Le poulpe qui bloppe ! a écrit :
Pascal Hambourg a écrit : C'est un drapeau de l'en-tête IP de chaque paquet. On peut le contrôler manuellement dans certaines applications comme ping (option -M) ou traceroute (option -F), ainsi que globalement au niveau système en activant ou désactivant le path MTU discovery (PMTUd) avec le paramètre du noyau /proc/sys/net/ipv4/ip_no_pmtu_disc. Le principe du PMTUd consiste à envoyer les paquets avec DF=1 et si un routeur renvoie un message d'erreur ICMP "fragmentation needed", à ajuster le PMTU à la taille maxi indiquée dans le message d'erreur. Mais si le message ICMP n'est pas émis ou filtré quelque part, ça coince.
J'ajoute que le but est évidemment d'envoyer des paquets de la plus grande taille possible vers une destination donnée sans provoquer de fragmentation en chemin.
Sujet tres interessant, auriez-vous plus de précision sur le type de requette icmp à ne pas bloquer?
"Fragmentation needed" n'est pas à proprement parler une requête mais un message d'erreur, plus précisément une des formes du type ICMP "Destination unreachable". De manière générale, les messages ICMP qu'il vaut mieux ne pas bloquer sont ceux qui sont classés dans l'état RELATED (messages d'erreurs liés à une connexion existante ou ESTABLISHED (réponse à une requête envoyée) par le suivi de connexion de Netfilter. Les messages d'erreurs ICMP les plus importants sont "Destination unreachable" (type 3) et "Time exceeded" (type 11). Le premier sert à signaler qu'un paquet n'a pu être livré parce qu'un réseau, une machine, un protocole ou un port est injoignable ou filtré, ou que le paquet est trop gros. Le second sert à signaler qu'un paquet n'a pu être livré parce que sa durée de vie (TTL) a expiré (utile pour le traceroute ou pour détecter les boucles réseau) ou qu'un fragment n'a pas été reçu à temps.