[Postfixbuch-users] Verzögerung bei SASL + Dovecot (firewall)

Alexander Busam a.busam at hofmann-foerdertechnik.com
Mo Jul 27 16:43:23 CEST 2009


Hallo Stefan,

danke erstmal für deine Tips. Bin aber leider nicht allzu weit gekommen.

Stefan Förster schrieb:
> Hallo Alexander,
> 
> ich bin da immer jemand, der einfach mal gerne nachschaut, von daher:
> 
> * Alexander Busam <a.busam at hofmann-foerdertechnik.com> wrote:
>> Es gibt aber sehr oft Verzögerungen von 10 Sekunden zwischen
>> Authentifizierung und Amavis (siehe mail.log).
>>
>> Wenn ich die Firewall deaktiviere, funktioniert das ganze unverzüglich.
>> Liegt der Fehler darin ?
> 
> Es gibt da zumindest einen auffälligen Zusammenhang. Die Policy für
> die drei Filterketten ist ja auf "DROP" gesetzt, von daher wäre es das
> einfachste, einfach noch einen Sprung zum LOG-Target vorzunehmen.
> 

Habe mal das FORWARD auf ACCEPT gesetzt, hat aber wohl keine 
Auswirkungen, da ich ja nichts route.

>> # "dovecot -n" command gives a clean output of the changed settings. Use it
>> # instead of copy&pasting this file when posting to the Dovecot mailing list.
> 
> *hust* Das wäre eventuell einfacher gewesen als die Konfiguration ganz
> zu posten.
> 

... im Anhang dazu die dovecot.conf (das mit dem -n kanne ich zwar von 
postfix, wußte aber nicht, dass es auch mit dovecot funktioniert).

>> log_path = /var/log/dovecot.log
> 

.. in der docecot.log steht nichts auffälliges. Gibt quasi keinen 
Unterschied, ob ich nun mit oder ohne aktiver firewall mails versende.

> Das wäre evt. interessant gewesen.
> 
>>         # Hylafax (fuer eingehende Faxe)
>>         $IPT -A INPUT  -p TCP -d $ip_nr -s $ip_lnet \
>> 	  --sport 1024: --dport 4559 \
>>          -m state --state NEW -j ACCEPT
>>
>>         # Hylafax (fuer eingehende Faxe)
>>         #$IPT -A OUTPUT  -p TCP -s $ip_nr -d $ip_lnet \
>>         #  --sport 1024: --dport 4559 \
>>         # -m state --state NEW -j ACCEPT
> 
> Und hier könntest Du dann einfach Regel der Form
> 
> $IPT -A OUTPUT -j LOG
> $IPT -A INPUT -j LOG
> 

ich hab mal die beiden Zeilen ans Ende gesetzt. Allzu viel kann ich da 
allerdings nicht rauslesen. Außer dass da wohl öfter auf port 138 was 
passiert.

> einfügen. BTW, ich habe gesehen, daß Du auch Regeln hast, die sich nur
> auf 127.0.0.1 beziehen. Abgesehen davon, daß solche Regeln nur
> greifen, wenn man als Interface ganz explizit "lo" angibt, weiß ich
> nicht, wie sinnvoll Paketfilterung auf dem Lookpback-Interface sein
> kann...
> 

Habe auch mal das lokale interface für input/output komplett 
freigegeben. Da ist aber das Problem auch sporadisch aufgetreten.

>> Jul 23 10:45:22 hmmailsrv postfix/smtpd[584]: connect from wsab.hofmann-intern.de[192.168.1.165]
>> Jul 23 10:45:22 hmmailsrv postfix/smtpd[584]: setting up TLS connection from wsab.hofmann-intern.de[192.168.1.165]
>> Jul 23 10:45:22 hmmailsrv postfix/smtpd[584]: TLS connection established from wsab.hofmann-intern.de[192.168.1.165]: T
>> LSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
>> Jul 23 10:45:32 hmmailsrv amavis[23942]: (23942-14) process_request: fileno sock=12, STDIN=0, STDOUT=1
> 
> Das sind in der Tat exakt 10 Sekunden. Du kannst ja evt. mal TLS
> deaktivieren und zusätzlich zum Loggen, welche Pakete da rausfliegen,
> mit ngrep & Co. nachsehen, was er da überhaupt treibt (best guess: Er
> hänt beim Verarbeiten von "AUTH LOGIN/PLAIN/....").
> 
> Ich wette 2 Euro-Cent auf etwas obskures wie ident oder aber GSSAPI
> beim Zugriff auf den LDAP-Server.
> 

Ich schätze, dass es auch was mit LDAP oder DNS-Auflösung zu tun hat. 
Ich bekomme aber das Problem nicht weiter eingegrenzt. Habe auch schon 
mit tcpdump und nach ports gefiltert gearbeitet, aber da komm ich auch 
nicht weiter.

Jemand müßte doch schon mal das gleiche Problem mit nem LDAP-Backend und 
Firewall gehabt haben ?!? Ohne Firewall funktioniert ja das ganze 
komischerweise.

Wie kann ich denn noch wo besser loggen ?

Wie kann ich denn genau unter Linux nachsehen, wass in den 10 Sekunden 
passiert auf den Ports passiert ?

Gruß Alex

> 
> Ciao
> Stefan

-------------- nächster Teil --------------
Ein eingebundener Text mit undefiniertem Zeichensatz wurde abgetrennt.
Name: dovecot.conf
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20090727/d0bba4b5/attachment.conf>


Mehr Informationen über die Mailingliste Postfixbuch-users