCP, distribuce, DNS, Fedora, firewally, GPRS, HTML, Internet, iptables, KDE, kernel, komunikace, LAN, Linux, NAT, obrázky, PPP, prohlížeče, proxy, sítě, SSH, tcpdump, traceroute, web

Dotaz: maškaráda částečně přestala fungovat

3.10.2006 11:56 pitat450 | skóre: 10
maškaráda částečně přestala fungovat

Přečteno: 468×

Odpovědět | Admin

ahoj, dnes se mi stalo něco z čehož sem naprosto vedle. Mám nastavenou MASQUARADE

/sbin/ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp

/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j ACCEPT

echo "1">/proc/sys/net/ipv4/ip_forward

která fungovala dopoavad bezvadně. Na mém druhém počítači notebooku (192.168.0.2) dnes však přestal správně pracovat prohlížeč. Jde otevřít například domovská stránka - google, ale když dám něco vyhledat a kliknu odkaz nic...Je však zvláštní, že některé servery fungují...například

http://www.idos.cz

nebo

http://www.redhat.com/magazine

gaim funguje...nerozumím tomu...můžete poradit? nebo Zkoušel jsem pingovat některé mé kamarády a ping se nevracel.

Nástroje: Začni sledovat (2) ?

Odpovědi

3.10.2006 12:19 xalfy
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

já bych zkusil to trošku změnit

/sbin/ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up

tady ještě přidat :

/sbin/route add default gw x.x.x.x

echo "nameserver x.x.x.x" > /etc/resolv.conf

echo "1">/proc/sys/net/ipv4/ip_forward

/sbin/modprobe iptable_nat

/sbin/modprobe ip_conntrack_ftp

/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to x.x.x.x (tvoje verejna ip)

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

/sbin/iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

Tak a ted bz to melo byt ok :)

3.10.2006 15:52 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

předně děkuju za odpověď. Zkusil sem to jak si mi to napsal, ale nezlepšilo se to, naopak mi ani nešlo spustit ADSL... je mi divn

Nenapadá tě jak to otestovat abych zjistil v čem to vězí?

Myslím, že to přestalo správně fungovatpo tom, co jsem si hrál (zkoušel rozjet) hlds - serverem pro counter strike... je možné že server nějakým způsobem pozměnil nastavení sítě...?

3.10.2006 16:08 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

1) pripojit z toho serveru na internet ti jde? ping neco_co_na_klientovi_nejde.cz
elinks neco_co_na_klientovi_nejde.cz
2) mas dobre nastavene dns servery v /etc/resolf.conf
3) mas to same nastavene na klientech?
4) co ti to vyhodi za hlasku kdyz zkusis z klienta ping/tracert (traceroute)?

3.10.2006 16:17 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

1) pripojit z toho serveru na internet ti jde? ping neco_co_na_klientovi_nejde.cz
elinks neco_co_na_klientovi_nejde.cz

ano pripojeni ze serveru je neomezene a nemam s nim zadny problem, problem je jen s klientem...jak uz sem rekl klient nezobrazuje vetsinu www serveru...

2) mas dobre nastavene dns servery v /etc/resolf.conf

ano mam ... /etc/resolv.conf nameserver1 *.*.*.* nameserver2 *.*.*.*

3) mas to same nastavene na klientech?

ano...mam to tak jak to bylo nastavene drive a jelo to v poradku

4) co ti to vyhodi za hlasku kdyz zkusis z klienta ping/tracert (traceroute)?

to mi bohuzel nejde ...dal sem to do konzole tohle..???

