[MASOCH-L] Regra frag no ipfw

[Eduardo Schoedler]

O estranho é que tanto o IP do cliente quanto a interface do router em 
questão estão com MTU de 1500.
Mesmo assim deveria fragmentar ?

Abraços,
Eduardo.


--------------------------------------------------
From: "Julio Arruda" <jarruda-gter at jarruda.com>
Sent: Wednesday, November 19, 2008 11:29 AM
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Subject: Re: [MASOCH-L] Regra frag no ipfw

> Danton Nunes wrote:
>> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
>>
>>> 00900 reset log tcp from any to any frag
>>> 01000  unreach port log udp from any to any frag
>>>
>>> A regra para TCP não fez muita diferença, mas para UDP está bloqueando 
>>> direto!
>>
>> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em UDP 
>> quanto em TCP. você corre sério risco de bloquear tráfego perfeitamente 
>> válido, mas que foi fragmentado 'en route'. Recomendo fortemente não 
>> fazer isso!
>
> Na verdade, era realmente para ser bem menos comum (trafego valido com 
> fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU Discovery 
> esta ai para isto :-).
>
> O que tenho visto e' que tem muito ataque de fragmentos, e muito ataque de 
> banda udp, que "vira" fragmento, em relacao a trafego normal udp 
> fragmentado.
>
> Excecao que vi este ultimo ano, bem notavel..
>
> Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi migrado 
> de um fabricante a outro, e passou a fazer fragmentacao direto entre dois 
> 'end-points' do tunel.
> Como eles monitoram a rede, comecou a aparecer anomalias de trafego 
> fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a 
> identificar o que mudou ;-) e ajustar os thresholds para este caso (eles 
> nao quiseram alterar as MTUs para eliminar a fragmentacao, por questoes de 
> "esta segurando, deixa para nao arriscar quebrar algo" durante as 
> migracoes)
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l