[Postfixbuch-users] Externe Verbindungen an postfix/smtpd landen als localhost in den logs

Pechi smpechi at gmx.de
Mi Nov 22 18:14:24 CET 2006


Rainer Wiesenfarth wrote:
> Pechi schrieb:
>> [...]
>> ich habe mich auf die Lauer gelegt und mit tcpdump fragliche
>> Verbindungen mit geschnitten. [...]
>>
>> /var/log/mail
>> Nov 22 13:25:40 medusa postfix/smtpd[3714]: connect from
>> localhost[127.0.0.1]
>> Nov 22 13:25:40 medusa postfix/smtpd[3714]: lost connection after
>> CONNECT from localhost[127.0.0.1]
>> Nov 22 13:25:40 medusa postfix/smtpd[3714]: disconnect from
>> localhost[127.0.0.1]
>> [...]
>>
>> und die zugehörigen Pakete
>> 13:25:40.163210 IP 83.139.90.31.62407 > 192.168.1.2.25: S
>> 4259798816:4259798816(0) win 16384 <mss 1460,nop,nop,sackOK>
>> 13:25:40.163527 IP 192.168.1.2.25 > 83.139.90.31.62407: S
>> 1572054499:1572054499(0) ack 4259798817 win 5840 <mss 1460,nop,nop,sackOK>
>> [...]
> 
> Das gehört nicht zusammen. Die postfix Einträge reden von einer
> Verbindung über das Loopback-Interface (lo, Adresse 127.0.0.1), die
> tcpdump Einträge kommen woanders her. 
Joo. Das ist der Kern des Problems.
Jetzt habe ich natürlich den
> Thread nicht verfolgt, weiß also nicht, was Ihr schon ausgeschlossen
> habt. Läuft lokal (sprich auf dem postfix Rechner) eine Firewall?
> Markiert die spezielle Pakete? Läuft ein fehlkonfiguriertes NAT?
Der Rechner steht in der DMZ. Firewall lokal auf postfix-Rechner läuft auch, macht aber nichts spezielles (kein NAT).
NAT läuft auf dem firewall-router und schickt z.B. alle Port 25 Pakete an mein Postfix in der DMZ.
> 
> Welcher Prozess könnte denn den Postfix direkt kontaktieren, was läuft
> denn alles auf der Kiste? 
In diese Richtung wurde schon gefragt und geforscht (siehe thread). Ergebnis: Eher negativ.
Falls eine Firewall läuft, lass' die doch mal
> das SYN Paket auf lo loggen, dann siehst Du, ob das wirklich nicht von
> intern kommt.
Ja, das werde ich mal machen. Am lo mit tcpdump lauschen sollte doch den gleichen Effekt haben, oder?
(falls ich das mit meinem "tcpdump -w tcplogs -s 0 'port 25'" nicht eh schon gemacht wird)
Das dumme ist nur, dass der "Gegenstand" dieses thread eben nur sporadisch (manchmal nur 1-2x am Tag) auftritt und somit unschön zu debuggen ist ...

Danke!

Pechi





Mehr Informationen über die Mailingliste Postfixbuch-users