Re: [FUG-BR] tcp mss precisa ser feito?
Em 30/09/2011 18:46, Renato Frederick escreveu: Opa, Tem algum motivo de você precisar envolver o firewall? Eu sempre configuro no ppp.conf mru e mtu e não tive problemas, após alterar lá para: set mru 1492 set mtu 1492 Opa Renato, No passado tive muitos problemas com isso, msn não entrava em alguns lugares, alguns sites também não entravam. Realmente dava muita dor de cabeça e no Linux só resolvia setando o tcp mss para 1440. Aí tudo funcionava perfeitamente bem. Como isso já tem um tempo e atualmente troquei um Linux que fazia essa mudança do mss por um FreeBSD, até agora não tive qualquer problema mas fiquei na dúvida de como faria essa alteração caso precisasse fazer esse ajuste. Seria esse problema descrito abaixo: TCPMSS This target allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interâ face's MTU minus 40 for IPv4 or 60 for IPv6, respectively). Of course, it can only be used in conjunction with -p tcp. This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed or ICMPv6 Packet Too Big packets. The sympâ toms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets: 1) Web browsers connect, then hang with no data received. 2) Small mail works fine, but large emails hang. 3) ssh works fine, but scp hangs after initial handshaking. Workaround: activate this option and add a rule to your firewall configuration like: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -Original Message- From: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] On Behalf Of Marcelo Gondim Sent: sexta-feira, 30 de setembro de 2011 13:52 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] tcp mss precisa ser feito? Em 30/09/2011 13:41, Eduardo Schoedler escreveu: Esta certo, o ipfw nao altera o pacote. Mas existem alguns patches para isso. Opa Eduardo, vou deixar sem mesmo e verificar se vai dar problema com algum site ou msn. :) Qualquer coisa volto à postar aqui o resultado ou então se der vou usar o reass e ver se resolve. -- Eduardo Schoedler Enviado via iPhone Em 30/09/2011, às 13:36, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/09/2011 12:26, Luiz Gustavo S. Costa escreveu: via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Opa Luiz, Esse trecho eu vi mas é para teste da regra: Match if the TCP header contains... ou seja dá match na regra se tiver com essa característica. Pelo que eu entendi ele não altera o pacote, não altera o mss, só checa. Se eu tiver errado me corrijam por favor. ;) Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.brescreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] tcp mss precisa ser feito?
via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) Abração à todos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- /\ Luiz Gustavo S. Costa / \ Programmer at BSD Perimeter / \ /\/\/\ Visit the pfSense Project / \ \ \ http://www.pfsense.org - BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) Contatos: luizgust...@luizgustavo.pro.br / lgco...@pfsense.org Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] tcp mss precisa ser feito?
Em 30/09/2011 12:26, Luiz Gustavo S. Costa escreveu: via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Opa Luiz, Esse trecho eu vi mas é para teste da regra: Match if the TCP header contains... ou seja dá match na regra se tiver com essa característica. Pelo que eu entendi ele não altera o pacote, não altera o mss, só checa. Se eu tiver errado me corrijam por favor. ;) Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) Abração à todos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] tcp mss precisa ser feito?
Esta certo, o ipfw nao altera o pacote. Mas existem alguns patches para isso. -- Eduardo Schoedler Enviado via iPhone Em 30/09/2011, às 13:36, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/09/2011 12:26, Luiz Gustavo S. Costa escreveu: via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Opa Luiz, Esse trecho eu vi mas é para teste da regra: Match if the TCP header contains... ou seja dá match na regra se tiver com essa característica. Pelo que eu entendi ele não altera o pacote, não altera o mss, só checa. Se eu tiver errado me corrijam por favor. ;) Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) Abração à todos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] tcp mss precisa ser feito?
