<br><br><div class="gmail_quote">23 августа 2012 г., 17:50 пользователь Alexandre Snarskii <span dir="ltr"><<a href="mailto:snar@snar.spb.ru" target="_blank">snar@snar.spb.ru</a>></span> написал:<br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div class="HOEnZb"><div class="h5">On Thu, Aug 23, 2012 at 05:26:47PM +0600, Илья Шипицин wrote:<br>
> > <br>
> > у меня все равно не выстраивается картина.<br>
> > <br>
> > вот смотрите, допустим по цепочке от пользователя до сервера НЕ<br>
> фильтруется<br>
> > icmp, в этом случае все будет хорошо и, если я на сервере скажу "icmp<br>
> dest<br>
> > unreah frag required", то пользователь это увидит.<br>
> > <br>
> > в противном случае, если в транзите режется icmp, то сколько я ни говори,<br>
> он не<br>
> > услышит.<br>
> > <br>
> > как в этом случае поможет "attempt to prevent this problem by inferring<br>
> that<br>
> > large payload packets have been dropped due to MTU" ? ну ок, я сказал, по<br>
> > дороге icmp потерялось, меня никто не услышал.<br>
> > <br>
> > или я что-то упускаю из вида ?<br>
><br>
> Подразумевается, видимо, что-то типа того, что на сервере можно<br>
> "увидеть" tcp retransmit'ы. Если это ретрансмит первого же "полного"<br>
> пакета, можно предположить, что до пользователя есть проблема с mtu и<br>
> понизить mtu для данного адреса.<br>
><br>
> <br>
> <br>
> сам по себе MTU не особо интересен. интереснее MSS. мы на OpenBSD столкнулись с<br>
> тем, что они живут каждый своей жизнью (на линуксе - mss вычисляется исходя<br>
> из mtu). <br>
> <br>
><br>
><br>
> Но ловить проблемы с PMTU таким образом - это все-таки жестоко,<br>
> начиная с того, что придется перехватывать (либо на уровне bpf,<br>
> либо рисовать ядрёный патч) весь траффик и вести tcp state machine.<br>
> jimho, не стоит овчинка выделки.<br>
><br>
> <br>
> то есть, понижая MSS до "безопасного" уровня я по сути делаю то, что<br>
> подразумевается в "умных pmtu устройствах" ? или есть нюансы ?<br>
<br>
</div></div>Что вы подразумеваете под "умным pmtu устройством" ? Если это<br>
устройство абонентского доступа (например, pppoe'шный/pptp'шный<br>
концентратор или клиентская короёбочка/роутер, цепляющаяся по<br>
pppoe/pptp) - то да, именно он (а не конечный сервер, то есть<br>
не вы) и должен заниматься переписыванием значения mss'а если<br></blockquote><div> </div><div>как вы понимаете, это рассылка про nginx. соответственно, речь идет про те настройки, которые можно сделать именно на сервере. </div>
<div> </div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
он в пакете уже есть, и результирующий "полноMSS'ный" пакет<br>
превысит MTU линка.<br>
Как показывает практика (~30k pppoe пользователей на одной из<br>
предыдущих работ) - mss fixup'ы на настроенном провайдерском<br>
оборудовании работают вполне корректно.<br>
<br>
То же, что делаете вы - скопом понижаете MSS для всего интернета<br>
в целом (в том числе для подавляющего большинства пользователей<br>
у которых нет проблем с MTU) - ну, ok, за счет некоторого overhead'а<br>
для всех пользователей вы добавляете возможность работы для некоторого<br>
(подозреваю, довольно малого) количества пользователей из "недонастроенных"<br>
сетей, то есть маскируете проблему. Как следствие - а) overhead таки<br>
есть и б) если так будут поступать все - проблему никогда и не починят,<br>
просто потому что не заметят ;)<br></blockquote><div> </div><div> </div><div>проблему и не заметят.</div><div>не так много приложений, включающих флаг DF.</div><div>если у пользователя открывается ВКонтакт, но не открывается настроенный мной SSL-ный сайт (на который он пришел с включенным DF, потому что Windows так всегда делает), то крайним буду я.</div>
<div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<br>
Считать ли это нюансом - на ваше усмотрение ;)<br></blockquote><div> </div><div>мы с этим довольно давно живем и вполне успешно.</div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div class="HOEnZb"><div class="h5"><br>
--<br>
In theory, there is no difference between theory and practice.<br>
But, in practice, there is.<br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br>