[Postfixbuch-users] Verzögerung bei SASL + Dovecot (firewall)

Alexander Busam a.busam at hofmann-foerdertechnik.com
Do Jul 30 10:16:26 CEST 2009


Stefan Förster schrieb:
> * Alexander Busam <a.busam at hofmann-foerdertechnik.com> wrote:
>>> Und hier könntest Du dann einfach Regel der Form
>>>
>>> $IPT -A OUTPUT -j LOG
>>> $IPT -A INPUT -j LOG
>>>
>> ich hab mal die beiden Zeilen ans Ende gesetzt. Allzu viel kann ich da
>> allerdings nicht rauslesen. Außer dass da wohl öfter auf port 138 was
>> passiert.
> 
> 138 ist doch, wenn ich mich nicht irre, so ein NetBIOS-Kram. Dieser
> LDAP-Server, auf den ihr zugreift, ist das eine Windows-Kiste?
> 

Verwende openldap.

> Die Logs wären trotzdem interessant.
> 

Siehe Anhang (firewall.log).

Auffällig ist der OUTPUT auf den DNS. Da verstehe ich den Log-Eintrag 
auch nicht ganz, weil in der Zeile SRC und DST vertauscht werden.
Und dann gibts noch einen OUTPUT auf dem 389, der auf dem 2. Interface 
liegt (scheint aber die Authentifizierung nicht zu stören).

>>> einfügen. BTW, ich habe gesehen, daß Du auch Regeln hast, die sich nur
>>> auf 127.0.0.1 beziehen. Abgesehen davon, daß solche Regeln nur
>>> greifen, wenn man als Interface ganz explizit "lo" angibt, weiß ich
>>> nicht, wie sinnvoll Paketfilterung auf dem Lookpback-Interface sein
>>> kann...
>>>
>> Habe auch mal das lokale interface für input/output komplett
>> freigegeben. Da ist aber das Problem auch sporadisch aufgetreten.
> 
> Das ist klar ;-)
> 
>> Ich schätze, dass es auch was mit LDAP oder DNS-Auflösung zu tun hat.
>> Ich bekomme aber das Problem nicht weiter eingegrenzt. Habe auch schon
>> mit tcpdump und nach ports gefiltert gearbeitet, aber da komm ich auch
>> nicht weiter.
> 
> Wahrscheinlich bringt es schon Besserung, wenn Du dafür sorgst, daß
> als letzte Tat Pakete nicht gedroppt, sondern zurückgewiesen werden.
> In Deiner Schreibweise dann sowas wie
> 
> $IPT -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
> $IPT -A OUTPUT -p udp -j REJECT
> 
> Analog natürlich für INPUT, plusminus Flipptehler.

Habe RECEJT und LOG ans Ende gesetzt (siehe rcfirewall im Anhang).

Die Mails gehen nun ohne Verzögerung durch. Amavis gibt nun aber "Syslog 
warnings: 1 x Connection refused" aus (siehe mail.log)

> 
>> Jemand müßte doch schon mal das gleiche Problem mit nem LDAP-Backend und
>> Firewall gehabt haben ?!? Ohne Firewall funktioniert ja das ganze
>> komischerweise.
> 
> Ich nehm an, daß der Rechner in so einer Art DMZ steht, da werden die
> meisten Leute sich hüten, einen lokalen Paketfilter zu benutzen.
> Sicherheismaßnahmen sollten orthogonal und redundant aufgebaut sein,
> ein lokaler Paketfilter auf einem Host in einer DMZ erfüllt mit viel
> gutem Willen gerade mal die zweite Anforderung.
> 

Es gibt ne Firewall, die zwischen Internet und Intranet liegt. Im 
Intranet ist der Mailserver. Auf dem Mailserver läuft die Firewall, über 
die wir uns unterhalten.

> Und hey, wahrscheinlich droppen sie nicht einfach Pakete, so daß der
> anfragende Host/Prozess erst gar nicht auf die Idee kommt, Pakete noch
> 20 mal neu zu übermitteln ;-)
> 
>> Wie kann ich denn noch wo besser loggen ?
> 
> Die vom LOG-Target erfassten Pakete wären ein Anfang. Und natürlich
> ist klar, daß Du bei aktiviertem Paketfilter eingehende Pakete nicht
> sehen wirst.
> 
>> Wie kann ich denn genau unter Linux nachsehen, wass in den 10 Sekunden
>> passiert auf den Ports passiert ?
> 
> Du kannst die Firewall abschalten und mit tcpdump, tshark, wireshark,
> ngrep und ähnlichen Tools einfach wirklich mal einen kompletten
> Einlieferungsvorgang mitschneiden.
>

Habe mit wireshark protokolliert. Kann ich aber nicht wirklich 
nachvollziehen auf was in den 10 Sekunden gewartet wird. :-(

Gruß Alex

> 
> Ciao
> Stefan


-------------- nächster Teil --------------
Ein eingebundener Text mit undefiniertem Zeichensatz wurde abgetrennt.
Name: rcfirewall
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20090730/8e25b187/attachment.ksh>
-------------- nächster Teil --------------
Ein eingebundener Text mit undefiniertem Zeichensatz wurde abgetrennt.
Name: firewall.log
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20090730/8e25b187/attachment.log>
-------------- nächster Teil --------------
Ein eingebundener Text mit undefiniertem Zeichensatz wurde abgetrennt.
Name: mail.log
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20090730/8e25b187/attachment-0001.log>


Mehr Informationen über die Mailingliste Postfixbuch-users