Em 30/09/2011 13:41, Eduardo Schoedler escreveu: Esta certo, o ipfw nao altera o pacote. Mas existem alguns patches para isso. Opa Eduardo, vou deixar sem mesmo e verificar se vai dar problema com algum site ou msn. :) Qualquer coisa volto à postar aqui o resultado ou então se der vou usar o reass e ver se resolve. -- Eduardo Schoedler Enviado via iPhone Em 30/09/2011, às 13:36, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/09/2011 12:26, Luiz Gustavo S. Costa escreveu: via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Opa Luiz, Esse trecho eu vi mas é para teste da regra: Match if the TCP header contains... ou seja dá match na regra se tiver com essa característica. Pelo que eu entendi ele não altera o pacote, não altera o mss, só checa. Se eu tiver errado me corrijam por favor. ;) Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] tcp mss precisa ser feito?
Se você usa pppoe, tome cuidado com o mtu. Abs. -- Eduardo Schoedler Enviado via iPhone Em 30/09/2011, às 13:52, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Em 30/09/2011 13:41, Eduardo Schoedler escreveu: Esta certo, o ipfw nao altera o pacote. Mas existem alguns patches para isso. Opa Eduardo, vou deixar sem mesmo e verificar se vai dar problema com algum site ou msn. :) Qualquer coisa volto à postar aqui o resultado ou então se der vou usar o reass e ver se resolve. -- Eduardo Schoedler Enviado via iPhone Em 30/09/2011, às 13:36, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/09/2011 12:26, Luiz Gustavo S. Costa escreveu: via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Opa Luiz, Esse trecho eu vi mas é para teste da regra: Match if the TCP header contains... ou seja dá match na regra se tiver com essa característica. Pelo que eu entendi ele não altera o pacote, não altera o mss, só checa. Se eu tiver errado me corrijam por favor. ;) Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] tcp mss precisa ser feito?
Opa, Tem algum motivo de você precisar envolver o firewall? Eu sempre configuro no ppp.conf mru e mtu e não tive problemas, após alterar lá para: set mru 1492 set mtu 1492 -Original Message- From: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] On Behalf Of Marcelo Gondim Sent: sexta-feira, 30 de setembro de 2011 13:52 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] tcp mss precisa ser feito? Em 30/09/2011 13:41, Eduardo Schoedler escreveu: Esta certo, o ipfw nao altera o pacote. Mas existem alguns patches para isso. Opa Eduardo, vou deixar sem mesmo e verificar se vai dar problema com algum site ou msn. :) Qualquer coisa volto à postar aqui o resultado ou então se der vou usar o reass e ver se resolve. -- Eduardo Schoedler Enviado via iPhone Em 30/09/2011, às 13:36, Marcelo Gondimgon...@bsdinfo.com.br escreveu: Em 30/09/2011 12:26, Luiz Gustavo S. Costa escreveu: via man ipfw tcpoptions spec TCP packets only. Match if the TCP header contains the comma separated list of options specified in spec. The supported TCP options are: mss (maximum segment size), window (tcp window advertisement), sack (selective ack), ts (rfc1323 timestamp) and cc (rfc1644 t/tcp connection count). The absence of a particular option may be denoted with a ‘!’. Opa Luiz, Esse trecho eu vi mas é para teste da regra: Match if the TCP header contains... ou seja dá match na regra se tiver com essa característica. Pelo que eu entendi ele não altera o pacote, não altera o mss, só checa. Se eu tiver errado me corrijam por favor. ;) Em 30 de setembro de 2011 11:59, Marcelo Gondim gon...@bsdinfo.com.br escreveu: Olá povo, Acredito que muitos aqui tenham esse cenário: Rede interna - Firewall FreeBSD (PPPoE) -- Internet Em linux eu precisava setar o tcp mss para 1440 para que todos os sites funcionassem inclusive o msn quando usando conexão PPPoE. Fazia isso no mangle do netfilter. No PF consultando o google descobri que pode ser feito dessa maneira: scrub in all max-mss 1440 Agora a pergunta é: como fazer isso no ipfw? Eu sei que tem o reass mas no man do ipfw não fala sobre o mss e o reass. Alguém tem a luz? :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd