Apa arti aturan iptables ini: tcp flags: 0x06 / 0x02 TCPMSS clamp ke PMTU?


2

Apa arti aturan iptables ini: tcp flags:0x06/0x02 TCPMSS clamp to PMTU?

Perbuatan iptables -vnL pada router DD-WRT saya menunjukkan aturan berikut di FORWARD rantai: TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU.

Alih-alih tindakan umum ACCEPT atau DROP ini TCPMSS. Apa artinya ini?

Jawaban:


2

Ini standar yang cantik iptables aturan untuk mencegah masalah penemuan PMTU.

Dari ini :

... Path MTU Discovery tidak berfungsi sebagaimana mestinya lagi. Jika Anda tahu pasti bahwa suatu tempat di Anda   jaringan memiliki MTU terbatas (& lt; 1500), Anda tidak dapat mengandalkan PMTU Discovery   mencari tahu ini.

Selain MTU, ada cara lain untuk mengatur ukuran paket maksimum,   yang disebut Ukuran Segmen Maksimum. Ini adalah bidang dalam Opsi TCP   bagian dari paket SYN.

Kernel Linux terbaru, dan beberapa driver PPPoE (terutama, sangat baik   Roaring Penguin one), fitur kemungkinan untuk 'menjepit MSS'.

Hal yang baik tentang ini adalah bahwa dengan menetapkan nilai MSS, Anda   mengatakan sisi remote secara tegas 'jangan pernah mencoba mengirim saya   paket lebih besar dari nilai ini '. Tidak diperlukan traffic ICMP untuk mendapatkan ini   bekerja.

Yang buruk adalah bahwa itu adalah retasan yang jelas - itu rusak 'ujung ke ujung' oleh   memodifikasi paket. Karena itu, kami menggunakan trik ini di banyak tempat   dan itu bekerja seperti pesona.

Agar ini berfungsi, Anda memerlukan setidaknya iptables-1.2.1a dan Linux   2.4.3 atau lebih tinggi. Baris perintah dasar adalah:

# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.