← retour aux snippets

iptables: clamp-mss-to-pmtu pour éviter la fragmentation

Ajuster la MSS TCP sortante pour s'adapter au MTU du chemin et éviter les blackholes PMTU.

bash network #iptables#mss#pmtu

objectif

Empêcher des connexions lentes/cassées derrière PPPoE/VPN due à MTU trop grand.

code minimal

sudo iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

utilisation

# interface spécifique (WAN)
sudo iptables -t mangle -A FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

variante(s) utile(s)

# MSS fixe (dernier recours)
sudo iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1360

notes

  • utile en routeur/NAT, moins en hôte simple.
  • vérifiez aussi le MTU (ip link) et la path MTU (tracepath).