NFS zu langsam (ICMP ip reassembly time exceeded)

Andreas Koch a.koch.de at web.de
Thu May 17 09:58:02 CEST 2007 

 Hi,

 ich kam die letzten Tage nicht dazu die e-mails abzurufen und musste
 erschreckt feststellen das ich anscheinene eine Menge Fragen unbeantwortet
 gelassen habe. Hier noch ein paar Daten für die Glaskugel: der Klient ist eine
 alte Settop box mit Kernel 2.4.34-dbox2 und einem Neutrino Linux image
 der Versin 2.0. Das Ding ist ein prima günstiger Festpalttenrekorder.
 Allerdings braucht er eine NFS-Freigabe über das Netz zum Abspielen von
 Bildern, mp3 oder aufgenommen Filmen. TCP-Dump etc. sind auf der Kiste
 nicht drauf daher kan ich sowas nicht liefern. Die Administartion erfolgt über
 ein Webfrontend das standartmäßig NFS mit den Optionen "rw,soft,udp" und
 "nolock,rsize=8192,wsize=8192" mounted. Verwendet man anstelle von UDP
 TCP funktioniert alles wie gesagt. Der Server ist ein debian/etch mit
 Kernel 2.6.14.2. Der NFS-server im Kernel. Verbunden sind die beiden direkt
 über ein 10/100 MBit Switch wobei der Server eine 100MBit und der client
 eine 10Mbit Karte hat. Die Firewall auf dem Server hat folgende Regeln für 
 NFS die ich mir aus dem Netz zusammengesucht habe:

     #  ----====[ NFS ]====----
      for i in $NFS ; do

        # Ports NFS
        NFSTCP=`rpcinfo -p | grep -v program| awk '{ print $3 " " $4 }' | sort |
        uniq |\
        grep tcp | awk '{print $2}' | xargs| sed 's/ /,/g'`
        NFSUDP=`rpcinfo -p | grep -v program| awk '{ print $3 " " $4 }' | sort |
        uniq |\
        grep udp | awk '{print $2}' | xargs| sed 's/ /,/g'`

        # Freigabe NFS
        iptables -A INPUT -i $i -p tcp -m multiport --dport $NFSTCP -j ACCEPT
        iptables -A INPUT -i $i -p udp -m multiport --dport $NFSUDP -j ACCEPT

        echo "| Server NFS auf $i freigeschaltet [TCP Ports = $NFSTCP]"
        echo "| Server NFS auf $i freigeschaltet [UDP Ports = $NFSUDP]"

        # NFS und SOCKS ansonsten verwerfen
        if [ "$LOG" = "1" ]
        then
           iptables -A INPUT -p tcp -m multiport --dport 1080,2049 -j LOG --syn --log-prefix "320_SERVER_FROM_NET_NFS | "
           iptables -A INPUT -p udp -m multiport --dport 2049,4045 -j LOG --log-prefix "320_SERVER_FROM_NET_NFS | "
        fi
           iptables -A INPUT -p tcp -m multiport --dport 1080,2049 --syn -j DROP
           iptables -A INPUT -p udp -m multiport --dport 2049,4045 -j DROP
        done

     done

More information about the Linux mailing list