So, jetzt bin ich langsam am wahnsinnig werden.
Ich hab spasseshalber mal von ner alten Fedora Install-CD, die ich noch gefunden habe, gebootet, den NIC mittels DHCP konfigurieren lassen (wie das beim Gentoo System auch gemacht wird) und dann ftp benutzt - siehe da es geht. Dann hab ich paar Experimente mit Ethereal und snoop gemacht um zu sehen was eigentlich los ist. Mit Ethereal auf dem Client stell ich fest, dass das Letzte was gesendet wurde ein ACK auf ein FTP-Datenpaket ist. Danach ist Ruhe. Ein snoop auf dem Router am DSL-Interface (sppp0) zeigt mir, dass der FTP Server nach dem ACK meines Clients mehrfach weiter versucht, das nächste FTP-Datenpaket zuzustellen. Das kommt aber nicht am Client an. Schalte ich die Firewall ganz ab, gehts. Die Firewall (IPFilter) unterstützt stateful filtering und hat auch bisher einwandfrei funktioniert. Aber jetzt werden ab einem bestimmten Zeitpunkt die FTP-Pakete einfach nicht mehr weitergeleitet.
Und jetzt habe ich ein Problem: Warum gehts es an dem anderen Rechner und mit der Fedora Install-CD. Der Client hat doch keinen Einfluss auf die Firewall (oder sehe ich das falsch), für ihn ist sie ja quasi unsichtbar.
So, jetzt bin ich gespannt was euch noch einfällt, mir nämlich nix mehr.
Achso: das mit dem PMTU-Discovery abschalten hab ich versucht: keine Änderung.
Mfg. Erisch
Am Mi, den 04.05.2005 schrieb Heiko Schlittermann um 22:42:
Erik Trauschke erik.trauschke@freenet.de (Mi 04 Mai 2005 20:06:43 CEST):
Noch paar Infos zum Netzwerk die MTU betreffend. Die NAT Funktion des Routers benutzt ein MSS-Clamp um die MTU für geNATete Pakete herunterzusetzen und zwar auf 1452. Das funktionierte bisher reibungslos. Auf dem BSD Rechner beträgt die MTU des realen IF 1500:
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
Das selbe gilt für den Linux Rechner:
eth0 [...] UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
Ich hab ein wenig herumexperimentiert, und die MTU auf der Linux-Kiste schrittweise bis 100 gesenkt. Wenn ich ein ls im ftp mache, wurde immer mehr angezeigt, aber nie wurde alles angezeigt. Mal davon abgesehen, dass mit MTU = 100 alles extrem lahm wurde.
tcpdump hast Du schon benutzt, um zu sehen, was passiert, wenn nichts mehr passiert? Oder um zu sehen, wie sich beide Seiten versuchen, zu einigen?
Es gibt da noch etwas: PMTU-Discovery. Mit solchen Dingen hatte ich mal Probleme. Man kann das dem Kernel ausschalten.
Heiko
Lug-dd maillist - Lug-dd@schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd