Re: MTU -

[Richard Verwayen <holle@ackw.de>]

On Wed, 2004-09-29 at 16:57, Martin Werthmöller wrote:

> > Zu dem Setup: Woody hinter DSL-Router.

      ISP
       |
    Router
       |
    w.x.y.z/26
       |
     Woody
       |
  192.168.2.0/24

> > 
> > Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte 
> > ich einige Seiten wieder aufrufen. 
> > 
> Genau das meinte ich. Ein Packetfilter-/Firewall Setup, welches das
> Internet *Control* Message Protcol komplett blockt. Damit werden die ICMP
> Meldungen Deines Routers geblockt, mit denen er der sendenden Seite
> mitteilt, daß die Pakete zu groß sind.

Der Router ist von einem großen deutschen Internet-Provider konfiguriert
worden, ein Firmennetz ans Internet anzubinden. Dort befindet sich
keinerlei Filter noch irgendwelche NAT-Konfigurationen.

Auf der Firewall (ja, erst hier wird man ein wenig gefiltert!) gibt es
nur Regeln für den durchgeleiteten Verkehr (NAT) ansonsten stehen dort
eh keine Dienste zur Verfügung, somit ist alles INPUT und OUTPUT offen!

ICMP-Pakete jedweder Art kann ich von und zu der Maschine senden...

> 
> > Also gibt es doch Probleme, wenn die MTU zu hoch ist.
> >
> Natürlich. Allerdings liegt die eigentliche Ursache nicht an der zu großen
> MTU, sondern an den (IMHO) falsch konfigurierten Packetfiltern, die das
> 'böse' ICMP komplett blocken.

Ich weiß, das sie falsch konfiguriert sind - 
Schließlich steht alles offen ;-)


> 
> Du hast natürlich recht, daß seitens des Kunden die einzige "Lösung" darin
> besteht, seine MTU entsprechend herunterzusetzen.

Stimmt! Aber ich kann dir versichern, das es nicht an irgendwelchen 
Firewall-Regeln liegt!

Meinst du etwa, der ISP filtert für mich irgendwelche Pakete? 
(Ich bezahle ihn definititv nicht dafür!)

Wo ist der Unterschied zwischen 

ebay.de (erreichbar mit mtu 1492)
und
commerzbank.de, map24.de, deutsche-bank.de (mtu 1492 = geht nicht) ?

Gruß Richard