Re: router setup

[Alexander Gerasiov <gq@cs.msu.su>]

Artem Chuprina wrote:
> Pavel -> debian-russian@lists.debian.org  @ Thu, 22 Dec 2005 19:49:13 +0200:
> 
>  P> Привет,
> 
>  P> Вот какая штука, делаю роутер который одним сетевым интерфейсом смотрит
>  P> в инет, а другим в локальную сеть. Юзеры локалки должны ходить в инет
>  P> указав IP роутера как default gateway.
> 
>  P> Получилось довольно-таки быстро, но были замечены странные вещи.
>  P> Например сайт microsoft.com не отвечает, так же не отвечает pop3 сервис
>  P> на yahoomail. traceroute на microsoft.com с роутера проходит шустро...
> 
> Если я правильно ошибаюсь, на microsoft.com админы тоже стандартные
> уроды, заблокировали ICMP, не подумав мозгами.  В смысле, не от тебя
> первого слышу.  В общем, похоже на классическую проблему с Path MTU
> discovery в TCP.  Когда TCP стек не знает, что админ урод.  Он,
> собственно, скорее всего, отвечает, но происходит затык на первом
> полновесном пакете.  Проблема неоднократно описана, при желании можешь
> самостоятельно узнать, в чем она заключается, а лечение по сути все
> равно одно - пинать админов на том конце, что в случае с Microsoft и
> Yahoo дело гиблое.
> 
Можно и самому вылечить. Кстати проблемы часто не на том конце, а у
твоего провайдера. Как сказано в iptables(1) "braindead ISP"

Я для решения проблемы использую

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu

man iptables и искать по слову --clamp-mss-to-pmtu
если этот ключик не сработает - попробовать самому подобрать нужное
значение.