On Thu, 4 Sep 2003 10:45:10 +0700 Hary Mahendra <[EMAIL PROTECTED]> wrote:
> > Kelihatannya baru mulai hari Minggu kemarin ini Indosatnet menyadari > > dampak blocking icmp, setidaknya sekarang ini smtp.indosat.net.id > > tidak lagi difilter icmpnya (mulai pinter dia, belajar dari cbnnet > > kali ya<g>), tp mungkin utk mail server pelanggannya masih diblock > > (blm ngecheck sih kalau yg ini). > > Apakah benar dampak blocking ICMP akan berpengaruh thd smtp/in-mta ? Tentu saja :-) Pernah dengar soal PMTUD (Path Maximum Transmission Unit Discovery) (lihat RFC1191, ftp://ftp.rfc-editor.org/in-notes/rfc1191.txt) Setiap kali satu host kirim data (size) besar, maka dia akan menggunakan packet size (datagram) sebesar yg dimungkinkan tanpa perlu melakukan fragmentation, batas/limit ini disebut PMTU (Path Maximum Transmission Unit). Misalkan saja MTU utk dial up connection adalah 576 bytes, ethernet card 1472, broadband 1496 dst. Jika transmisi data ini melebihi MTU maka packet data akan fragmented, untuk melihat ini mudah saja kok. C:\>ping 192.168.1.1 -f -l 1472 Pinging 192.168.1.1 with 1472 bytes of data: Reply from 192.168.1.1: bytes=1472 time<1ms TTL=64 Reply from 192.168.1.1: bytes=1472 time=4ms TTL=64 Ping statistics for 192.168.1.1: Packets: Sent = 2, Received = 2, Lost = 0 (0% loss), Reply from 192.168.1.1: bytes=1472 time=6ms TTL=64 Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 6ms, Average = 5ms Control-C ^C C:\>ping 192.168.1.1 -f -l 1496 Pinging 192.168.1.1 with 1496 bytes of data: Packet needs to be fragmented but DF set. Packet needs to be fragmented but DF set. Ping statistics for 192.168.1.1: Packets: Sent = 2, Received = 0, Lost = 2 (100% loss), Control-C Jika terjadi fragmented maka banyak datagram (packet) yg loss, shg by default sender harus kirim ulang packet data. Dalam kondisi normal, jika terjadi hal demikian maka sender/receiver akan saling bertukar info dg cara kirim icmp protocol untuk mengetahui rtt (round to trip) shg bisa dihitung berapa besar packet size (datagram) yg sebaiknya digunakan. Mekanisme penyesuaian ini disebut PMTUD (Path Maximum Transmission Unit Discovery). Jika icmp diblock, maka informasi itu tidak bisa didapatkan, shg si sender secara "budeg" kirim packet sebesar yg dia mau, padahal mestinya "yg besar" akan menurunkan packet size menyesuaikan dg "yg kecil". Dalam kondisi sekarang ini, maka akan terlihat : - broadband connection (termasuk Satellite connection, VSAT dan ISDN, ATM, ADSL, Cable, Wireless) sering time out saat sending ke server-2x yg non broadband, krn packet size dia yg terbesar, sementara yg terima MTU nya lebih kecil. Kalau terima sih tidak masalah. - ETRN/ODMR user yg menggunaan Dial Up akan sering mengalami problem (time out saat terima DATA). Problem ini hanya terjadi utk size besar (dari pengamatan saya diatas 300KB), utk data kecil sih tidak masalah. Coba saja amati saat kirim mail ke mail server yg terletak dibelakang firewall (Cisco PIX, cyberguard dls), pasti sering time out, akan tetapi kalau ditanya ke postmasternya akan dibilang "nggak ada masalah kok", padahal dia punya masalah hanya saja dia tidak pernah melongok PIX log (yg tidak user friendly utk dibaca human being). Default umumnya Firewall memang blocking icmp, dan dia itu fungsinya memisah antara dirty zone dg private zone, sementara (Front End) Mail Server sebenarnya berfungsi sama, jadi harus diletakkan di DMZ, setara/sejajar dg Firewall device itu sendiri, bukan ditaruh dibelakang firewall :-( BTW. Sebenarnya ada mekanisme data transmission lain yg juga jadi tidak aktif (berkatian dg fragmented data) akibat icmp blocking ini; juga ada lebih dari satu macam icmp protocol (mana yg boelh diblock dan mana yg tidak boleh diblock), tp rasanya yg ini saja dulu deh, lain kali ngobrol soal itu. Ini juga baru bicara soal mail server, padahal DNS pun mengalami hal yg sama saat zone transfer atau recursive query. Jadi mestinya Mail dan DNS server jangan di block icmp packetnya (kalau web server mah teu na naon). -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, menggunakan MDaemon 6.9.0R beta A under W3K -- --[MDaemon-L]------------------------------------------------ Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Mohon tidak posting dalam format HTML! Arsip : <http://mdaemon-l.dutaint.com> Moderator : <mailto:[EMAIL PROTECTED]> Henti Langgan : <mailto:[EMAIL PROTECTED]> Berlangganan : <mailto:[EMAIL PROTECTED]> Versi Terakhir : MD 6.8.4, LD 2.1.0, WA 2.0.5, MDAV 2.2.1, MDGW 1.0.4
