[LUGOS] NAT, MTU, blokiranje ICMP-ja ipd.

[David Klasinc]

Quoting Borut Mrak <b at aufbix.org>:


> MTU na 1476 in zadeva je s te masine zacne delovat. Se vedno pa ne deluje 
> (tako pravijo, jaz tega na zalost ne morem preverit, ker nimam dostopa do 
> nicesar na LAN-u) z masin na LAN-u. Ali je to res? NAT koda na Linuxu ne 
> zmanjsa paketov, oz. tega zahteva od clientov na LAN-u? Kaj naredit, da bo 
> vse delalo? Kaksen transparent proxy ni resitev, ker ne gre samo za web...

Preveri kak je packet size oz, ce leti ven ICMP frag needed na notranjem 
interface-u od NAT masine, tako bos vedej kaj dela NAT masina. _zelo_ verjetno 
je, da clientu na LAN-u posljem ICMP, da naj zmanjsa paket, implementacijsko se 
mi zdi to lazje. Probaj nastavit se MTU na 'notranjem' interface-u na NAT 
masini, da se bodo clienti morali pogovarjati z NAT masino z krajsimi paketi. V 
tem primeru bi Linux _moral_ poslati ICMP clientu in ta bi moral poslati nazaj 
tak paket, kot ga masina zahteva.

Tisto kar pa blokira ICMP pakete med zunanjo masino in slashdotom, je pa zelo 
verjetno kak Clustering hardware (vsaj se pred nekaj casa nazaj) to je problem 
vecine cluster resitev. Znotraj se masine v clusterju pogovarjajo z MTU 1500, 
kar je naceloma ok. Ampak tezava je v tem, da do cluster serverja (router 
masine) pride paket, ki ima MTU ze 1500, potem se zadeva enkapsulira v IPIP 
protokol recimo in kar naenkrat rata paket malo prevelik, potem je pa vmes na 
poti tudi kak tak podoben tunnel in rezultat tega je, da do tebe pridejo samo 
stvari, ki imajo pakete krajse od 1500 bytov... ;> Kar pa ni povsem uporabno...


-- 
David!