PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables und mail



b-tommy
24.09.02, 16:34
hi leute;

mich beschäftigt ein phänomen, aus dem ich nicht schlau werde...

folgendes szenario: ein kommunikationsserver, auf dem sich ein postfix befindet und der mit einem lokalen iptables abgesichert ist...
ich arbeite momentan mit einem modularen kernel 2.4.19

wenn ich nun das regelwerk aktiviere, wird der mailversand oder besser der kontakt vom clilent zum server unerträglich langsam...ist das regelwerk deaktiviert, dauert die überprüfung des postfachs maximal 3 sekunden, ist das regelwerk aktiviert, kann es schon mal 20-30 sekunden dauern...

udp und icmp kann man als fehlerquelle ausschliessen, da ich die regeln dafür zum test mal auf accept gesetzt habe..mit dem gleichen effekt...

hier nun die entsprechende sequenz aus dem ruleset:



#$ipt -A tcpcheck -i $int -j ACCEPT
#$ipt -A tcpcheck -o $int -j ACCEPT

## Regeln für das interne Device: ##

for portsint in $fromint ; do
$ipt -A tcpcheck -i $int -p tcp --dport $portsint -m state --state NEW,ESTABLISHED -j ACCEPT done
$ipt -A tcpcheck -o $int -p tcp --dport 1023: -m state --state ESTABLISHED,RELATED -j ACCEPT


$int steht für internes device, $fromint ist 110 22 25 53 80 143 995 3128 10000

ich hab folgende szenarien durchpriobiert:

connectiontracking deaktiviert - ohne erfolg
die antwortports von 1023: auf 0: erhöht - ohne erfolg
die oberen regeln, die das gesamte interne interface freischalten aktiviert - mit erfolg...dann lief die kiste vernünftig...

iptables -L tcpcheck -v meint dazu:


Chain tcpcheck (2 references)
pkts bytes target prot opt in out source destination
2 88 ACCEPT tcp -- eth1 any anywhere anywhere tcp dpt:pop3 state NEW,ESTABLISHED
24 1128 ACCEPT tcp -- eth1 any anywhere anywhere tcp dpt:ssh state NEW,ESTABLISHED


sämtliche prozesse laufen im unteren bereich, das heisst an der performance der kiste kann es auch nicht liegen..

wäre echt klasse, wenn mir da jemand helfen könnte...ich komm da wirklich nicht mehr weiter..

danke im voraus

tommy

Belkira
24.09.02, 16:48
folgendes szenario: ein kommunikationsserver, auf dem sich ein postfix befindet und der mit einem lokalen iptables abgesichert ist...

wenn ich nun das regelwerk aktiviere, wird der mailversand oder besser der kontakt vom clilent zum server unerträglich langsam...ist das regelwerk deaktiviert, dauert die überprüfung des postfachs maximal 3 sekunden, ist das regelwerk aktiviert, kann es schon mal 20-30 sekunden dauern...

Ähem, abgesehen davon, daß Du ganz einfach allen Traffic per iptables loggen lassen könntest um zusehen, was hängen bleibt, hat die "überprüfung des postfachs" nichts mit Postfix zu tun, sondern mit einem POP3- oder IMAP-Server, den Du da auch noch laufen hast. Gib mal zusätzlich den "auth" Port 113 für identd frei und verwirf identd Anfragen auf dem Clientrechner nicht. Entweder DNS oder identd, beide verursachen Delays, wenn falsch geblockt.