From 2c0321be468290612640301d29528c6654372b9f Mon Sep 17 00:00:00 2001
From: bol-van <none@none.none>
Date: Tue, 11 Jan 2022 10:57:30 +0300
Subject: [PATCH] readme: more ipfrag notices

---
 docs/readme.txt | 7 +++++++
 1 file changed, 7 insertions(+)

diff --git a/docs/readme.txt b/docs/readme.txt
index ef5e232..87e6c89 100644
--- a/docs/readme.txt
+++ b/docs/readme.txt
@@ -438,7 +438,14 @@ ipv6 : Нет способа для приложения гарантирова
 Для ядер <4.16 похоже, что нет иного способа решить эту проблему, кроме как выгрузить модуль nf_conntrack,
 который подтягивает зависимость nf_defrag_ipv6. Он то как раз и выполняет дефрагментацию.
 Для ядер 4.16+ ситуация чуть лучше. Из дефрагментации исключаются пакеты в состоянии NOTRACK.
+На практике это работает для цепочки OUTPUT.
 Чтобы не загромождать описание, смотрите пример решения этой проблемы в blockcheck.sh.
+Что касается forwarding, чтобы избежать дефрагментации потребуется залезть еще глубже.
+Может понадобиться загружать модули iptable_raw и ip6table_raw с параметром raw_before_defrag и
+переводить в состояние NOTRACK нужные пакеты. Но тем самым вы сломаете NAT и другие stateful операции.
+Для ipv6 может сработать, поскольку для ipv6 NAT обычно не делается.
+Вы должны очень хорошо понимать что вы делаете и уметь тщательно проверить что у вас получилось.
+https://github.com/torvalds/linux/commit/902d6a4c2a4f411582689e53fb101895ffe99028
 
 
 tpws