[Postfixbuch-users] Verzögerung bei SASL + Dovecot (firewall)

Stefan Förster cite+postfix-buch at incertum.net
Mo Jul 27 17:01:32 CEST 2009


* Alexander Busam <a.busam at hofmann-foerdertechnik.com> wrote:
>> Und hier könntest Du dann einfach Regel der Form
>> 
>> $IPT -A OUTPUT -j LOG
>> $IPT -A INPUT -j LOG
>> 
> 
> ich hab mal die beiden Zeilen ans Ende gesetzt. Allzu viel kann ich da
> allerdings nicht rauslesen. Außer dass da wohl öfter auf port 138 was
> passiert.

138 ist doch, wenn ich mich nicht irre, so ein NetBIOS-Kram. Dieser
LDAP-Server, auf den ihr zugreift, ist das eine Windows-Kiste?

Die Logs wären trotzdem interessant.

>> einfügen. BTW, ich habe gesehen, daß Du auch Regeln hast, die sich nur
>> auf 127.0.0.1 beziehen. Abgesehen davon, daß solche Regeln nur
>> greifen, wenn man als Interface ganz explizit "lo" angibt, weiß ich
>> nicht, wie sinnvoll Paketfilterung auf dem Lookpback-Interface sein
>> kann...
>> 
> 
> Habe auch mal das lokale interface für input/output komplett
> freigegeben. Da ist aber das Problem auch sporadisch aufgetreten.

Das ist klar ;-)

> Ich schätze, dass es auch was mit LDAP oder DNS-Auflösung zu tun hat.
> Ich bekomme aber das Problem nicht weiter eingegrenzt. Habe auch schon
> mit tcpdump und nach ports gefiltert gearbeitet, aber da komm ich auch
> nicht weiter.

Wahrscheinlich bringt es schon Besserung, wenn Du dafür sorgst, daß
als letzte Tat Pakete nicht gedroppt, sondern zurückgewiesen werden.
In Deiner Schreibweise dann sowas wie

$IPT -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
$IPT -A OUTPUT -p udp -j REJECT

Analog natürlich für INPUT, plusminus Flipptehler.

> Jemand müßte doch schon mal das gleiche Problem mit nem LDAP-Backend und
> Firewall gehabt haben ?!? Ohne Firewall funktioniert ja das ganze
> komischerweise.

Ich nehm an, daß der Rechner in so einer Art DMZ steht, da werden die
meisten Leute sich hüten, einen lokalen Paketfilter zu benutzen.
Sicherheismaßnahmen sollten orthogonal und redundant aufgebaut sein,
ein lokaler Paketfilter auf einem Host in einer DMZ erfüllt mit viel
gutem Willen gerade mal die zweite Anforderung.

Und hey, wahrscheinlich droppen sie nicht einfach Pakete, so daß der
anfragende Host/Prozess erst gar nicht auf die Idee kommt, Pakete noch
20 mal neu zu übermitteln ;-)

> Wie kann ich denn noch wo besser loggen ?

Die vom LOG-Target erfassten Pakete wären ein Anfang. Und natürlich
ist klar, daß Du bei aktiviertem Paketfilter eingehende Pakete nicht
sehen wirst.

> Wie kann ich denn genau unter Linux nachsehen, wass in den 10 Sekunden
> passiert auf den Ports passiert ?

Du kannst die Firewall abschalten und mit tcpdump, tshark, wireshark,
ngrep und ähnlichen Tools einfach wirklich mal einen kompletten
Einlieferungsvorgang mitschneiden.


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #286: Googlehupf - Abstand zwischen zwei Suchergebnissen. (Markus Kempken)



Mehr Informationen über die Mailingliste Postfixbuch-users