|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 08 Feb 2001 20:03:24
To : Serge Ryabchun
Subject : Re: Can't access some sites through iptables
--------------------------------------------------------------------------------
Serge Ryabchun <sr@energy.uch.net> wrote:
SR> Nick Gazaloff <club@pyat.ru> wrote:
NG>> Господа, кто-нибудь встречался с таким:
NG>> на gate'е используется ядро 2.4.1 с iptables. Hекоторые сайты (aport,
NG>> friendfinder) недоступны с машин сети (хотя доступны с гейта). Подозреваю,
NG>> что у них дурные firewall'ы. Можно ли что-то поправить?
NG>>
SR>
SR> Встречался. С другой стороны стояла киска и MTU не совпадали, в
SR> результате часть http://*.ru проходила через гейт нормально, часть можно
SR> было только на гейте посмотреть, ну а остальные и на гейте не
SR> открывались. Hаверное не только хттп, остальное не смотрел. Чего это оно так
SR> было, я не понял, но после правки MTU проблема рассосалась.
Hаверное, на вышестоящий киске слишком "умный" админ зарубил сгоряча
icmp "fragmentation need" (type=3 code=4). Вот и терялись большие
пакеты неправильно - МОЛЧА. В ситуации, когда нужно было вернуть
отправителю (в icmp) требование о фрагментации на величину MTU.
А у меня вот другая напасть. Пакеты с размером около 1500 теряются
на порядок чаще, чем маленькие. Причем завал вероятности прохождения
через пару гейтов очень сильный, и начинается где-то на 1200-1300.
Hи у кого нет идей, как можно добиться такой кривизны? :)
--
Eugene Berdnikov
--- ifmail v.2.15dev5
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Can\'t access some sites through iptables 