Zdravim ,je tu nejaký kvalitný linuxak ?
Mám debian 9 a jadro 4.9.0.8
Máme to ako hlavný server v nixe a niektoré weby timeoutuju.
Forwarding zapnuty,Rp_filtering vypaty,Routing a bgp je robeny cez FFRouting.
Na mikrotiku vsetko ide ale na tomto stroji majú niektoré weby timeout. (Pingnut idú)
Vie niekto poradiť?
Prípadne erik@intbusiness.sk
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Linux filtering
Ahoj, zkontroluj MTU a MSS, popřípadě je zkus nastavit na nějaké bezpečné hodnoty např:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
0 x
-
- Příspěvky: 1246
- Registrován: 11 years ago
DD,
pokud ma ten stroj vice interfacu (jasne, ze ma) vcetne VLANek tak bych jeste jedno zkontroloval zda na nich je vypnut rp_filter:
cat /proc/sys/net/ipv4/conf/*/rp_filter
musi vratit nuly
pak me jeste zlobilo arp_announce - obcas se musi nastavit na 1
A taky je dobre pamatovat na to, ze VLAN interface maji defaultne MAC stejnou jako fyzicke rozhrani. Coz zpusobi problemy, pokud za rozhranim je neco, co nema per VLAN MAC tabulky (treba ALCOMA)
pokud ma ten stroj vice interfacu (jasne, ze ma) vcetne VLANek tak bych jeste jedno zkontroloval zda na nich je vypnut rp_filter:
cat /proc/sys/net/ipv4/conf/*/rp_filter
musi vratit nuly
pak me jeste zlobilo arp_announce - obcas se musi nastavit na 1
A taky je dobre pamatovat na to, ze VLAN interface maji defaultne MAC stejnou jako fyzicke rozhrani. Coz zpusobi problemy, pokud za rozhranim je neco, co nema per VLAN MAC tabulky (treba ALCOMA)
0 x
-
- Příspěvky: 326
- Registrován: 17 years ago
dubrma píše:Ahoj, zkontroluj MTU a MSS, popřípadě je zkus nastavit na nějaké bezpečné hodnoty např:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
Ďakujem moc pomohlo
1 x
Jsem rád, že ti tu dobře poradili, tak pak zase napiš co tam bylo za problém až ho odstraníš. Protože mtu by ti mělo jet plné.
0 x
-
- Příspěvky: 1246
- Registrován: 11 years ago
coolerman1 píše:dubrma píše:Ahoj, zkontroluj MTU a MSS, popřípadě je zkus nastavit na nějaké bezpečné hodnoty např:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
Ďakujem moc pomohlo
kristapana... Lepsi by bylo zjistit, proc to bez toho nefunguje. Zrejme nejaky problem s MTU na interfacech. MAs tam nejake tunely? Bridge? Na BGP routeru by byl zahodno tohle vyresit.
0 x
-
- Příspěvky: 326
- Registrován: 17 years ago
Konkrétně jaký? Pokud není v síti nějaká "prasečina", mělo by vše chodit s MTU 1500 bez problémů. Snížení MSS je vyhánění čerta ďáblem.
0 x