From 81357a41bf4f491f70d3652dc61d1eb709ab3d6c Mon Sep 17 00:00:00 2001 From: bol-van Date: Sat, 30 Mar 2024 10:24:46 +0300 Subject: [PATCH] readme: ipfrag updated info --- docs/readme.txt | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/docs/readme.txt b/docs/readme.txt index 541715d..9f24411 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -564,8 +564,9 @@ tls-kyber может так же размазываться по 2 пакета Идет десинхронизация полных hello в одном пакете и частичных hello, где SNI попал в 1-й пакет. IP ФРАГМЕНТАЦИЯ -В современной сети с этом все очень плохо. Фрагментированные пакеты застревают по пути, часто отбрасываются. -Иногда доходят. Иногда то доходят, то не доходят. Может зависеть от версии ipv4/ipv6. +Современная сеть практически не пропускает фрагментированные tcp на уровне ip. +На udp с этим дело получше, поскольку некоторые udp протоколы могут опираться на этот механизм (IKE старых версий). +Однако, кое-где бывает, что режут и фрагментированный udp. Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты. Позиция фрагментации задается отдельно для tcp и udp. По умолчанию 24 и 8 соответственно, должна быть кратна 8. Смещение считается с транспортного заголовка. @@ -609,7 +610,6 @@ options ip6table_raw raw_before_defrag=1 с любым приоритетом. Используйте приоритет -401 и ниже. При использовании iptables и NAT, похоже, что нет способа прицепить обработчик очереди после NAT. -MASQUERADE является финальным таргетом, после него NFQUEUE не срабатывает. Пакет попадает в nfqws с source адресом внутренней сети, затем фрагментируется и уже не обрабатывается NAT. Так и уходит во внешюю сеть с src ip 192.168.x.x. Следовательно, метод не срабатывает. Видимо единственный рабочий метод - отказаться от iptables и использовать nftables.