Hallo, > Das Problem trat auf, als ich folgende IPTabels Regeln aktiv hatte: > > *filter > :INPUT DROP [0:0] > :FORWARD DROP [0:0] > :OUTPUT DROP [0:0] > -A INPUT -i lo -j ACCEPT > -A INPUT -d 141.AAA.BBB.CCC -i eth0 -m state --state RELATED,ESTABLISHED -j > ACCEPT > -A INPUT -s 141.AAA.240.CCC/24 -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn > --dport 25 -j DROP > -A INPUT -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn --dport 25 -j ACCEPT > -A INPUT -s 141.AAA.13.CCC/24 -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn > -m multiport --dports 22 -j ACCEPT > -A INPUT -d 141.AAA.BBB.CCC -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT > -A OUTPUT -o lo -j ACCEPT > -A OUTPUT -s 141.AAA.BBB.CCC -o eth0 -j ACCEPT > COMMIT
> Das Problem konnte ich dadurch vermeiden, indem ich in der IPTables sämtliche > Kommunikation von und zu dem Uniklinik Mailserver > erlaubt habe: > -A INPUT -s 149.AAA.BBB.CCC -d 141.AAA.BBB.CCC -j ACCEPT erlaub testweise auch mal die anderen ICMP-Typen. Evtl. hast du es mit Paket-Fragmentierung aufgrund fehlschlagender Path-MTU-Discovery zu tun. Die Hosts tauschen sich per ICMP über die maximale Paket-Grösse aus. Wenn du das blockierst kann es zur Fragmentierung kommen, die sich bei längeren Verbindungen „hochschaukelt“ und in einem Timeout endet. Ich bin nicht sicher, ob Typ8 (Echo) hier ausreicht. > - Wie müssten IPTabels Rules auf einem Relay für sowohl eingehenden als auch > ausgehenden Mailverkehr aussehen, damit es nicht zu > solchen Übertragungsproblemen kommt? Ich kann ja nicht die ganze Welt > Whitelisten?!? Ich mache immer nur Port 25 (ggf. noch 587) und ICMP (komplette) auf und das reicht eigentlich. Viele Grüße, Jörn Bredereck -- ****************************** B&W-NetworX GmbH & Co. KG Landstr. 67a 76547 Sinzheim Fon: 07221 996388-8 Fax: 07221 996388-1 http://www.bw-networx.net [email protected] ----------------------------- AG Mannheim HRA 521208 Pers. haf. Ges.: B&W-NetworX Verwaltungs-GmbH Sitz: 76532 Baden-Baden AG Mannheim HRB Nr.: 202122 Geschäftsführer: Jörn Bredereck Dipl. Ing. Holger Wunsch ******************************
smime.p7s
Description: S/MIME cryptographic signature
