Hallo,
Das Problem trat auf, als ich folgende IPTabels Regeln aktiv hatte:
*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -d 141.AAA.BBB.CCC -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 141.AAA.240.CCC/24 -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn --dport 25 -j DROP -A INPUT -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn --dport 25 -j ACCEPT -A INPUT -s 141.AAA.13.CCC/24 -d 141.AAA.BBB.CCC -i eth0 -p tcp -m tcp --syn -m multiport --dports 22 -j ACCEPT -A INPUT -d 141.AAA.BBB.CCC -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s 141.AAA.BBB.CCC -o eth0 -j ACCEPT COMMIT
Das Problem konnte ich dadurch vermeiden, indem ich in der IPTables sämtliche Kommunikation von und zu dem Uniklinik Mailserver erlaubt habe: -A INPUT -s 149.AAA.BBB.CCC -d 141.AAA.BBB.CCC -j ACCEPT
erlaub testweise auch mal die anderen ICMP-Typen. Evtl. hast du es mit Paket-Fragmentierung aufgrund fehlschlagender Path-MTU-Discovery zu tun. Die Hosts tauschen sich per ICMP über die maximale Paket-Grösse aus. Wenn du das blockierst kann es zur Fragmentierung kommen, die sich bei längeren Verbindungen „hochschaukelt“ und in einem Timeout endet. Ich bin nicht sicher, ob Typ8 (Echo) hier ausreicht.
- Wie müssten IPTabels Rules auf einem Relay für sowohl eingehenden als auch ausgehenden Mailverkehr aussehen, damit es nicht zu
solchen Übertragungsproblemen kommt? Ich kann ja nicht die ganze Welt Whitelisten?!?
Ich mache immer nur Port 25 (ggf. noch 587) und ICMP (komplette) auf und das reicht eigentlich.
Viele Grüße, Jörn Bredereck