3.10.2006 16:31 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

ad 4) melo to znit zamozrejme napr: "ping www.seznam.cz" nebo "traceroute centrum.cz" oboji na klientovi

3.10.2006 16:43 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

aha...mno...seznam pinguje vporadku

traceroute www.seznam.cz

1  192.168.0.1 (192.168.0.1)  0.110 ms   0.070 ms   0.092 ms
 2  12.189.broadband3.iol.cz (85.70.189.12)  11.769 ms   12.997 ms   12.372 ms
 3  225.189.broadband3.iol.cz (85.70.189.225)  11.760 ms   17.462 ms   17.392 ms 4  80.188.33.241 (80.188.33.241)  25.408 ms   17.780 ms   17.895 ms
 5  80.188.33.241 (80.188.33.241)  20.855 ms   21.574 ms   24.364 ms
 6  194.228.21.34 (194.228.21.34)  26.409 ms   25.381 ms   29.878 ms
 7  nix.tgnet.cz (194.50.100.75)  30.194 ms   17.809 ms   17.721 ms
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

3.10.2006 18:49 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

tzn ze z klienta to pingnes v poradku, ale web ti tam nefunguje?!

3.10.2006 16:51 OldFrog {Ondra Nemecek} | skóre: 36 | blog: Žabákův notes | Praha
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Po restartu routeru se to zlepsi? Nekdy se preplni conntrack tabulka v jadre. Podival bych se co rekne

dmesg

Kdyztak zvednout limit

cat /proc/sys/net/ipv4/ip_conntrack_max
echo "163760" > /proc/sys/net/ipv4/ip_conntrack_max

-- OldFrog

3.10.2006 17:46 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

router nemám...mam adsl připojení a přes maškarádu se připojuje ještě jeden počítač...

zvětšil sem conntrack ale zatím nic...pokud teda neni potřeba restart :/

dmesg toho říka opravdu hodně :)

nevím jestli to mám tady postovat...která část by mě měla zajímat? abych tady moc nefloodoval

3.10.2006 20:52 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Stale jsem nepochopil co presne ti nefunguje, ten titulek je zavadejici. Takze evidentne routr ci co to mas funguje kdyz trace projde jak ma. Muzes pingnout s PC za routrem ?? a hlavne ..kam az ?? na routr? i za routr? jede ti dns server ? mas jej spravne nastaveny ?? co rika iptables -L ..atd .... takze: co presne ti nefunguje? a ktere prvky ti nefunguji. zacal bych tedy od routru ten jede v poradku ??

jen se učím jak se to naučit .... ...

6.10.2006 02:11 OldFrog {Ondra Nemecek} | skóre: 36 | blog: Žabákův notes | Praha
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Router je ten tvuj pocitac, pokud zprostredkovava pripojeni dalsimu pocitaci (preposila pakety a preklada sitove adresy).

Co mas za ADSL modem? Nektere modemy delaji opravdu podivne veci se sitovou komunikaci na nizssi urovni, takze treba ssh nejede ale ostatni protokoly ano (ADSL D-Link modem, chyba ve zpracovani TOS). Ta chyba se muze klidne projevit jen u nekterych klientu (vliv nastaveni, OS, pouziteho protokolu).

Zkus tedy prohledat internet - hledej typ modemu a pridavej ruzne indiciektere se Te mohou tykat. Premyslej co se mohlo zmenit - firewall na druhem pocitaci? Jiny system? Jina sitova karta? Aktualizace systemu?

Dale muzes byt pripojen pres nejakou proxy, to by to vsak pravdepodobne nefungovalo ani na routeru.

A take kontaktuj poskytovatele pripojeni, mel by umet pomoci nebo aspon overit ze z jeho strany je vse v normalu.

-- OldFrog

3.10.2006 22:24 tomas bryja
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

imho je to jasny problem v dns serverech.. kontaktuj providera, jestli je nemenili, nebo jestli nemaji nejake potize. kdysi jsem mel obdobny problem

4.10.2006 08:11 macrek | skóre: 12
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

alebo vyskusaj si tam dat nejake "spolahlive" dns(ka)

An eye for an eye makes the whole world blind.

4.10.2006 10:30 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Jasny problem ... no koukam ze jste jasnovidec., ale ano treba mate pravdu, .... nemam rad tyto suverenni tvrzeni.

jen se učím jak se to naučit .... ...

