[ITNOG] FYI: siti web problematici con MSS <= 535 byte
Lukas Tribus
luky-37@hotmail.com
Ven 15 Gen 2016 17:45:59 CET
Ciao,
per conoscenza, i seguenti siti (e forse altri):
http://www.inail.it/
http://www.anticorruzione.it/
http://www.avcp.it/
non si aprono se il client negozia una Maximum Segment Size di <= 535 Byte.
In particolare se il payload TCP della risposta eccede la MSS (necessitando
segmentazione), non arriva nessuna risposta (ne ICMP, ne TCP) e la sessione
va in timeout.
Repro:
Cisco (cfg-interface): "ip tcp adjust-mss 535"
Linux (come router): "iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --set-mss 535"
Linux (come host): "iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --set-mss 535"
Questo per chi usa una bassa MTU/MSS (per esempio per limitare la
serialization delay su accessi ADSL).
Con>= 536 Byte MSS (>= 576 Byte MTU) funziona tutto.
Spero che questa informazione possa essere utile a qualcuno.
cheers,
lukas
Maggiori informazioni sulla lista
itnog