Бит DF

0

0

Здравствуйте.

Можно ли изменить с помощью iptables значение бита DF (Don't Fragment)?

Спасибо.

Ссылка

←	получить загрузку процессора по ssh

Bash не отображает символы

→

Нет. Но можно правильно установить TCP MSS.

nnz ★★★★
(03.06.10 13:17:29 MSD)

Ответ на: комментарий от nnz 03.06.10 13:17:29 MSD

А как быть, если меня интересуют только пакеты UDP?

alexovi4
(03.06.10 13:36:59 MSD) автор топика

Ответ на: комментарий от alexovi4 03.06.10 13:36:59 MSD

Есть три варианта:

1. Не блокировать icmp-dest-unreach.
2. Уменьшить MTU на своей стороне и п. 1.
3. Купить циску.

nnz ★★★★
(03.06.10 13:52:35 MSD)

Ссылка

Ответ на: комментарий от alexovi4 03.06.10 13:36:59 MSD

возможно посмотреть в этом направлении ? Не уверен что это именно то, что вы ищите, да и не совсем gnu/linux это, но в принципе тоже неплохо )

silw ★★★★★
(03.06.10 13:57:23 MSD)

Ответ на: комментарий от silw 03.06.10 13:57:23 MSD

Спасибо за идеи.

2silw: Но Packet Normalization от BSD мне не подойдёт. У меня уже стоит SLES с виртуальными машинами, на ней и надо искать решение. А там только iptables.

2nnz: 1. 2. Пакеты имеют маленький размер, фрагментировать их даже не надо (DHCP). Хотелось бы просто отключить этот бит 3. Задача не такая глобальная, Cisco здесь не нужна.

P.S. Добавлю немного информации о проблеме: на SLES установлена виртуализация XEN, вместе c которой поднимается интефейс br0. Данный интерфейс шлёт DHCP запросы (UDP) с установленным битом DF.С этим битом данные пакеты не пускает свич (запущен DHCP Snooping). Вот и хочу отключить для интерфейса br0 установку DF бита, чтобы пропускал свич.

alexovi4
(03.06.10 14:49:22 MSD) автор топика

Ответ на: комментарий от alexovi4 03.06.10 14:49:22 MSD

>С этим битом данные пакеты не пускает свич (запущен DHCP Snooping)

С каких это пор DHCP Snooping блокирует вполне легальные пакеты? Его задача — разрешать DHCP-ответы только с определенных портов. Никакие DF-биты проверяться не должны.

Сама природа DF-бита такова, что его снятие не решает никаких проблем, а только добавляет новые. В свое время был модуль для netfilter, позволяющий снимать этот флаг, но на него все забили. Потому что это не решает никаких проблем, а просто позволяет работать заведомо неправильной конфигурации.

nnz ★★★★
(03.06.10 15:05:13 MSD)

Ответ на: комментарий от nnz 03.06.10 15:05:13 MSD

>С каких это пор DHCP Snooping блокирует вполне легальные пакеты

Я ещё не успел задать вопрос производителю, почему так происходит.

Но результат сбора пакетов и их анализ приводит именно к такому выводу. Свич просто отрасывает пакеты с таким битом при включенной опции, и запросы на DHCP сервак через trust port не выходят.

alexovi4
(03.06.10 16:09:39 MSD) автор топика

Ответ на: комментарий от alexovi4 03.06.10 16:09:39 MSD

Получил ответ от производителя. Только в последней версии прошивки на устройство было исправлено описанное выше поведение коммутатора при обработке пакетов с установленным битом DF.

Вопрос исчерпан.

Спасибо за внимание.

alexovi4
(04.06.10 16:55:44 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	получить загрузку процессора по ssh

General

Bash не отображает символы

→

Похожие темы