<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body dir="ltr" bgcolor="#ffffff" text="#000000">
Dan Shimshoni wrote:
<blockquote
 cite="mid:u2q2d2a24501004200347jb02e087biea1f3a4215dd9e3a@mail.gmail.com"
 type="cite">
  <pre wrap="">shachar,
I googled for  "MSS Squashing". Got 0 results!

What is this "MSS Squashing"? and how is it related to this issue?

rgs,
DS


  </pre>
</blockquote>
The term used in the iptables man page is "clamp-mss-to-pmtu"<br>
<br>
The ethernet maximal transfer unit (MTU) is 1500 bytes (more or less,
but in practice, this is the default). Since pppoe has some overhead,
the effective MTU on ppp0 is lower (about 1470 bytes). Packets sent out
by your machine B broadcast the desired packet length on the return
path through a TCP option called MSS (maximal segment size).<br>
<br>
Theoretically, TCP will figure out on its own that the path MTU (PMTU)
is lower than the end MTU as advertised by the MSS. This has two
disadvantages:<br>
1. It has worse performance than advertising the correct number in the
MSS to begin with<br>
2. Some firewalls block the ICMP message used to report this case (code
3 type 4 - "fragmentation needed but don't fragment set"). As a result,
you get "black hole" syndrom.<br>
<br>
The solution is to have iptables alter the MSS field of the TCP option
to the value it knows is correct.<br>
<br>
Shachar<br>
<pre class="moz-signature" cols="72">-- 
Shachar Shemesh
Lingnu Open Source Consulting Ltd.
<a class="moz-txt-link-freetext" href="http://www.lingnu.com">http://www.lingnu.com</a>
</pre>
</body>
</html>