Jean-Michel OLTRA a écrit :
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu
[...]
J'avais fait qqch similaire à une époque, pour régler un problème sur les envois de pièces jointes : j'avais fixé le mss avec iptables (sur les communications vers le port 25), en utilisant l'option --set-mss X (avec X à déterminer).
L'option -set-mss est une alternative à --clamp-mss-to-pmtu, mais il y a une précaution à prendre. --clamp-mss-to-pmtu ne peut que baisser la valeur de MSS, si la nouvelle valeur déterminée par le patch MTU est inférieure à la valeur originale contenue dans le paquet. En revanche --set-mss ignore la valeur originale et se contente de l'écraser. Si la valeur originale est inférieure à la nouvelle valeur il en résulte une augmentation de MSS, ce qui est une très mauvaise idée. Par conséquent il est plus prudent de limiter le changement de MSS aux paquets dont la valeur originale est supérieure à la valeur à fixer, avec la correspondance tcpmss :
iptables [...] -m tcpmss X+1: -j TCPMSS --set-mss X