Hozzászólások
Megoldódott.
Úgy néz ki, hogy az iproute2 letöltése és a shorewall alkalmazása, valamint a közben lévő linksys( firewall-nak nevezett) router(?) kivétele megoldotta a problémát.
Sem a win registry (EnablePMTUDiscovery) beállítása, sem az MTU csökkentés nem használt.
Nem volt szűrve az ICMP forgalom, így a TCP MMS dampinget nem is próbáltam.
Kösz mindenkinek a segítséget, mert az irányt jól jelöltétek ki.
Üdv:
Oszi
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
M$ explorerrrel valamiért nem lehet kimenni az iptables tűzfalon keresztül. Minden más browser (azonos beállítással) működik. Utálom, ha explorert használnak a usereim, de nem ilyen módon akarom őket erről lebeszélni. :wink:
Szóval a tcpdump kimenete mozillával:
09:45:38.721489 192.168.0.199.2415 > home.datanet.hu.www: F 461:461(0) ack 4203 win 64238 (DF)
09:45:38.721545 192.168.0.199.2412 > www.datanet.hu.www: F 762:762(0) ack 792 win 64745 (DF)
09:45:38.735667 home.datanet.hu.www > 192.168.0.199.2413: . ack 884 win 49152 (DF)
09:45:38.738986 home.datanet.hu.www > 192.168.0.199.2415: . ack 462 win 49152 (DF)
Explorerrel:
09:46:39.518194 www.datanet.hu.www > 192.168.0.199.2420: R 414287393:414287393(0) win 0
09:46:44.790814 www.datanet.hu.www > 192.168.0.199.2420: R 414287393:414287393(0) win 0
09:48:14.140240 192.168.0.199 > ns.datanet.hu: icmp: echo request
09:50:55.830099 192.168.0.199.2422 > www.datanet.hu.www: . ack 1 win 65535 (DF)
09:50:55.830551 192.168.0.199.2422 > www.datanet.hu.www: P 1:368(367) ack 1 win 65535 (DF)
09:50:55.832066 www.datanet.hu.www > 192.168.0.199.2422: R 718026241:718026241(0) win 0
Felhívnám a figyelemt az explorernél megjelenő hosszú csomagazonosítókra, és vagy 0, vagy 64K-s ablakra.
Hogy ne legyen annyira egyszerű, némely https-es oldal (otpbank) bejön explorerel is.
A dolog explorerverziótól független (v4-v6)
A debian tűzfalon semmi extra, szinte alapbeállításokkal megy. A kézi szkriptet próbáltam shorewall-lal helyettesíteni, de semmi sem változott.
Egyáltalán mi okozhatja ezt az anomáliát, és van-e ere megoldás? Találkozot ezzel már valaki?
Válaszokat előre is köszi.
Üdv:
Oszi
- A hozzászóláshoz be kell jelentkezni
nem ADSL ez veletlenul? ha az (veletlenul) akkor nem MTU anomalia?
S.
- A hozzászóláshoz be kell jelentkezni
De ADSL.
Már csak holnap tudom az MTU-t 1492-re csökenteni, de akkor a többiek miért menek?
Oszi
- A hozzászóláshoz be kell jelentkezni
[quote:ce7d89d97f="oszi52"]De ADSL.
Már csak holnap tudom az MTU-t 1492-re csökenteni, de akkor a többiek miért menek?
Oszi
vannak oldalak, amik lejonnek explorerrel is, ugye? mas browserrel is van, ami nem mukodik? ha valoban MTU-anomalia (be van allitva a 'don't fragment' bit, ahogy az a dumpbol is latszik ES nem mukodik a path MTU discovery - leginkabb azert, mert ICMP forgalom esz nelkul le van szurve), akkor vagy az ICMP szures kornyeken nezzel szejjel, vagy pedig (temporary hack-kent) csinalj TCP MSS clampinget, valahogy igy:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400
(ehhez kell a TCPMSS target, ami alapbol nincs engedelyezve)
ha valoban ez a gond, akkor igy elmeletileg megoldod a problemat, de celszeru inkabb kitakaritani a rulesetet.
- A hozzászóláshoz be kell jelentkezni