5.10.2006 22:42 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Přesně toto se mi tento týden stalo taky. IP filter je vpořádku, správně nastavený FORWARD, firewall vypnutý, DNS správně nastavený jak na servru (routeru), tak na klientu... ping funguje kamkoli, ale některé stránky se nenačítají. Načte se třeba část stránky a některé obrázky nebo CSS styly ne. Ale mění se to. Někdy nejde to a někdy zase to. Nechápu co se děje, nebyl jsem schopný to zjistit ani z logu.

4.10.2006 13:14 xalfy
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

iptables -L -n -t nat

iptables -L -n -t mangle

iptables -L -n

a pošli nám to sem ;-)

4.10.2006 13:43 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

proc iptables -L -n -t mangle ? To by me zajimalo ....

jen se učím jak se to naučit .... ...

10.10.2006 21:19 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

ahoj dnes sem byl nucen přeinstalovat FEDORU a tento problém stále přetrvává...

iptables -L -n -t nat

dá

target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       0.0.0.0/0
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:85.71.153.199

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables -L -n

dá

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       0.0.0.0/0
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:85.71.153.199

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@localhost pitat450]# /sbin/iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  83.208.242.117       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  10.1.4.52            0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  10.162.123.204       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  213.29.64.24         0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  85.193.50.6          0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  85.193.50.2          0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  213.250.202.61       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  213.220.221.19       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0           state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:67
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW
TRUSTED    all  --  0.0.0.0/0            0.0.0.0/0           state NEW

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0           state NEW
TRUSTED    all  --  0.0.0.0/0            0.0.0.0/0           state NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            192.168.0.0/24
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           state INVALID

Chain TRUSTED (2 references)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            85.71.153.199       icmp type 8
ACCEPT     icmp --  0.0.0.0/0            192.168.0.1         icmp type 8
DROP       icmp --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

děkuju za pomoc...

12.10.2006 01:14 jir.
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Máte tam MASQUERADE + SNAT současně, dal bych tam pouze jedno. V chainu FORWARD povolujete odchozí pakety "state NEW,RELATED,ESTABLISHED", ja to měl taky tak a měl jsem s tím problémy. Pro začátek bych to zrušil a dal u odchozích paketů pouze ACCEPT bez rozlišení.

5.10.2006 23:29 DNA
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

je to v nastaveni DNS

6.10.2006 00:01 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

DNS je správně - sleduju na své LAN stejný problém a DNS jsem prověřil všude. Navíc funguje ping kamkoli, třeba www.centrum.cz. IP adresa ADSL připojení ppp0 zůstává také stejná - tím to nebude.

No a jelikož mi to hrozně vrtá hlavou a štve mě, že mi taky nejde internet na klientském PC, tak jsem se v tom dneska vrtal trochu hlouběji a zjistil jsem z LOGu následující jev: první dva pakety okamžitě dostávají odpověď z internetu a v pořádku se dostanou ke klientovy. Pak ale následují dva pakety od klienta těsně za sebou, na který se z internetu vrátila jen jedna odpověď. Kde se ztratil ten druhý paket? Klientský webbrowser se tváří, že pořád čeká na data - a nedostává je. Ale v chainu POSTROUTING se další paket vůbec neobjevil.

V nat v chainu POSTROUTING je nastavena maškaráda takto: /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

všecko ostatní má policy=ACCEPT,

pingy mi fungují kamkoli si vzpomenu - v LAN i v internetu, číselně i názvy.

Na servru jde všecko bez jediného problému. Na klientu - skoro nic. A pozoruhodné pozorování: seznam adres, které se načítaly, postupně s časem ubývá. Jde toho míň a míň, nepomáhá ani restart systému.

Tak já fakt nevim kde je chyba. Kdo to umí vyřešit? Vypíšeme odměnu? :+)

10.10.2006 23:59 DNA
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

s vytacenym ADSL nemam bohuzel zkusenosti, naposledy jsem ppp pouzival na GPRS...

10.10.2006 22:43 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

ale jaké nastavení? existuje něco jako automatické nastavení DNS?

