Em geral, e em particular em uma máquina Solaris 10...
Veja, estamos tendo um problema em nossa rede. Eu lido com algumas instâncias de proxy reverso em um servidor Solaris 10 que está atrás de um balanceador de carga, e alguns usuários acessam isso através de um firewall NAT e ... de qualquer forma, em algum momento, 2 dias atrás, tudo travou e não funciona .
Depois de horas capturando pacotes e analisando coisas o que vemos é que quando um dos clientes internos tenta acessar um site, em algum momento (em particular, quando estamos enviando a mensagem Server Hello SSL, por exemplo), o LB envia de volta uma mensagem ICMP Fragmentation Needed dizendo que o MTU tem 508 bytes e como os pacotes são definidos com o bit Dont Fragment como é o padrão no Solaris ...
Ok, tudo bem. Mas então... tudo o que acontece é que, como nenhum ACK foi recebido (porque os pacotes nunca foram recebidos pelo cliente), a máquina Solaris envia os pacotes novamente... mesmo tamanho, mesmo bit DF.
Então é claro que isso acaba sem que a comunicação seja possível.
O sistema operacional Solaris, ao receber esta mensagem ICPM, não deveria desativar o bit DF para esses pacotes ou ajustar o MSS da conexão para ser <o MTU que a mensagem está nos informando? Isso é algo que pode ser configurado em algum lugar como ativado/desativado? Ou é isso que deveria acontecer?
Não tenho certeza exatamente como ocorre a descoberta do Path MTU no Solaris 10, mas se ela não leva em conta essa mensagem, como ajusta o MSS?
Agradecemos antecipadamente por qualquer indicação, ajuda ou apenas ideia sobre onde procurar :)