Re: Pb TCP

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

<[🔎] 43E27FC8.6090004@nerim.net>

Stephane Bortzmeyer a écrit :
> GIL ANTOLI Michel wrote:
>> Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10
> 
> [évocation du MTU]
>  
>> Depuis les TX de ce serveur ont surf sur tous les sites de la
>> planete sans pb, par contre ce n'est pas la cas pour les machines
>> qui n'utilisent que la fonction routeur de ce serveur, ce qui est le
>> cas du site wanadoo france et du site du ministère de la
>> culture. Les autres sont accessibles sans pb.

Que signifie "TX" ?

> Les deux sites en question font probablement partie des nombreux sites
> mal configurés qui filtrent l'ICMP.
> 
>> Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela
>> se passe au niveau de la trame des paquets.
> 
> Oui, le segment TCP est trop grand et le filtrage chez les sites mal
> configurés vous empêche de recevoir l'ICMP qui vous préviendrait du
> problème.

Si un segment émis par le serveur est trop grand pour passer sur la
liaison PPPoE, le paquet est perdu sans qu'aucun ICMP soit émis car le
problème se situe au niveau liaison, pas au niveau IP. C'est le problème de "trou noir" de PPPoE. Si en revanche un segment émis par le
poste client est trop gros pour passer sur la liaison ADSL, soit il est
fragmenté par la passerelle, soit il est détruit par celle-ci avec émission d'un ICMP à destination du client. Dans un cas comme dans
l'autre, le filtrage côté serveur n'est pas en cause.

> Deux solutions :
> 
> - la plus simple est sans doute le "MSS clamping"

Nerim fait déjà du clamping MSS à 1420 sur ses LNS (en partie pour ne
pas fragmenter le tunnel L2TP), ce qui devrait être suffisant.

> - la plus propre est d'abaisser la MTU sur chaque machine de votre
> réseau.

Cette solution a l'avantage de s'appliquer à tous les protocoles basés
sur IP et pas seulement à TCP. Mais elle présente l'inconvénient de
s'appliquer aussi aux communications à l'intérieur du réseau local.