[Postfixbuch-users] Externe Verbindungen an postfix/smtpd landen als localhost in den logs
Pechi
smpechi at gmx.de
Mi Nov 22 16:28:39 CET 2006
Andreas Winkelmann wrote:
> Am Thursday 09 November 2006 14:54 schrieb Pechi:
>> Es werden also laut Firewall zwei Verbindungen von externen Rechnern
>> (über Firewall-Router usw.) an den Port 25 des Mailservers
>> aufgebaut/geschickt.
>
> Was loggt denn Deine Firewall? Sind das abgelehnte Pakete?
Nein. Die gehen durch, bzw. werden in die DMZ zum Mailserver geleitet.
>
> Loggst Du überhaupt auf localhost <-> localhost?
??
>
> Log doch mal mit iptables die uid mit. Dann siehst Du zumindest unter welcher
> uid der Verbindungsaufbau zu 127.0.0.1:25 passiert.
Sicher eine gute Idee. Habe ich noch nicht gemacht, aber...
>
> Evtl. auch mal tcpdump/wireshark bemühen.
ich habe mich auf die Lauer gelegt und mit tcpdump fragliche
Verbindungen mit geschnitten. Leider bin ich mit den Protokollen nicht
so vertraut. Vielleicht kann jemand von euch da schnell was raus lesen.
(Ich habe die Verbindungen auch als binary, mit entsprechend mehr
Details und gebe diese gern auf Anfrage raus.)
Jedenfalls kommen die Verbindungen von Extern. Auffällig scheint mir das
RST Paket gleich nach dem ACK auf die 1. Antwort meines Servers.?
/var/log/mail
Nov 22 13:25:40 medusa postfix/smtpd[3714]: connect from
localhost[127.0.0.1]
Nov 22 13:25:40 medusa postfix/smtpd[3714]: lost connection after
CONNECT from localhost[127.0.0.1]
Nov 22 13:25:40 medusa postfix/smtpd[3714]: disconnect from
localhost[127.0.0.1]
Nov 22 13:26:03 medusa postfix/smtpd[3714]: connect from
localhost[127.0.0.1]
Nov 22 13:26:03 medusa postfix/smtpd[3714]: lost connection after
CONNECT from localhost[127.0.0.1]
Nov 22 13:26:03 medusa postfix/smtpd[3714]: disconnect from
localhost[127.0.0.1]
und die zugehörigen Pakete
13:25:40.163210 IP 83.139.90.31.62407 > 192.168.1.2.25: S
4259798816:4259798816(0) win 16384 <mss 1460,nop,nop,sackOK>
13:25:40.163527 IP 192.168.1.2.25 > 83.139.90.31.62407: S
1572054499:1572054499(0) ack 4259798817 win 5840 <mss 1460,nop,nop,sackOK>
13:25:40.216449 IP 83.139.90.31.62407 > 192.168.1.2.25: . ack 1 win 17520
13:25:40.216568 IP 83.139.90.31.62407 > 192.168.1.2.25: R 1:1(0) ack 1 win 0
13:26:03.504479 IP 83.139.90.31.62435 > 192.168.1.2.25: S
2563976449:2563976449(0) win 16384 <mss 1460,nop,nop,sackOK>
13:26:03.504813 IP 192.168.1.2.25 > 83.139.90.31.62435: S
1608416815:1608416815(0) ack 2563976450 win 5840 <mss 1460,nop,nop,sackOK>
13:26:03.557231 IP 83.139.90.31.62435 > 192.168.1.2.25: . ack 1 win 17520
13:26:03.557363 IP 83.139.90.31.62435 > 192.168.1.2.25: R 1:1(0) ack 1 win 0
Und hier noch zum Vergleich eine "Kurzverbindung" die nachvollziehbarer
(d.h. mit Externer IP) im log erscheint.
/var/log/mail
Nov 22 12:31:43 medusa postfix/smtpd[2599]: connect from
unknown[66.36.228.243]
Nov 22 12:31:43 medusa postfix/smtpd[2599]: lost connection after
CONNECT from unknown[66.36.228.243]
Nov 22 12:31:43 medusa postfix/smtpd[2599]: disconnect from
unknown[66.36.228.243]
und wieder die zugehörigen Pakete
12:31:43.106225 IP 66.36.228.243.56861 > 192.168.1.2.smtp: S
4114015646:4114015646(0) win 5840 <mss 1460,sackOK,timestamp 703409330
0,nop,wscale 7>
12:31:43.106591 IP 192.168.1.2.smtp > 66.36.228.243.56861: S
2466624342:2466624342(0) ack 4114015647 win 5792 <mss
1460,sackOK,timestamp 1598852864 703409330,nop,wscale 2>
12:31:43.216603 IP 66.36.228.243.56861 > 192.168.1.2.smtp: . ack 1 win
46 <nop,nop,timestamp 703409358 1598852864>
12:31:43.216761 IP 66.36.228.243.56861 > 192.168.1.2.smtp: F 1:1(0) ack
1 win 46 <nop,nop,timestamp 703409358 1598852864>
12:31:43.219534 IP 192.168.1.2.smtp > 66.36.228.243.56861: . ack 2 win
1448 <nop,nop,timestamp 1598852892 703409358>
12:31:43.352197 IP 192.168.1.2.smtp > 66.36.228.243.56861: P 1:55(54)
ack 2 win 1448 <nop,nop,timestamp 1598852925 703409358>
12:31:43.353032 IP 192.168.1.2.smtp > 66.36.228.243.56861: F 55:55(0)
ack 2 win 1448 <nop,nop,timestamp 1598852925 703409358>
12:31:43.462765 IP 66.36.228.243.56861 > 192.168.1.2.smtp: R
4114015648:4114015648(0) win 0
12:31:43.465900 IP 66.36.228.243.56861 > 192.168.1.2.smtp: R
4114015648:4114015648(0) win 0
Vielleicht hat ja jetzt jemand eine Idee, warum postfix beim loggen
durcheinander kommt...
Schon mal vielen Dank.
Pechi
PS: Hier ist übrigens ein thread zu einem sehr ähnlichen Problem (von
Thomas Bange), an dessen Ende aber leider auch keine echte Lösung steht.
http://archives.neohapsis.com/archives/postfix/2005-07/0149.html
Mehr Informationen über die Mailingliste Postfixbuch-users