forum.opennet.ru - "Не устанавливается соединение по 25 порту" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не устанавливается соединение по 25 порту"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не устанавливается соединение по 25 порту"	+/–
Сообщение от nucleo on 13-Июн-12, 10:42
Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 порту, т. е. шлют syn пакет, далее сервер несколько раз пытается ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят письма с яндексовского почтового сервера. С другими сервисами проблем никаких. Проблема смутно напоминает поведение при неправильном mtu, однако и в этом направлении решения пока не нашёл. Прошу помочь...
Ответить \| Правка \| Cообщить модератору

Оглавление

Не устанавливается соединение по 25 порту, Andrey Mitrofanov, 12:56 , 13-Июн-12, (1)

Не устанавливается соединение по 25 порту, nucleo, 13:02 , 13-Июн-12, (2)

Не устанавливается соединение по 25 порту, Дядя_Федор, 13:05 , 13-Июн-12, (3)

Не устанавливается соединение по 25 порту, nucleo, 13:13 , 13-Июн-12, (4)

Не устанавливается соединение по 25 порту, Дядя_Федор, 14:12 , 13-Июн-12, (6)

Не устанавливается соединение по 25 порту, nucleo, 14:14 , 13-Июн-12, (7)

Не устанавливается соединение по 25 порту, vg, 17:07 , 13-Июн-12, (10)

Не устанавливается соединение по 25 порту, nucleo, 13:15 , 13-Июн-12, (5)

Не устанавливается соединение по 25 порту, redicool, 15:04 , 13-Июн-12, (8)

Не устанавливается соединение по 25 порту, LSTemp, 16:41 , 13-Июн-12, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не устанавливается соединение по 25 порту" +/–

Сообщение от Andrey Mitrofanov on 13-Июн-12, 12:56

> Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в
> следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25
> порту, т. е. шлют syn пакет, далее сервер несколько раз пытается
> ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят
> письма с яндексовского почтового сервера.
tcpdump в руки, снять успешную сессию с яндексом, снять сессию и безуспешными ack, смотреть на дампы до просветления (нет, я не буду смотреть).
У меня один "оригинальный" клиент (и да, совпадение, тоже на smtp) не умеет tcp window scaling, _заткнул net.ipv4.tcp_window_scaling=0 на своей стороне. То ли SCO, то ли SUN Unix, то ди ещё какая гадость. Просветление пришло после недели разглядывания дампов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не устанавливается соединение по 25 порту" +/–

Сообщение от nucleo on 13-Июн-12, 13:02

>[оверквотинг удален]
>> следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25
>> порту, т. е. шлют syn пакет, далее сервер несколько раз пытается
>> ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят
>> письма с яндексовского почтового сервера.
> tcpdump в руки, снять успешную сессию с яндексом, снять сессию и безуспешными
> ack, смотреть на дампы до просветления (нет, я не буду смотреть).
> У меня один "оригинальный" клиент (и да, совпадение, тоже на smtp) не
> умеет tcp window scaling, _заткнул net.ipv4.tcp_window_scaling=0 на своей стороне. То
> ли SCO, то ли SUN Unix, то ди ещё какая гадость.
> Просветление пришло после недели разглядывания дампов.
Спасибо за ответ. Пробую...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не устанавливается соединение по 25 порту" +/–

Сообщение от Дядя_Федор on 13-Июн-12, 13:05

А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не судьба? Ну и первое, что приходит в голову (если все так, как Вы описали) - файрволл, этому баяну уже лет 100. МТУ же проверяется утилитой ping.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Не устанавливается соединение по 25 порту" +/–

Сообщение от nucleo on 13-Июн-12, 13:13

> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не
> судьба? Ну и первое, что приходит в голову (если все так,
> как Вы описали) - файрволл, этому баяну уже лет 100. МТУ
> же проверяется утилитой ping.
Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с 3G модема соединение устанавливается нормально, а с офиса в другом городе - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, вы же видите, что как клиенты все внешние серверы равноправны, плюс правила iptables точно такие же для других сервисов, которые работают как положено...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Не устанавливается соединение по 25 порту" +/–

Сообщение от Дядя_Федор on 13-Июн-12, 14:12

> Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с
> 3G модема соединение устанавливается нормально, а с офиса в другом городе
> - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически,
> вы же видите, что как клиенты все внешние серверы равноправны, плюс
> правила iptables точно такие же для других сервисов, которые работают как
> положено...
1. Отключите файрволл вообще! На уровне правил ACCEPT во ВСЕХ цепочках. Чисто для проверки. ;)
2. Про МТУ - ну попробуйте пулять в сервер с разными МТУ и выставленным флагом DF. ping -s 1500 -M do IP. Или вот так - hping -y IP -K 0 -d 1500

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Не устанавливается соединение по 25 порту" +/–

