NAT, MTU, blokiranje ICMP-ja ipd.

Borut Mrak b at aufbix.org
Wed Mar 20 23:29:18 CET 2002 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Zdravo.

Imam en manjsi problem. Situacija:
|--------|        |---|     |---| |---|
|Slashdot|--Inet--|RT1|-GRE-|RT2|-|NAT|-LAN
|--------|        |---|     |---| |---|

NAT je masina, ki, neverjetno, dela NAT za tisti LAN ;-] Linux 2.2.16.

med RT2(cisco) in RT1(Linux) je GRE tunel po ethernetu -> MTU 1476

med RT1 in Slashdot je nekaj, kar blokira ves ICMP promet, vkljucno z ICMP 
fragmentation needed paketi. Nato se zgodi tole:

client izza RT2 vzpostavi povezavo s Slashdotom. Slashdot hoce poslat odgovor 
velik 1500B z nastavljenim DF bitom. RT1 ugotovi, da to ne bo slo cez GRE 
tunel in vrne ICMP fragmentation needed, ki seveda ne pride do slashdota. 
Slashdot poskusi se parkrat poslati tisti 1500B paket, na koncu mu ne uspe in 
prekine povezavo.

Problem sem resil tako, da sem na NAT masini na zunanjem interface-u nastavil 
MTU na 1476 in zadeva je s te masine zacne delovat. Se vedno pa ne deluje 
(tako pravijo, jaz tega na zalost ne morem preverit, ker nimam dostopa do 
nicesar na LAN-u) z masin na LAN-u. Ali je to res? NAT koda na Linuxu ne 
zmanjsa paketov, oz. tega zahteva od clientov na LAN-u? Kaj naredit, da bo 
vse delalo? Kaksen transparent proxy ni resitev, ker ne gre samo za web...

Ce je to v 2.4 bolje reseno (ali pa tudi v kaksnem novejsem 2.2), potem je 
OK, upgrade ni problem, ampak testiral pa tega ne bi, ker je nekoliko prevec 
dela... V najslabsem primeru bom naredil nek mangling (ko jebe DF bit, to 
priporoca Cisco za take primere :-) na RT1, na katerem tece Linux 2.4, ampak 
tega raje ne bi pocel, ce ni nujno potrebno. Poleg tega tale Cisco ne zna 
znova restavrirat takih paketkov...nekoliko prestar IOS in nekoliko premalo 
flasha za novo verzijo :-\

lp,

- -- 
Borut
b at aufbix.org
- ------------
Boys will be boys (and so will a lot of middle aged men...)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iEYEARECAAYFAjyZDT4ACgkQRUVvbWYRhILxagCgkOoKBSNaFQl97AJsP5aEQY+r
OBgAoJQzgjt7UE1FGDJq9aHh+eWBYFcH
=jn80
-----END PGP SIGNATURE-----

More information about the lugos-list mailing list