[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: neo - dobijajacy problem...



Dnia 02-11-2004, wto o godzinie 14:00 +0100, hipiss napisał(a):

> to prawda.. w roznego rodzaju jest.. ale jedna i ta sama odpowiedz..
> iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS
> --clamp-mss-to-pmtu
> i ze to ten wpis odpowiada za zamiane MTU w locie..
> niestety u mnie musi byc cos jeszcze..
> moze jakies inniejsze pomysly..
> 
Nie mam pojęcia czy dobrze kalkuluję, ale kolejność w iptables jest
istotna, zatem w przypadku:

> echo>1 /proc/sys/net/ipb4/ip_forward
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -p FORWARD ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
> iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS 
> --clamp-mss-to-pmtu
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

następuje zaakceptowanie, i ominięcie clamp-mss-to-pmtu.
Może pomoże jeśli wpiszemy regułkę w odwrotnej kolejności:

iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS 
 --clamp-mss-to-pmtu
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

A jeśli nie to, to może (uwaga: strzelam całkiem w ciemno) ecn masz
włączone?  
echo 0 > /proc/sys/net/ipv4/tcp_ecn


Pozdrawiam,
JA



Reply to: