都是mtu惹的祸

上個月底,我們部門新用了一臺dell服務器(伺服器)接入公司網絡。我們部门所有的電腦都通過這台服務器鏈接公司內網和互聯網。os是centos5.5

這幾天,作為網關(網閘)的服務器一切運行正常。古怪的是,網關後的電腦(一般就是我們辦公用的)無法打開某些特定的網站。

開始是以為這些無法打開的網站屏蔽了公司總出口的ip。但別的部門卻一切正常,看來也不是ip的問題。
更奇怪的是,在這台dell網關服務器上,可以直接打開這些網站,偏偏網關後的機器不行。看來問題在服務器的設定上。

請教了其他部門的同事後,才知道,可能和我們接入路由器有關:我們路由器設定有問題。其設定的 MTU 大小可能不會讓超過特定大小的封包通過。

很明顯,我沒權限能力去修改上級路由器的mtu數值,那麼,就修改dell服務器的mtu把:

iptables -A FORWARD -s 192.168.165.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --set-mss 15560 //這是內網
iptables -A FORWARD -s 192.168.176.0/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --set-mss 1356 //這是vpn撥入

ok!問題解決!

啥時候我們的上級能真正花點錢在這些基本設施上呢?據我所知,那個路由器應該還是我大學時候,我沒進公司的時候的破爛貨…