[GTER]

[Rubens Kuhl Jr.]

> existe um valor ótimo de MTU para cada caso, mas há um perigo em mudar MTU
de
> interface. Muitos firewalls são configurados para derrubar pacotes
> fragmentados (com medo dos ataques de fragmentação) e também para derrubar
> ICMP (com medo de que mesmo?). O que ancontece com MTU < 1500? O ICMP é
> barrado => não tem como achar o MTU do caminho e os pacotes fragmentados
são
> barrados sem mais => não tem serviço. resumindo, duas paranóias que
resultam
> numa burrada. vários sites de bancos estão desse jeito.

Danton,

Eu entendi que ele se referia a mudar o MTU da máquina do cliente. Nesse
caso, os pacotes já saírão com MSS menor que 1500 (MSS=860 para MTU=900, não
?), e esse problema de fragmentação não acontecerá em nenhum sentido.

Isso acontece sim quanto há diminuição de MTU no meio do caminho... mas é
contornável com manipulação do MSS. Você pode alterar o MSS das pacotes SYN
e SYN/ACK para que reflita o MTU menor, e aí a fragmentação deixa de
acontecer. Isso é possível tanto com IOS(Cisco) quanto com netfilter(Linux).



Rubens