On Thu, Jul 03, 2003 at 08:10:18AM +0200, Stefan Eggert wrote:
Nun meine Frage(n). Kann das an den MTUs hängen?
Ja, wahrscheinlich. Wenn die Symptome sind - kleine Pakete (kleiner als die MTU) kommen durch (ping, Login, ssh) - grosse Pakete (groesser als die MTU) kommen nicht durch (ping -s 2000, ftp, scp) dann passiert folgendes: - der eine Rechner will Path MTU Discovery machen und sendet seine Pakete mit gesetztem DF-Bit im IP Header - die Pakete sind groesser als die MTU der Strecke - der Host vor dem schmalen Teil der Strecke sieht das DF, muß fragmentieren, kann aber nicht - generiert daher ein ICMP 3:4 (must fragment, but DF is set) - das ICMP 3:4 wird zurück gesendet - und von einer defekt konfigurierten Firewall geblockt Die korrekte Lösung: Firewall so konfigurieren, daß sie alle 3:x, mindestens jedoch 3:4 durchläßt (Bei der Gelegenheit kannst Du Dir auch überlegen, wie Du mit ICMP 0 und ICMP 8 umgehen willst). Die Hilfslösung (discouraged): Clamp MSS an dem ausgehenden Gateway konfigurieren. Das Problem entsteht, weil ein Haufen ahnunglose Hilfsdeppen meinen, mit ihrer Firewall den SuperMegaStealthMode konfigurieren zu müssen und dabei alle IMCP 3:x wegwerfen, und zwar am besten mit drop (statt korrekt mit ICMP 3:10 zu antworten). Weil: wenn man mehr blockt, ist man ja sicherer. Kristian