Apa arti aturan iptables ini: tcp flags:0x06/0x02 TCPMSS clamp to PMTU?
Perbuatan iptables -vnL pada router DD-WRT saya menunjukkan aturan berikut di FORWARD rantai: TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU.
Alih-alih tindakan umum ACCEPT atau DROP ini TCPMSS. Apa artinya ini?
Jawaban:
Ini standar yang cantik iptables aturan untuk mencegah masalah penemuan PMTU.
Dari ini :
... Path MTU Discovery tidak berfungsi sebagaimana mestinya lagi. Jika Anda tahu pasti bahwa suatu tempat di Anda jaringan memiliki MTU terbatas (& lt; 1500), Anda tidak dapat mengandalkan PMTU Discovery mencari tahu ini.
Selain MTU, ada cara lain untuk mengatur ukuran paket maksimum, yang disebut Ukuran Segmen Maksimum. Ini adalah bidang dalam Opsi TCP bagian dari paket SYN.
Kernel Linux terbaru, dan beberapa driver PPPoE (terutama, sangat baik Roaring Penguin one), fitur kemungkinan untuk 'menjepit MSS'.
Hal yang baik tentang ini adalah bahwa dengan menetapkan nilai MSS, Anda mengatakan sisi remote secara tegas 'jangan pernah mencoba mengirim saya paket lebih besar dari nilai ini '. Tidak diperlukan traffic ICMP untuk mendapatkan ini bekerja.
Yang buruk adalah bahwa itu adalah retasan yang jelas - itu rusak 'ujung ke ujung' oleh memodifikasi paket. Karena itu, kami menggunakan trik ini di banyak tempat dan itu bekerja seperti pesona.
Agar ini berfungsi, Anda memerlukan setidaknya iptables-1.2.1a dan Linux 2.4.3 atau lebih tinggi. Baris perintah dasar adalah:
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu