Artem Chuprina wrote: > Pavel -> debian-russian@lists.debian.org @ Thu, 22 Dec 2005 19:49:13 +0200: > > P> Привет, > > P> Вот какая штука, делаю роутер который одним сетевым интерфейсом смотрит > P> в инет, а другим в локальную сеть. Юзеры локалки должны ходить в инет > P> указав IP роутера как default gateway. > > P> Получилось довольно-таки быстро, но были замечены странные вещи. > P> Например сайт microsoft.com не отвечает, так же не отвечает pop3 сервис > P> на yahoomail. traceroute на microsoft.com с роутера проходит шустро... > > Если я правильно ошибаюсь, на microsoft.com админы тоже стандартные > уроды, заблокировали ICMP, не подумав мозгами. В смысле, не от тебя > первого слышу. В общем, похоже на классическую проблему с Path MTU > discovery в TCP. Когда TCP стек не знает, что админ урод. Он, > собственно, скорее всего, отвечает, но происходит затык на первом > полновесном пакете. Проблема неоднократно описана, при желании можешь > самостоятельно узнать, в чем она заключается, а лечение по сути все > равно одно - пинать админов на том конце, что в случае с Microsoft и > Yahoo дело гиблое. > Можно и самому вылечить. Кстати проблемы часто не на том конце, а у твоего провайдера. Как сказано в iptables(1) "braindead ISP"
Я для решения проблемы использую iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu man iptables и искать по слову --clamp-mss-to-pmtu если этот ключик не сработает - попробовать самому подобрать нужное значение. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]