Linux filtering

[coolerman1]

Zdravim ,je tu nejaký kvalitný linuxak ?
Mám debian 9 a jadro 4.9.0.8
Máme to ako hlavný server v nixe a niektoré weby timeoutuju.
Forwarding zapnuty,Rp_filtering vypaty,Routing a bgp je robeny cez FFRouting.

Na mikrotiku vsetko ide ale na tomto stroji majú niektoré weby timeout. (Pingnut idú)

Vie niekto poradiť?

Prípadne erik@intbusiness.sk

[dubrma]

Ahoj, zkontroluj MTU a MSS, popřípadě je zkus nastavit na nějaké bezpečné hodnoty např:

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380

[Dalibor Toman]

DD,
pokud ma ten stroj vice interfacu (jasne, ze ma) vcetne VLANek tak bych jeste jedno zkontroloval zda na nich je vypnut rp_filter:
cat /proc/sys/net/ipv4/conf/*/rp_filter
musi vratit nuly

pak me jeste zlobilo arp_announce - obcas se musi nastavit na 1

A taky je dobre pamatovat na to, ze VLAN interface maji defaultne MAC stejnou jako fyzicke rozhrani. Coz zpusobi problemy, pokud za rozhranim je neco, co nema per VLAN MAC tabulky (treba ALCOMA)

[coolerman1]

Ahoj, zkontroluj MTU a MSS, popřípadě je zkus nastavit na nějaké bezpečné hodnoty např:

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380

Ďakujem moc pomohlo

[pgb]

Jsem rád, že ti tu dobře poradili, tak pak zase napiš co tam bylo za problém až ho odstraníš. Protože mtu by ti mělo jet plné.

[Dalibor Toman]

Ahoj, zkontroluj MTU a MSS, popřípadě je zkus nastavit na nějaké bezpečné hodnoty např:

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380

Ďakujem moc pomohlo

kristapana... Lepsi by bylo zjistit, proc to bez toho nefunguje. Zrejme nejaky problem s MTU na interfacech. MAs tam nejake tunely? Bridge? Na BGP routeru by byl zahodno tohle vyresit.

[coolerman1]

Problém bol v nadstaveni MTU a MSS

[rsaf]

Konkrétně jaký? Pokud není v síti nějaká "prasečina", mělo by vše chodit s MTU 1500 bez problémů. Snížení MSS je vyhánění čerta ďáblem.