Сообщение от nucleo on 13-Июн-12, 14:14

>[оверквотинг удален]
>> 3G модема соединение устанавливается нормально, а с офиса в другом городе
>> - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически,
>> вы же видите, что как клиенты все внешние серверы равноправны, плюс
>> правила iptables точно такие же для других сервисов, которые работают как
>> положено...
> 1. Отключите файрволл вообще! На уровне правил ACCEPT во ВСЕХ цепочках. Чисто
> для проверки. ;)
> 2. Про МТУ - ну попробуйте пулять в сервер с разными МТУ
> и выставленным флагом DF. ping -s 1500 -M do IP. Или
> вот так - hping -y IP -K 0 -d 1500
1. Да отключал, не то:)
2. Хорошо, спасибо, буду пробовать...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Не устанавливается соединение по 25 порту" +/–

Сообщение от vg (??) on 13-Июн-12, 17:07

>> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не
>> судьба? Ну и первое, что приходит в голову (если все так,
>> как Вы описали) - файрволл, этому баяну уже лет 100. МТУ
>> же проверяется утилитой ping.
> Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с
> 3G модема соединение устанавливается нормально, а с офиса в другом городе
> - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически,
> вы же видите, что как клиенты все внешние серверы равноправны, плюс
> правила iptables точно такие же для других сервисов, которые работают как
> положено...
Не забудьте что некоторые провайдеры блокируют 25 порт полностью
Нам пришлось для одного офиса поменять почтовик на порт 2525, и перенастроить всех клиентов

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Не устанавливается соединение по 25 порту" +/–

Сообщение от nucleo on 13-Июн-12, 13:15

> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не
> судьба? Ну и первое, что приходит в голову (если все так,
> как Вы описали) - файрволл, этому баяну уже лет 100. МТУ
> же проверяется утилитой ping.
Чтобы быть подробней, внешний интерфейс один, его слушают нужные сервисы.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Не устанавливается соединение по 25 порту" +/–

Сообщение от redicool on 13-Июн-12, 15:04

>> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не
>> судьба? Ну и первое, что приходит в голову (если все так,
>> как Вы описали) - файрволл, этому баяну уже лет 100. МТУ
>> же проверяется утилитой ping.
> Чтобы быть подробней, внешний интерфейс один, его слушают нужные сервисы.
Проверяете telnet из удаленного офиса по IP или хостнейму? traceroute пробовали?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Не устанавливается соединение по 25 порту" +/–

Сообщение от LSTemp (ok) on 13-Июн-12, 16:41

> Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в
> следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25
> порту, т. е. шлют syn пакет, далее сервер несколько раз пытается
> ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят
> письма с яндексовского почтового сервера. С другими сервисами проблем никаких.
> Проблема смутно напоминает поведение при неправильном mtu, однако и в этом направлении
> решения пока не нашёл. Прошу помочь...
1)
посмотрите роуты на Вашем сервере, на тему куда ACK шлется. вполне вероятная причина для отруба других SMTP при работе с Вами что ответы улетают ч/з другой интерфейс, чем приходящий SYN (и следовательно ч/з другой IP).
2)
при возможности доступа к другим почтовым сервакам, которые так гадят, попробуйте телнетом с них до своего сервера цепануться.
3)
mtu Вы только для исходящих пакетов контролировать можете, так что попробуйте поиграться с размером пакета в ping (опции: указать размер пакета, запретить дефрагментацию пакета) до проблемного почтовика, чтобы выяснить в этом ли дело

