Le 11/07/2019 à 12:53, Olivier a écrit :
Avec des captures Wireshark, j'ai vu que dans l'environnement en défaut, un message "ICMP Don't Fragment" était émis.
Ça m'étonnerait. Ce type de message n'existe pas. Tu dois confondre avec "Fragmentation needed but DF (Don't Fragment) set".
Plus spécifiquement, j'aimerai a minima, savoir quelle commande permet de détecter le problème corrigé par la cible -j TCPMSS --clamp-mss-to-pmtu de mes règles iptables ?
Il n'existe pas de commande qui détecte le problème à coup sûr. Cette cible contourne un problème de gestion de MTU qui se situe dans le sens descendant : l'émetteur distant n'est pas informé que les paquets qu'il envoie sont trop gros (soit à cause d'un trou noir de MTU causé par un pontage PPPoe-PPP par exemple, soit à cause d'un routeur qui ne renvoie pas de message ICMP "Fragmentation needed" à l'émetteur, soit à cause d'un filtrage de ce message entre le routeur et l'émetteur, soit parce que l'émetteur ne tient pas compte de ce message).
Envoyer un gros ping avec -M do (fragmentation interdite) est vain : le ping sera bloqué dès l'émission alors que le problème à détecter se situe en réception. Envoyer un gros ping fragmenté a plus de chances de détecter quelque chose : la cible devrait envoyer une réponse fragmentée mais en cas de problème seul le petit fragment sera reçu par l'interface PPPoE.