[MASOCH-L] TCP Previous segment lost - Nat no Linux
Anderson Nadal
security at onda.com.br
Thu Dec 7 17:52:58 -03 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Só comentando.
Tive esse mesmo problema hoje. Mas o meu fw era OpenBSD, sem NAT,
bloqueando somente algumar portas (135,137,445, etc.. )
com ICMP liberado. :)
Após testes, acabei descobrindo que removendo o "keep state" tudo se
resolveu.
Acredito que seja um problema no meu hardware, pois ficou 1 ano
funcionando bem, ontem ele travou pela primeira vez somente e hoje
apresentou esse problema.
Fica como dica. ;)
[]'s
Nadal
"Não discuta com idiotas, eles te levam até o nível deles e te vencem
por serem experientes"
+-------------------------------------------------------+
| Anderson Nadal <nadal at ondacorp.com.br> - RHCE |
| Coordenador Tecnico |
| Fone: + 55 41 3331 8200 |
| FAX: + 55 41 3331 8256 |
| OndaRPC |
| www.ondarpc.com.br |
| Registered Linux User: 56841 |
| PGP KEY: www.keyserver.net KEY ID 6ABB668D |
+-------------------------------------------------------+
João Carlos Mendes Luis escreveu:
> Edison Bortolin wrote:
>> Olá João,
>>
>> Sim, a conexão com a internet é por DSL (Speedy da Telefônica).
>>
>> Quais seriam as maneiras de filtrar o ICMP de retorno (Frag Needed)?
>
> Na verdade, voce deveria NAO filtrar.
>
>> Isso é feito em algum parâmetro em /proc/sys/net?
>
> Nao, é na configuração do iptables.
>
>> Obrigado pela ajuda. Estou estudando mais a respeito!
>>
>> Edison
>>
>>
>> João Carlos Mendes Luis escreveu:
>>> Voce nao detalhou, mas meu primeiro chute seria que a sua conexao
internet é por DSL, e portanto tem
>>> um MTU menor que 1500. Quando o cliente manda um pacote com 1500
bytes e MTU Path Discovery
>>> habilitado, ele vai com o bit DF (Dont Frag) setado.
>>>
>>> Se por algum motivo o ICMP de retorno com a mensagem Frag Needed for
filtrado, o efeito nas
>>> comunicações era exatamente isso que voce está vendo.
>>>
>>> Quando o roteador manda as conexoes, ele já sabe que o MTU da
interface local é menor que 1500, e
>>> por isso não dá erro. ou então, o frag é feito depois, mas como é
ele que filtra, somente os
>>> clientes veriam o problema.
>>>
>>> Edison Bortolin wrote:
>>>
>>>> Pessoal,
>>>>
>>>> Precisei utilizar o SuSE Linux 9.3 como servidor de arquivos e gateway
>>>> de uma empresa. Não existe qualquer tipo de proxy configurado nesse
>>>> servidor e a internet é compartilhada através de um NAT simples.
>>>>
>>>> Desde a troca do gateway, que era um computador com Linux Fedora
Core 5,
>>>> as estações não conseguem mais baixar as mensagens de e-mail. Quando o
>>>> client de e-mail tenta baixar a primeira mensagem ocorre o erro:
>>>> "conexão com o servidor interrompida".
>>>>
>>>> Resolvi monitorar a conexão com tcpdump e analisei o resultado no
>>>> ethereal. Assim que o usuário começa baixar a primeira mensagem de
>>>> e-mail, três pacotes de erro ocorrem. O ethereal reportou como:
>>>>
>>>> [TCP Previous segment lost] continuation
>>>>
>>>> Isso explica a mensagem de erro do client de e-mail.
>>>>
>>>> Então, resolvi conectar do próprio servidor, via telnet direto no
>>>> servidor POP da empresa, e digitei os mesmos comandos que estão
>>>> registrados no trafego capturado pelo tcpdump. E o resultado é que
>>>> funcionou tudo perfeitamente.
>>>>
>>>> Concluo que o problema deve estar em algum parâmetro de roteamento.
>>>> Pesquisei o assunto mais ainda não encontrei uma solução.
>>>>
>>>> Alguém tem alguma dica ou já passou por isso antes?
>>>>
>>>> Qualquer ajuda é bem vinda!
>>>>
>>>> Obrigado
>>>>
>>>>
>>>> Edison
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>
>>> Jonny
>>>
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
>
> Jonny
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Fedora - http://enigmail.mozdev.org
iD8DBQFFeHEZLQAusHT90XQRAkEzAJ41PlC7eVtUsZxmRMkv2kPMCYO5FACgreEQ
LFme4LdtKjYeYvYJOzri57I=
=0eMh
-----END PGP SIGNATURE-----
More information about the masoch-l
mailing list