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не устанавливается соединение по 25 порту"	+/–
Сообщение от Andrey Mitrofanov on 13-Июн-12, 12:56
> Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в > следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 > порту, т. е. шлют syn пакет, далее сервер несколько раз пытается > ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят > письма с яндексовского почтового сервера. tcpdump в руки, снять успешную сессию с яндексом, снять сессию и безуспешными ack, смотреть на дампы до просветления (нет, я не буду смотреть). У меня один "оригинальный" клиент (и да, совпадение, тоже на smtp) не умеет tcp window scaling, _заткнул net.ipv4.tcp_window_scaling=0 на своей стороне. То ли SCO, то ли SUN Unix, то ди ещё какая гадость. Просветление пришло после недели разглядывания дампов.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от nucleo on 13-Июн-12, 13:02
	>[оверквотинг удален] >> следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 >> порту, т. е. шлют syn пакет, далее сервер несколько раз пытается >> ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят >> письма с яндексовского почтового сервера. > tcpdump в руки, снять успешную сессию с яндексом, снять сессию и безуспешными > ack, смотреть на дампы до просветления (нет, я не буду смотреть). > У меня один "оригинальный" клиент (и да, совпадение, тоже на smtp) не > умеет tcp window scaling, _заткнул net.ipv4.tcp_window_scaling=0 на своей стороне. То > ли SCO, то ли SUN Unix, то ди ещё какая гадость. > Просветление пришло после недели разглядывания дампов. Спасибо за ответ. Пробую...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Не устанавливается соединение по 25 порту"	+/–
Сообщение от Дядя_Федор on 13-Июн-12, 13:05
А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не судьба? Ну и первое, что приходит в голову (если все так, как Вы описали) - файрволл, этому баяну уже лет 100. МТУ же проверяется утилитой ping.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от nucleo on 13-Июн-12, 13:13
	> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не > судьба? Ну и первое, что приходит в голову (если все так, > как Вы описали) - файрволл, этому баяну уже лет 100. МТУ > же проверяется утилитой ping. Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с 3G модема соединение устанавливается нормально, а с офиса в другом городе - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, вы же видите, что как клиенты все внешние серверы равноправны, плюс правила iptables точно такие же для других сервисов, которые работают как положено...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от Дядя_Федор on 13-Июн-12, 14:12
	> Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с > 3G модема соединение устанавливается нормально, а с офиса в другом городе > - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, > вы же видите, что как клиенты все внешние серверы равноправны, плюс > правила iptables точно такие же для других сервисов, которые работают как > положено... 1. Отключите файрволл вообще! На уровне правил ACCEPT во ВСЕХ цепочках. Чисто для проверки. ;) 2. Про МТУ - ну попробуйте пулять в сервер с разными МТУ и выставленным флагом DF. ping -s 1500 -M do IP. Или вот так - hping -y IP -K 0 -d 1500
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от nucleo on 13-Июн-12, 14:14
	>[оверквотинг удален] >> 3G модема соединение устанавливается нормально, а с офиса в другом городе >> - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, >> вы же видите, что как клиенты все внешние серверы равноправны, плюс >> правила iptables точно такие же для других сервисов, которые работают как >> положено... > 1. Отключите файрволл вообще! На уровне правил ACCEPT во ВСЕХ цепочках. Чисто > для проверки. ;) > 2. Про МТУ - ну попробуйте пулять в сервер с разными МТУ > и выставленным флагом DF. ping -s 1500 -M do IP. Или > вот так - hping -y IP -K 0 -d 1500 1. Да отключал, не то:) 2. Хорошо, спасибо, буду пробовать...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от vg (??) on 13-Июн-12, 17:07
	>> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не >> судьба? Ну и первое, что приходит в голову (если все так, >> как Вы описали) - файрволл, этому баяну уже лет 100. МТУ >> же проверяется утилитой ping. > Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с > 3G модема соединение устанавливается нормально, а с офиса в другом городе > - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, > вы же видите, что как клиенты все внешние серверы равноправны, плюс > правила iptables точно такие же для других сервисов, которые работают как > положено... Не забудьте что некоторые провайдеры блокируют 25 порт полностью Нам пришлось для одного офиса поменять почтовик на порт 2525, и перенастроить всех клиентов
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	5. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от nucleo on 13-Июн-12, 13:15
	> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не > судьба? Ну и первое, что приходит в голову (если все так, > как Вы описали) - файрволл, этому баяну уже лет 100. МТУ > же проверяется утилитой ping. Чтобы быть подробней, внешний интерфейс один, его слушают нужные сервисы.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	8. "Не устанавливается соединение по 25 порту"	+/–
	Сообщение от redicool on 13-Июн-12, 15:04
	>> А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не >> судьба? Ну и первое, что приходит в голову (если все так, >> как Вы описали) - файрволл, этому баяну уже лет 100. МТУ >> же проверяется утилитой ping. > Чтобы быть подробней, внешний интерфейс один, его слушают нужные сервисы. Проверяете telnet из удаленного офиса по IP или хостнейму? traceroute пробовали?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

9. "Не устанавливается соединение по 25 порту"	+/–
Сообщение от LSTemp (ok) on 13-Июн-12, 16:41
> Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в > следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 > порту, т. е. шлют syn пакет, далее сервер несколько раз пытается > ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят > письма с яндексовского почтового сервера. С другими сервисами проблем никаких. > Проблема смутно напоминает поведение при неправильном mtu, однако и в этом направлении > решения пока не нашёл. Прошу помочь... 1) посмотрите роуты на Вашем сервере, на тему куда ACK шлется. вполне вероятная причина для отруба других SMTP при работе с Вами что ответы улетают ч/з другой интерфейс, чем приходящий SYN (и следовательно ч/з другой IP). 2) при возможности доступа к другим почтовым сервакам, которые так гадят, попробуйте телнетом с них до своего сервера цепануться. 3) mtu Вы только для исходящих пакетов контролировать можете, так что попробуйте поиграться с размером пакета в ping (опции: указать размер пакета, запретить дефрагментацию пакета) до проблемного почтовика, чтобы выяснить в этом ли дело
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору