![](https://seccdn.libravatar.org/avatar/4bad96c02dc7cb827e26ed5afa1c309d.jpg?s=120&d=mm&r=g)
On Thursday 13 June 2002 14:28, Marc Firl wrote:
Hallo erstmal nochmal , also, wenn ich von dem linux rechner über links auf www.gmx.de gehe, dann geht es. Ich habe Suse 8.0 und DSL. Kann das daran liegen, das z.B. gmx einen SSL verbindung erfordert, und das die noch geforwardet werden muss? Wenn es auf dem Linuxrechner geht, dann kann das ja eigentlich nicht mit dem MTU zusammenhängen, oder?
Leider doch. Diesem Trugschluß unterlag ich auch schon mal. Du mußt auch den Rechnern im Masqueraded net die MTU beibiegen. Alternativ kann man auch in die FORWARD-chain eine iptables Regel anhängen mit -j TCPMSS. Zitat aus man iptables: TCPMSS This target allows to alter the MSS value of TCP SYN pack ets, to control the maximum size for that connection (usu ally limiting it to your outgoing interface's MTU minus 40). Of course, it can only be used in conjunction with -p tcp. This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets: 1) Web browsers connect, then hang with no data received. 2) Small mail works fine, but large emails hang. 3) ssh works fine, but scp hangs after initial handshak ing. Workaround: activate this option and add a rule to your firewall configuration like: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu --set-mss value Explicitly set MSS option to specified value. --clamp-mss-to-pmtu Automatically clamp MSS value to (path_MTU - 40). These options are mutually exclusive. Zitat Ende Schlußfolgerung: gmx gehört wohl zu den "criminally braindead ISPs". Gruß Axel