Cisco PIX/ASA もう一つの MSS 関連設定

前回 PIX/ASA の MSS がらみのコマンドの話を書きましたが、MSS 関連では "sysopt connection tcpmss" というコマンドもありますね。 これは、通過する通信の TCP ヘッダの MSS オプション値が指定された最大値を超えていたときは、その最大値に書き換えてしまうというものです。 デフォルトでは最大値が 1380 になっていて (6.x、7.x 共)、これを超えるものは 1380 に書き換えられます。1380 以外 (例えば 1200) に設定したい場合は次のようにコマンドを入力します。

sysopt connection tcpmss 1200

この書き換えを止めるには以下のコマンドを入力します。

sysopt connection tcpmss 0

"sysopt connection tcpmss minimum" で最小値も設定できます。

"sysopt connection tcpmss" はあくまで MSS オプションの書き換え動作だけであり、 MSS 値を超えた通信を許可/拒否するのは、先の記事のリンク先にある "exceed-mss allow/drop" の設定になるのでごっちゃにならないようにしなければ、ですね。