Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec
2008 20:23:06 +0200:
>> >> >> 3) "Продвинутые" сисадмины по дороге не слышали про
PMTU, и вместо
>> >> >> возвращения Fragmentation needed пакет просто пропадет.
>> >>
>> >> ПК> Причём тут тоннель, при встрече с хостом с brain-dead
>> >> ПК> администратором и без тоннеля будут проблемы. Которые
PMTU как раз
>> >> ПК> и решает, т.к. если есть Fragmentation needed, он обрабатывается
>> >> ПК> штатным стеком без PMTU.
>> >>
>> >> Данная проблема бывает ровно от соединения PMTU discovery с
brain-dead
>> >> администратором. По отдельности оно не ломается. И
поскольку хану мы
>> >> не лечим, то чинить можно только зажиманием MTU.
>>
>> ПК> Где почитать можно, я неверное с этой разновидностью не сталкивался?
>>
>> ПК> Только что перечитал что есть что:
>>
>> ПК> PMTU: пассивно запоминает минимальный MTU для каждого пути
назначения,
>> ПК> где возникло превышение. Вычисляет он это так: в отсылаемых
TCP пакетах
>> ПК> ставится DF, и если получен ICMP[Fragmentation needed] значение
>> ПК> запоминается на некоторое время.
>>
>> Ну. А теперь представь себе, что благодаря идиоту-админу, зарезавшему
>> все типы пакетов, про которые он сам ничего не выучил, Fragmentation
>> needed к тебе не вернулся. Сам был зарезан по дороге от того места, где
>> дропнули твой пакет с флагом DF. Угадай с трех раз, что будет.
ПК> Отослал письмо не дописав, сорьки.
ПК> Зачем гадать, и так ясно, бить таких админов надо. Только это очень
ПК> большая редкость когда блокируют исходящие icmp, по сравнению с тем, как
ПК> блокируют входящие.
Если фрагментация потребовалось хопом дальше, то для него этот пакет
будет и входящим, и исходящим. Один черт до тебя не дойдет.