
<br><br><div class="gmail_quote">23 августа 2012 г., 17:50 пользователь Alexandre Snarskii <span dir="ltr"><<a href="mailto:snar@snar.spb.ru" target="_blank">snar@snar.spb.ru</a>></span> написал:<br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">

<div class="HOEnZb"><div class="h5">On Thu, Aug 23, 2012 at 05:26:47PM +0600, Илья Шипицин wrote:<br>

>     >  <br>

>     > у меня все равно не выстраивается картина.<br>

>     >  <br>

>     > вот смотрите, допустим по цепочке от пользователя  до сервера НЕ<br>

>     фильтруется<br>

>     > icmp, в этом случае все будет хорошо и, если я на сервере скажу "icmp<br>

>     dest<br>

>     > unreah frag required", то пользователь это увидит.<br>

>     >  <br>

>     > в противном случае, если в транзите режется icmp, то сколько я ни говори,<br>

>     он не<br>

>     > услышит.<br>

>     >  <br>

>     > как в этом случае поможет "attempt to prevent this problem by inferring<br>

>     that<br>

>     > large payload packets have been dropped due to MTU" ? ну ок, я сказал, по<br>

>     > дороге icmp потерялось, меня никто не услышал.<br>

>     >  <br>

>     > или я что-то упускаю из вида ?<br>

><br>

>     Подразумевается, видимо, что-то типа того, что на сервере можно<br>

>     "увидеть" tcp retransmit'ы. Если это ретрансмит первого же "полного"<br>

>     пакета, можно предположить, что до пользователя есть проблема с mtu и<br>

>     понизить mtu для данного адреса.<br>

><br>

>  <br>

>  <br>

> сам по себе MTU не особо интересен. интереснее MSS. мы на OpenBSD столкнулись с<br>

> тем, что они живут каждый своей жизнью (на линуксе - mss вычисляется исходя<br>

> из mtu). <br>

>  <br>

><br>

><br>

>     Но ловить проблемы с PMTU таким образом - это все-таки жестоко,<br>

>     начиная с того, что придется перехватывать (либо на уровне bpf,<br>

>     либо рисовать ядрёный патч) весь траффик и вести tcp state machine.<br>

>     jimho, не стоит овчинка выделки.<br>

><br>

>  <br>

> то есть, понижая MSS до "безопасного" уровня я по сути делаю то, что<br>

> подразумевается в "умных pmtu устройствах" ? или есть нюансы ?<br>

<br>

</div></div>Что вы подразумеваете под "умным pmtu устройством" ? Если это<br>

устройство абонентского доступа (например, pppoe'шный/pptp'шный<br>

концентратор или клиентская короёбочка/роутер, цепляющаяся по<br>

pppoe/pptp) - то да, именно он (а не конечный сервер, то есть<br>

не вы) и должен заниматься переписыванием значения mss'а если<br></blockquote><div> </div><div>как вы понимаете, это рассылка про nginx. соответственно, речь идет про те настройки, которые можно сделать именно на сервере. </div>

<div> </div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">

он в пакете уже есть, и результирующий "полноMSS'ный" пакет<br>

превысит MTU линка.<br>

Как показывает практика (~30k pppoe пользователей на одной из<br>

предыдущих работ) - mss fixup'ы на настроенном провайдерском<br>

оборудовании работают вполне корректно.<br>

<br>

То же, что делаете вы - скопом понижаете MSS для всего интернета<br>

в целом (в том числе для подавляющего большинства пользователей<br>

у которых нет проблем с MTU) - ну, ok, за счет некоторого overhead'а<br>

для всех пользователей вы добавляете возможность работы для некоторого<br>

(подозреваю, довольно малого) количества пользователей из "недонастроенных"<br>

сетей, то есть маскируете проблему. Как следствие - а) overhead таки<br>

есть и б) если так будут поступать все - проблему никогда и не починят,<br>

просто потому что не заметят ;)<br></blockquote><div> </div><div> </div><div>проблему и не заметят.</div><div>не так много приложений, включающих флаг DF.</div><div>если у пользователя открывается ВКонтакт, но не открывается настроенный мной SSL-ный сайт (на который он пришел с включенным DF, потому что Windows так всегда делает), то крайним буду я.</div>

<div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">

<br>

Считать ли это нюансом - на ваше усмотрение ;)<br></blockquote><div> </div><div>мы с этим довольно давно живем и вполне успешно.</div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">


<div class="HOEnZb"><div class="h5"><br>

--<br>

In theory, there is no difference between theory and practice.<br>

But, in practice, there is.<br>

<br>

_______________________________________________<br>

nginx-ru mailing list<br>

<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>

<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br>