[FUG-BR] Pacotes grandes não passam

[Aristeu Gil Alves Jr]

2008/7/21 João Paulo Just <jpjust em justsoft.com.br>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Marcello wrote:
> | Sim bloqueia a menos que vc tenha liberado icmp , recomenda-se usar:
> |
> | # Allow out ping
> | $cmd 00250 allow icmp from any to any out via $pif keep-state
> | # Deny public pings
> | $cmd 00310 deny icmp from any to any in via $pif
>
> Como havia dito na primeira mensagem, os pings funcionam, só não
> funcionam os pings com carga acima de 1472 bytes. Meu ipfw também tem:
>
> $cmd add allow ip from any to me icmptypes 0,8,11
>


Os pacotes fragmentados posteriores ao primeiro não estão entrando nas
tuas regras (de estado ou não) por não possuírem informação suficiente
no cabeçalho (L4).

Sobre o que o amigo Marcello mandou, liberar ICMP é para PMTUD[1],
Fragmentation Needed, ICMP Tipo 3, Codigo 4, se não me engano. Se seu
problema persistir, não passando fragmentação e usando PMTUD, vai ter
que liberar os pacotes fragmentados.
Se fosse teste com TCP, MSS poderia ser ajustado e o pacote não
fragmentaria, mas como usas o ping, vai fragmentado na origem.

Enfim, vc pode resolver isso usando PMTUD e/ou liberando acesso a
pacotes fragmentados (a flag "frag" no ipfw).

Eu uso PF, com scrub.
-- aristeu

[1] http://www.tcpipguide.com/free/t_toc.htm