MSS korrekt setzen


#1

Du hast Schreibrechte: https://github.com/FreiFunkMuenster/ansible-ffms

Das müsste in diese Datei rein, oder? https://github.com/FreiFunkMuenster/ansible-ffms/blob/master/roles/iptables/templates/rules.v4.j2


Admintagebuch - Dokumentation der Admintätigkeiten
#2

War dort gar keine Regel eingetragen? Eigentlich sollte dort eine Regel eingetragen, mit dem unterschied jedoch, dass mss auf 1280 gesetzt war.

(wäre interessant, ob die vielleicht nicht rebootsicher war)


#3

Was hat das mit reboots zu tun? Wenn es im Ansible nicht drin ist, wird es jedes mal übergebügelt, wenn wir Ansible ausrollen.


#4

Es ist im Ansible drin, mit dem einzigen Unterschied, dass die mss auf 1280 anstatt auf 1240 gesetzt war.

Interessant wäre jetzt zu wissen, ob dort gar keine Regel aktiv war oder die Regel mit der falschen mss.


#5
-A POSTROUTING -o tun-+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1280
-A POSTROUTING -o tun-+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss ! --mss 0:1240 -j TCPMSS --set-mss 1240

Die obere stand drin, die untere ist richtig. Bei MTU von 1280 muss die MSS 40 kleiner sein. 20 für den IP, 20 für den TCP-Header. Außerdem werden nur Pakete angefasst, die nicht eine MSS im Bereich 0-1240 haben.

Die Regel für ipv6 war richtig. Hier ist der IP-Header 40 Byte groß.

-A POSTROUTING -o tun-+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss ! --mss 0:1220 -j TCPMSS --set-mss 1220

#6

Ich will/kann kein Ansibel :slight_smile:


#7

Nicht schlimm. Der Hinweis war schon hilfreich genug. :thumbsup:
Ich habe es ins Ansible eingetragen.