давняя проблема с NAT

[phaoost]

tes+or, я конечно может не понял, но в таблице mangle у вас правило clamp-mss-to-pmtu есть?

[off]грамотно писать "пробовал", а то думаешь потом что или вы ё пропустили или ы вместо о написали[/off]

[tes+or]

на самом деле я в первый раз слышу про это правило, весь LARTC насквозь я не читал, только то что меня интересовало.

а вообще да, помогло такое:

Код: Выделить всё

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

проблема решена, всем спасибо!

[phaoost]

tes+or,

я в первый раз слышу про это правило, весь LARTC насквозь я не читал

достаточно было прочитать man iptables
а правило должно выглядеть так:

Код: Выделить всё

iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[tes+or]

хм, ну да, теоретически так будет правильнее, но у меня и без указания таблицы работает ничуть не хуже. видимо оно само догадалось, ведь где значение полей переписывать как не в mangle?

[tes+or]

кстати по слухам мэйл.ру на оффтопике крутится, что показательно

[phaoost]

tes+or,

Код: Выделить всё

warp:~# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
warp:~# iptables-save
# Generated by iptables-save v1.4.4 on Fri Oct 16 15:27:05 2009
*filter
:INPUT ACCEPT [66:7948]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66:5252]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Oct 16 15:27:05 2009

так что "само оно" не догадывается

[tes+or]

хм, так более того, он у меня на другом серваке принял только вариант без -t mangle , выругавшись так:

Код: Выделить всё

main etc # /etc/init.d/iptables restart
FATAL: Module ip_tables not found.
iptables v1.4.2: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

вообще странное что-то. ядро к слову монолитное и без -t mangle все сьелось. странно, потому как производить такие манипуляции нужно только в mangle.

[phaoost]

tes+or,

Код: Выделить всё

warp:~# lsmod |grep -i 'mangle'
iptable_mangle           960  1
ip_tables               6288  3 iptable_filter,iptable_nat,iptable_mangle

[tes+or]

повторюсь, у меня везде монолитное ядро, причем айпитаблицы в него вкомпилены и отлично работают, по этой причине меня особо озадачил такой вывод

[phaoost]

повторюсь, у меня везде монолитное ядро, причем айпитаблицы в него вкомпилены и отлично работают, по этой причине меня особо озадачил такой вывод

я о том что может быть не всё вкомпилено? нетфильтр сам по себе модульный

[kr0t]

хм, так более того, он у меня на другом серваке принял только вариант без -t mangle , выругавшись так:

Код: Выделить всё

main etc # /etc/init.d/iptables restart
FATAL: Module ip_tables not found.
iptables v1.4.2: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

вообще странное что-то. ядро к слову монолитное и без -t mangle все сьелось. странно, потому как производить такие манипуляции нужно только в mangle.

Проверьте в конфиге ядра:

CONFIG_IP_NF_MANGLE:
This option adds a `mangle' table to iptables: see the man page for
iptables(8). This table is used for various packet alterations which can effect how the packet is routed.
To compile it as a module, choose M here. If unsure, say N.
Symbol: IP_NF_MANGLE [=y]
Prompt: Packet mangling

grep IP_NF_MANGLE /usr/src/linux/.config

[kr0t]

tes+or,

я в первый раз слышу про это правило, весь LARTC насквозь я не читал

достаточно было прочитать man iptables
а правило должно выглядеть так:

Код: Выделить всё

iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А почему правило "должно" выглядеть так?
Чем таблица filter используемая по умолчанию не угодила?

[tes+or]

оба варианта работают, кажется. вопрос - в чем разница?

[phaoost]

Из мана:

TCPMSS
This target allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interface's MTU minus 40 for IPv4 or 60 for IPv6, respectively). Of course, it can only be used in conjunction with -p tcp. It is only valid in the mangle table.

Соответственно, иное поведение не предусмотрено

[tes+or]

какбы вот:

Код: Выделить всё

main ~ # iptables -vn -t filter -L FORWARD
Chain FORWARD (policy ACCEPT 18M packets, 5138M bytes)
 pkts bytes target     prot opt in     out     source               destination
 284K   14M TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU

а так не работает:

Код: Выделить всё

main ~ # iptables -vn -t mangle -L FORWARD
FATAL: Module ip_tables not found.
iptables v1.4.2: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

на другой системе работают оба варианта, там вкомпилена поддержка mangle, а тут пока нет

кстати в хелпе на соотвествующую опцию menuconfig указан вариант без -t mangle, почему?