10.10.2006 23:53 DNA
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

pokud je neprideli DHCP asi ne, spise bych to nastavil pevne v /etc/resolv.conf > nameserver x.x.x.x, bohuzel to asi neplati pro prispevek nad - pokud se postupne snizuje pocet prelozenych adres, tak fakt nevim, nikdy jsem o tom ani neslysel...

11.10.2006 00:29 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

je to v nastavení...ve win to funguje no problem

11.10.2006 22:21 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Tak zatím jsem zkoušel, co se dalo. Maškaráda mi taky přestala správně fungovat a nefunguje stále. Moje aktuální nastavení vypadá tak, že firewall je úplně vypnutý, v iptables se nic neblokuje a je udělaná maškaráda. Je udělaná správně, protože fungovala. Na linuxový router jsou připojené přes síťovou kartu dva další compy s Vyndous. Oba dva se chovají stejně a to tak, že ping jde na kteroukoli adresu v síti internet jak číselně, tak názvem. Překlad z názvů na IP adresy funguje všude a vždy. Potíž nastane, když se pokusím z jakéhokoli webbrowseru na klientském počítači načíst libovolnou webovou stránku. Všiml jsem si, že soubory pod určitou velikost se stáhnou. Soubory nad určitou velikost se nestáhnou. Takže třeba malé obrázky se objeví, krátké HTML se objeví, ale třeba dlouhé CSS soubory se nenačtou nebo velké obrázky se nenačtou, taktéž dlouhé HTML kódy se nenačtou. Proč, to zatím nikdo neví. Prohledal jsem na internetu co se dalo - česky i anglicky. Takže na klientských počítačích mi nejde internet skoro vůbec, zatímco na linuxu, co je nastavena maškaráda, mi jde úplně všecko. Pomocí tcpdump se mi podařilo zjistit, že některé requesty projdou routerem ven (rozhraním ppp0). Mají se pak vrátit zpátky dva pakety za sebou, ale druhý se nevrátí - na ppp0 už další paket vůbec nepřijde. Provider mi nic neblokuje, to jsem si ověřil. Napadají mě následující možnosti: možná se maškarádou v jádře linuxu (mám Reh Hat Fedora, kernel 2.6.9-1.669) nějak poškozují pakety. ??? Nevim. Tak hluboko jsem ještě do Linuxu nepronikl. Nevim jestli není známa nějaká chyba v modulu ip conntrack nebo jestli není někde něco špatně nastavené, jestli se třeba nepřeplnilo nějaké pole... hlavně je divné, že nepomůže ani restart systému, přestože to několik dnů fungovalo bez problémů. Jestli by to pomohlo, tak tohle je část výpisu z tcpdump, kde se klient pokouší načíst stránku http://mail.centrum.cz

23:11:43.181382 IP 88.102.42.160.1041 > 213.29.7.236.80: S 12085437:12085437(0) win 8192 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
E..@..@.....Xf*........P..h....... .H..............

	............
23:11:43.218289 IP 213.29.7.236.80 > 88.102.42.160.1041: S 855744578:855744578(0) ack 12085438 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
	
E..4..@.:.......Xf*..P..3..B..h.....................
23:11:43.219326 IP 88.102.42.160.1041 > 213.29.7.236.80: . ack 1 win 8760
	
E..(..@.....Xf*........P..h.3..CP."8.p..
23:11:43.223561 IP 88.102.42.160.1041 > 213.29.7.236.80: P 1:442(441) ack 1 win 8760
	
E.....@.....Xf*........P..h.3..CP."8....GET /log_form.php?url=http://mail.centru
23:11:43.266289 IP 213.29.7.236.80 > 88.102.42.160.1041: . ack 442 win 54

Nic dalšího pak už na ppp0 z internetu nepřišlo a klient jen čeká a čeká na další data a žádná nedostává.

