Re: Unklare Übertragungsprobleme bei einigen Mails

Jörn Bredereck jb at bw-networx.net
Mo Jun 27 12:32:53 CEST 2016 

Hallo,

> Das Problem trat auf, als ich folgende IPTabels Regeln aktiv hatte:
> 
> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [0:0]
> :OUTPUT DROP [0:0]
> -A INPUT -i lo -j ACCEPT
> -A INPUT -d 141.AAA.BBB.CCC -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -s 141.AAA.240.CCC/24 -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn --dport 25 -j DROP
> -A INPUT -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn --dport 25 -j ACCEPT
> -A INPUT -s 141.AAA.13.CCC/24 -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn -m multiport --dports 22 -j ACCEPT
> -A INPUT -d 141.AAA.BBB.CCC -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -s 141.AAA.BBB.CCC -o eth0 -j ACCEPT
> COMMIT


> Das Problem konnte ich dadurch vermeiden, indem ich in der IPTables sämtliche Kommunikation von und zu dem Uniklinik Mailserver
> erlaubt habe: 
> -A INPUT -s 149.AAA.BBB.CCC  -d 141.AAA.BBB.CCC  -j ACCEPT

erlaub testweise auch mal die anderen ICMP-Typen. Evtl. hast du es mit Paket-Fragmentierung aufgrund fehlschlagender Path-MTU-Discovery zu tun. Die Hosts tauschen sich per ICMP über die maximale Paket-Grösse aus. Wenn du das blockierst kann es zur Fragmentierung kommen, die sich bei längeren Verbindungen „hochschaukelt“ und in einem Timeout endet. Ich bin nicht sicher, ob Typ8 (Echo) hier ausreicht. 


> - Wie müssten IPTabels Rules auf einem Relay für sowohl eingehenden als auch ausgehenden Mailverkehr aussehen, damit es nicht zu
> solchen Übertragungsproblemen kommt? Ich kann ja nicht die ganze Welt Whitelisten?!?

Ich mache immer nur Port 25 (ggf. noch 587) und ICMP (komplette) auf und das reicht eigentlich.


Viele Grüße,
Jörn Bredereck

-- 

******************************
B&W-NetworX GmbH & Co. KG
Landstr. 67a
76547 Sinzheim
Fon: 07221 996388-8
Fax: 07221 996388-1
http://www.bw-networx.net
info at bw-networx.net
-----------------------------
AG Mannheim HRA 521208
Pers. haf. Ges.:
B&W-NetworX Verwaltungs-GmbH
Sitz: 76532 Baden-Baden
AG Mannheim HRB Nr.: 202122
Geschäftsführer:
Jörn Bredereck
Dipl. Ing. Holger Wunsch
******************************


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4106 bytes
Beschreibung: nicht verfügbar
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20160627/9eeb4a2a/attachment.bin>

Mehr Informationen über die Mailingliste postfix-users