nfqws: ipv6 fragment at transport header

2026-03-14 17:21:50 +00:00 · 2022-01-05 15:34:57 +03:00
parent 85517a3851
commit 6b39411454
13 changed files with 42 additions and 32 deletions
--- a/docs/readme.txt
+++ b/docs/readme.txt
@@ -1,4 +1,4 @@
-zapret v.44
+zapret v.44

 English
 -------
@@ -427,12 +427,12 @@ window size итоговый размер окна стал максимальн
 IP ФРАГМЕНТАЦИЯ
 В современной сети с этом все очень плохо. Фрагментированные пакеты застревают по пути, часто отбрасываются.
 Иногда доходят. Иногда то доходят, то не доходят. Может зависеть от версии ipv4/ipv6.
-Роутеры на базе linux и freebsd могут самопроизвольно собирать или перефрагментировать пакеты.
+Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты.
 Позиция фрагментации задается отдельно для tcp и udp. По умолчанию 24 и 8 соответственно, должна быть кратна 8.
-Смещение считается с заголовка, следующего за ip. В большинство случаев это транспортный заголовок.
+Смещение считается с транспортного заголовка.

 Существует ряд моментов вокруг работы с фрагментами на Linux, без понимания которых может ничего не получиться.
-ipv4 : Linux дает отсылать ipv4 фрагменты, но стандартные настройки iptables в цепочке OUTPUT могут их дропать.
+ipv4 : Linux дает отсылать ipv4 фрагменты, но стандартные настройки iptables в цепочке OUTPUT могут вызывать ошибки отправки.
 ipv6 : Нет способа для приложения гарантированно отослать фрагменты без дефрагментации в conntrack.
 На разных системах получается по-разному. Где-то нормально уходят, где-то пакеты дефрагментируются.
 Для ядер <4.16 похоже, что нет иного способа решить эту проблему, кроме как выгрузить модуль nf_conntrack,