Re: sudo ws root
Покотиленко Костик пишет:
>> >> Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
>> >> администратором. По отдельности оно не ломается. И поскольку хану мы
>> >> не лечим, то чинить можно только зажиманием MTU.
>>
>> ПК> Где почитать можно, я неверное с этой разновидностью не сталкивался?
>>
>> ПК> Только что перечитал что есть что:
>>
>> ПК> PMTU: пассивно запоминает минимальный MTU для каждого пути назначения,
>> ПК> где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах
>> ПК> ставится DF, и если получен ICMP[Fragmentation needed] значение
>> ПК> запоминается на некоторое время.
>>
>> Ну. А теперь представь себе, что благодаря идиоту-админу, зарезавшему
>> все типы пакетов, про которые он сам ничего не выучил, Fragmentation
>> needed к тебе не вернулся. Сам был зарезан по дороге от того места, где
>> дропнули твой пакет с флагом DF. Угадай с трех раз, что будет.
>
> Отослал письмо не дописав, сорьки.
> Зачем гадать, и так ясно, бить таких админов надо. Только это очень
> большая редкость когда блокируют исходящие icmp, по сравнению с тем, как
> блокируют входящие.
Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
сказать,
что это как раз вполне часто встречается, к сожалению. И что самое
печальное - часто бить таких админов невозможно по тем или иным
причинам. Вот и приходится людям изобретать IKE Fragmentation, IKEv2 и тд.
PS. Хотя бывают и более экзотические случаи чем банальный дроп icmp,
например мегафоновский 3G до недавноего времени дропал _первый_ пакет,
если его размер превышал магическое число 2 с чем-то килобайта. Да,
именно 2 с чем-то,а не 14xx/1500.(речь идет о фрагментированном IKE-пакете)
Что смешно - режется только первый большой пакет - стоит пройти хотя бы
одному пакету и далее можно слать любого размера.
Но эти хоть сознаются, что это их баг и они подумают.
--
With MBR
Max
CCSA/CCSE
Reply to: