Em geral, e em particular em uma máquina Solaris 10 ...
Veja, estamos tendo um problema em nossa rede. Eu ligo algumas instâncias de proxy reverso em um servidor Solaris 10 que está por trás de um balanceador de carga, e alguns usuários acessam isso através de um firewall NAT e ... em qualquer caso, em algum momento dois dias atrás, tudo veio falhando e não funciona .
Após horas de captura de pacotes e análise de material, o que vemos é que quando um dos clientes internos tenta acessar um site, em algum momento (em particular, quando estamos enviando a mensagem Server Hello SSL, por exemplo), LB envia de volta uma mensagem de Fragmentação ICMP necessária dizendo que a MTU é de 508 bytes, e como os pacotes são definidos com o bit Dont Fragment como é o padrão no Solaris ...
Ok, tudo bem. Mas então ... tudo o que acontece é que, como nenhum ACK foi recebido (porque os pacotes nunca foram recebidos pelo cliente), a máquina Solaris envia os pacotes novamente ... mesmo tamanho, o mesmo bit DF.
Então, é claro, isso acaba sem a comunicação ser possível.
O sistema operacional Solaris, ao receber esta mensagem do ICPM, não deve definir o bit DF para esses pacotes ou ajustar a conexão MSS para < o MTU que a mensagem está nos dizendo? Isso é algo que pode ser configurado em algum lugar como ativado / desativado? Ou é isso que deveria acontecer?
Não sei exatamente como a descoberta da MTU do Path ocorre no Solaris 10, mas se ela não levar em conta essa mensagem, então como ela ajusta o MSS?
Agradecemos antecipadamente por qualquer ponteiro, ajuda ou apenas uma ideia sobre onde procurar:)
Tags tcpip mtu icmp solaris-10