PIX 包长度过长的问题

天涯迪

Nov 22 2013 17:15:10: %PIX-4-419001: Dropping TCP packet from dmz:192.168.2.33/554 to outside:211.103.244.194/4496, reason: MSS exceeded, MSS 1380, data 1388
请教一下，这是PIX上报的日志，什么情况会出现回包的长度过长被防火墙drop掉，如何处理？据说IE安全里有类似这样的考题，请大虾们指教，我是在真实的生产环境中遇到了，无思路，迷茫中。



该贴已经同步到 天涯迪的微博

84983251

这个你可以抓包分析····默认情况下一个TCP的报文 是 60字节的包头+数据 形成一个数据包。也就是
16BIT的二层头部+20BIT的IP头部+24BIT的TCP的头部 。你最大MTU是1380 。1380-60 也就是你的数据达到了1320字节。抓个包看看还没有有其他的头部，如果没有，适当调整下MTU····

Rockyw

防火墙的设置是怎样的呢？

天涯迪

84983251 发表于 2013-11-26 09:21
这个你可以抓包分析····默认情况下一个TCP的报文 是 60字节的包头+数据 形成一个数据包。也就是
16BIT ...

谢谢你提供的思路，我抓包看到穿越防火墙的包长度只有1380，但是没在服务器口做镜像，下次可以试试。