https://www.opennet.ru/openforum/vsluhforumID1/93632.html Не работают некоторые сайты за NAT, например:www.google.com, www.microsoft.com (но тот же mail.ru отлично работает.)<br><br>Система: Ubuntu 11.04<br><br>Причем с самого шлюза все прекрасно работает.<br><br>Конфигурация iptables выглядит приблизительно следующим образом:<br><br>###########################################<br>#Инпут цепочка<br>$IPTABLES -A INPUT -j log_debug_in<br>$IPTABLES -A INPUT -j ACCEPT<br><br>##########################################<br>#Транзит<br>$IPTABLES -A FORWARD -j log_debug_fw<br>$IPTABLES -A FORWARD -j ACCEPT<br><br>##########################################<br>#Выход из хоста<br>$IPTABLES -A OUTPUT -j log_debug_out<br>$IPTABLES -A OUTPUT -p all -j ACCEPT<br><br>##########################################<br>#Транстляция адресов<br>#$IPTABLES -t nat -A POSTROUTING -p all -o $IFACE_INET_0 -j MASQUERADE <br><br><br>Пинги www.google.com проходят замечательно. В логе вижу движение по FORWARD цепочке.<br><br>Если пробую www.google.com из браузера, в логе вижу вялое движение по FORWARD цепочке, т.е. ответы от google.com вроде как и есть, но с з https://www.opennet.ru/openforum/vsluhforumID1/93632.html#13 Thu, 02 Aug 2012 10:21:23 GMT &gt;&gt; Единственно что я не понял, почему эта проблема актуальна только для транзитного <br>&gt;&gt; трафика?<br>&gt;&gt; Трафик с самого хоста шлюза работает нормально.<br>&gt; шлюз знает какое у него mtu в отличии от узлов за шлюзом <br><br>Все понятно, теперь я прозрел и просветлел.<br>Всем большое спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#12 Thu, 02 Aug 2012 07:42:13 GMT &gt; Единственно что я не понял, почему эта проблема актуальна только для транзитного <br>&gt; трафика?<br>&gt; Трафик с самого хоста шлюза работает нормально.<br><br>шлюз знает какое у него mtu в отличии от узлов за шлюзом<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#11 Thu, 02 Aug 2012 06:44:02 GMT &gt;&gt; После установлении MSS (максимальный размер сегмента) шлюз получается фрагментирует пакеты.<br>&gt; Необязательно.<br>&gt; Он может послать icmp пакет вашему компу, чтобы тот уменьшал размер фрагмента. <br>&gt; Между роутером и компом этот пакет уже не потеряется) <br>&gt; А вообще да.<br>&gt; Вы не упомянули, что у роутера выход в инет через ppp.<br>&gt; ppp добавляет служебные заголовки к пакету (инкапсулирует пакет и добавляет заголовки). <br>&gt; Чтобы все умещалось в 1500 байт, может потребоваться уменьшать MTU примерно на <br>&gt; длинну этих заголовков.<br>&gt; Иначе пакет может фрагментироваться/резаться, а icmp о фрагментации может фильтроваться. <br><br>Единственно что я не понял, почему эта проблема актуальна только для транзитного трафика?<br>Трафик с самого хоста шлюза работает нормально.<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#10 Wed, 01 Aug 2012 21:02:19 GMT &gt; После установлении MSS (максимальный размер сегмента) шлюз получается фрагментирует пакеты. <br><br>Необязательно.<br>Он может послать icmp пакет вашему компу, чтобы тот уменьшал размер фрагмента.<br>Между роутером и компом этот пакет уже не потеряется)<br>А вообще да.<br>Вы не упомянули, что у роутера выход в инет через ppp.<br>ppp добавляет служебные заголовки к пакету (инкапсулирует пакет и добавляет заголовки).<br>Чтобы все умещалось в 1500 байт, может потребоваться уменьшать MTU примерно на длинну этих заголовков.<br>Иначе пакет может фрагментироваться/резаться, а icmp о фрагментации может фильтроваться.<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#9 Wed, 01 Aug 2012 20:07:42 GMT &gt;&gt;OUT=ppp0 <br>&gt; $IPTABLES -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS <br>&gt; --clamp-mss-to-pmtu <br><br>Проблема как я понял в следующем:<br>Где-то по пути пакет не проходит по размеру, должен включится механизм Path MTU discovery, который отправляет ICMP сообщение типа Destination is unreachable (Точка назначения недоступна). К сообщению об ошибке прилагается значение MTU узла. Хост-отправитель уменьшает размер пакета и отсылает его заново. Такая операция происходит до тех пор, пока пакет не будет достаточно мал, чтобы дойти до хоста-получателя без фрагментации.<br>Где-то по пути назад блокируется ICMP Fragmentation Needed пакет. И в итоге наш пакет теряется.<br>Решение - установить максимальный размер фрагмента, передаваемый при установлении соединения.<br>После установлении MSS (максимальный размер сегмента) шлюз получается фрагментирует пакеты.<br>Как-то так.<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#8 Wed, 01 Aug 2012 19:17:41 GMT &gt;&gt;OUT=ppp0 <br>&gt; $IPTABLES -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS <br>&gt; --clamp-mss-to-pmtu <br><br>О чудо!!!! заработало, не очень понял что тут происходит, но это работает!!!<br>Спасибо большое!!!<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#7 Wed, 01 Aug 2012 19:08:46 GMT &gt;OUT=ppp0 <br><br>$IPTABLES -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br> https://www.opennet.ru/openforum/vsluhforumID1/93632.html#6 Wed, 01 Aug 2012 18:24:14 GMT &gt; Сравните пути прохождения пакетов до проблемного и нормально работающего ip. Может провайдер <br>&gt; по разным каналам их пропускает?<br><br>Вот для чистоты эксперемента:<br><br>на шлюзе:<br>nicola@home-server:/etc/network$ traceroute 173.194.32.248<br>traceroute to 173.194.32.248 (173.194.32.248), 30 hops max, 60 byte packets<br> 1 85.175.1.66 (85.175.1.66) 3.367 ms 3.535 ms 3.642 ms<br> 2 85.175.1.75 (85.175.1.75) 2.445 ms 2.472 ms 2.473 ms<br> 3 85.175.1.111 (85.175.1.111) 205.913 ms 85.175.1.113 (85.175.1.113) 205.981 ms 85.175.1.205 (85.175.1.205) 206.086 ms<br> 4 87.226.227.1 (87.226.227.1) 69.071 ms 69.135 ms 69.060 ms<br> 5 ae-0.m7-ar4.msk.ip.rostelecom.ru (87.226.139.102) 30.280 ms 30.280 ms 30.269 ms<br> 6 79.133.94.86 (79.133.94.86) 30.262 ms 30.216 ms 70.835 ms<br> 7 209.85.243.239 (209.85.243.239) 30.818 ms 31.295 ms 30.923 ms<br> 8 173.194.32.248 (173.194.32.248) 30.707 ms 30.689 ms 30.665 ms<br><br><br>на клиенте:<br>C:\Users\nicola&gt;tracert 173.194.32.248<br><br>Трассировка маршрута к 173.194.32.248 с мак https://www.opennet.ru/openforum/vsluhforumID1/93632.html#5 Wed, 01 Aug 2012 18:17:59 GMT &gt; Сравните пути прохождения пакетов до проблемного и нормально работающего ip. Может провайдер <br>&gt; по разным каналам их пропускает?<br><br>На шлюзе:<br><br>nicola@home-server:/etc/network$ traceroute www.google.ru<br>traceroute to www.google.ru (173.194.32.248), 30 hops max, 60 byte packets<br> 1 85.175.1.66 (85.175.1.66) 3.379 ms 3.589 ms 3.610 ms<br> 2 85.175.1.75 (85.175.1.75) 2.634 ms 2.607 ms 2.587 ms<br> 3 85.175.1.207 (85.175.1.207) 2.844 ms 2.893 ms 85.175.1.111 (85.175.1.111) 3.031 ms<br> 4 87.226.227.1 (87.226.227.1) 2.590 ms 2.572 ms 2.575 ms<br> 5 ae-0.m7-ar4.msk.ip.rostelecom.ru (87.226.139.102) 30.983 ms 31.008 ms 30.990 ms<br> 6 79.133.94.86 (79.133.94.86) 30.927 ms 30.772 ms 30.774 ms<br> 7 209.85.243.239 (209.85.243.239) 31.603 ms 31.660 ms 31.819 ms<br> 8 173.194.32.248 (173.194.32.248) 31.458 ms 31.424 ms 31.421 ms<br><br><br><br>На клиенте:<br><br>C:\Users\nicola&gt;tracert www.google.com<br><br>Трассировка маршрута к www.l.google.com [173.194.32.240]<br>с максимальным числом прыжков 30:<br><br> 1 &lt;1 мс