Операционные системы - статьи


Полезные советы - часть 2


Блокирование таких пакетов приведет к тому, что вы никогда не получите сообщений Host unreachable или No route to host, и попытки соединиться с такими хостами будут ожидать ответа, который никогда не придет. Это плохо, но не фатально.

Гораздо хуже другая проблема - использование ICMP для определения MTU (Maximum Transfer Unit - максимальный размер пакета для передачи по некоторому каналу связи). Все хорошие реализации TCP (в том числе и Линукс) используют определение MTU с целью вычислить максимальный размер пакета, который может дойти до получателя без промежуточной фрагментации. Фрагментация замедляет передачу данных, особенно если фрагменты иногда теряются. Определение MTU производится путем посылки получателю пакетов с установленным флагом "Don't Fragment" (Не фрагментировать). Если в ответ приходит ICMP-квитанция "Fragmentation needed but DF set" (требуется фрагментация, но установлен флаг Не фрагментировать), то посылается пакет меньшего размера. Если же такая квитанция не будет получена, то размер пакета не будет автоматически уменьшаться, что может привести к сильному замедлению или вообще блокированию передачи данных.

  • TCP-соединения с DNS-серверами. Если вы запрещаете исходящие TCP-соединения, помните, что DNS не всегда использует UDP. Если размер ответа от сервера превышает 512 байт, то клиент использует TCP-соединение с сервером (также на 53 порт). Если ваши DNS-запросы всегда посылаются на один DNS-сервер, то вам надо разрешить TCP-соединения на 53 порт DNS-сервера либо с 53 порта вашей машины (если у вас установлен собственный кэширующий DNS-сервер), либо с непривилегированных портов (>1023). Либо и то, и другое.
  • FTP может работать в двух режимах: один из них (стандартный) называется активным, а другой - пассивным. WWW-браузеры обычно работают в пассивном режиме, а обычные ftp-клиенты - в активном.

    В активном режиме если удаленный сервер хочет передать клиенту данные (не только файл, но даже результат выполнения команды ls или dir), он пытается установить соединение с клиентской машиной.


    Начало  Назад  Вперед



    Книжный магазин