Hallo Sascha, * Sascha Waltz <info@swaltz.info> [20050119 22:20]: > Ich nutze einen Rechner nit Debian sarge und der Kernelversion > 2.6.7-1-386 als Router für drei Rechner. Auf dem Router ist eine > Firewall zwecks Sicherheit und Masquerading installiert. Das Routing > funktioniert soweit auch ganz gut, nur kann ich einige Internetseiten > nicht aufrufen, wie z.B. www.ebay.de , www.postbank.de und > www.starwarsgalaxies.de (hier wird immerhin der title geladen)... > Andere Seiten, wie z.B. www.amazon.de oder www.google.de funktionieren > ohne Probleme. Liegt daran, dass ein Ethernet-Paket unter Umständen zu groß wird, wenn noch der für private DSL-Zugänge nötige PPPoE-Header drangeklebt wird. Normalerweise wird der Absender über ICMP "fragmentation needed" darüber informiert, entsprechend hirntote Paketfilter-Konfigurationen blockieren ICMP aber komplett und schon kracht's. Abhilfe: Nötige deinen Router grundsätzlich dazu, Pakete auf eine sichere Maximalgröße "umzupacken", bevor sie auf die DSL-Leitung gehen. Bei Userspace-Implementierungen von pppoe gibt es da meistens einen Parameter für dieses sogenannte "MSS-Clamping". Ein Wert von 1453 für MSS (bzw 1493 für MTU) sollte sicher sein. Falls du keine Konfigurationsmöglichkeit findest oder die pppoe-Implementierung im Linux-Kernel benutzt hilft iptables, z.B. mit folgender Regel: | iptables -A FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -m tcpmss \ | --mss 1453: -j TCPMSS --set-mss 1452 (Das Interface bei Bedarf anpassen) Zu guter Letzt noch ein Hinweis: HTML-Mails sind überflüssig groß und bringen eine ganze Reihe Probleme mit sich. Speziell auf Mailinglisten sind sie fast nie gerne gesehen. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ | | \ / Campaign Against | fmp@palmen.homeip.net encrypted mail welcome | | X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
Attachment:
signature.asc
Description: Digital signature