11.10.2006 23:24 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Nevim jestli není známa nějaká chyba v modulu ip conntrack nebo jestli není někde něco špatně nastavené, jestli se třeba nepřeplnilo nějaké pole.

já mám také kernel 2.6 má Fedoru 5 a mám jí teď čerstvě nainstalovanou, to si myslím že vylučuje možnost přehlcení nějaké tabulky...

jinak jak už sem řekl když bootnu (dualboot) vydle tak to jede ok...což znamená DNS sou taky ok...nějaké nastavení, ale jakto že to fungovalo a najednou ne! To by ukazovalo na nějakou změnu DNS serverů, já fakt nevim, každopádně sem fakt zvědavej čím to je...

12.10.2006 07:54 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Všiml jsem si, že soubory pod určitou velikost se stáhnou. Soubory nad určitou velikost se nestáhnou. Takže třeba malé obrázky se objeví, krátké HTML se objeví, ale třeba dlouhé CSS soubory se nenačtou nebo velké obrázky se nenačtou, taktéž dlouhé HTML kódy se nenačtou.

Hm, rozbité Path MTU Discovery? Howto na LARTC by mohlo pomoci.

12.10.2006 21:02 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Výborně! Jsi génius :+) to je přesně ono. Rozbité Path MTU Discovery. Zabral ten druhý příkaz:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

Kdybych si byl býval podrobně přečetl celé man iptables, tak bych to tam našel, přesně tento problém tam je popsán.

Odteď to perfektně funguje. Vřelé díky! :)

13.10.2006 17:47 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Neeeeee, mě to nefunguje...pomoooc ufoni!

Strako, prosim te jak si to rozchodil...i kdyz mozna ze ja mam zas uplne jinej problem...me se nacitaj jen nektery stranky teda spis skoro zadny...nezalezi na velikosti, ale buhvi na cem! Google vyhledava...prosim poradte

22.10.2006 16:12 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Pokud při prázdném FORWARD s policy ACCEPT a POSTROUTING v tabulce NAT správně nastaveném pro maškarádu ti fungují jen některé URL - to jest že webbrowser na klientu se připojí, pošle request, ale nedostane zpátky data (případně dostane jen na některé requesty), pak by to mohl být stejný problém jako u mne.

Takže když vyzkoušíš to, co radí na http://lartc.org/howto/lartc.cookbook.mtu-mss.html, tak by to mohlo pomoct.

Pomocí tcpdump jsem při porovnání komunikace z routeru na určitou www stránku s komunikací z klienta na tu samou www stránku dohledal, že z klienta přes router všecko prošlo, ale zpátky se vrátila jen část paketů. Nastavením

iptables -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

se to vyřešilo. Asi by šlo zkusit i jiné hodnoty než 128. Jinak nevim proč mi nezabralo už to --clamp-mss-to-pmtu, jak radí na té stránce, protože to by mělo. Jinak pokud by to nepomohlo, tak leda pomocí logů zkusit analyzovat za jakých podmínek a kde se to ztrácí.

11.2.2007 12:56 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

To rozbité MTU je i toto ?

Feb 10 12:27:28 router pppd[518]: Couldn't increase MTU to 1500
Feb 10 12:47:52 router pppd[519]: Couldn't increase MTU to 1500
Feb 10 12:50:31 router pppd[854]: Couldn't increase MTU to 1500
Feb 10 13:03:13 router pppd[517]: Couldn't increase MTU to 1500
Feb 10 13:03:23 router pppd[853]: Couldn't increase MTU to 1500
Feb 10 19:40:27 router pppd[519]: Couldn't increase MTU to 1500

dík

22.10.2006 17:34 Jan
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

V man pages pro iptables se o -j TCPMSS uvadi:


This  target  is  used to overcome criminally braindead ISPs or servers
which block ICMP Fragmentation Needed packets.  The  symptoms  of  this
problem are that everything works fine from your Linux firewall/router,
but machines behind it can never exchange large packets:

Docela by me zajimalo, ktery cesky ISP je "criminally braindead". Mozna je to novy trend jak zabranit sdileni linek.

Založit nové vlákno • Nahoru

Tiskni Sdílej: