LINUX.ORG.RU
ФорумAdmin

iptables и прикреплённые файлы в теле писем


0

0

Проблема такая: имею шлюз под RedHat c локальной сети в нет всё работает отлично, но возникла проблема почта приходит и уходит на машинах сети посредством TheBat пустые письма уходят отлично, но стоит прикрепить какой нибудь файл, - всё соединение с сервером есть, отправка заголовка есть, а вот отправка тела письма - всё стоит несколько минут и выпадает в ошибку... Виноват iptables? Что может быть?


Ответ на: комментарий от anti_social

Да но в чём же тогда дело? Если с другой сети с того же ящика отправляю - уходит без проблем или на том же компе с того же Bata отправляю через мобильный интернет - опять таки уходит... может при пересылке атача открывается дополнительный порт? у меня порты жёстко указаны которым можно в инет...

BearMK
() автор топика
Ответ на: комментарий от borisych

Да, MTU вполне возможно, но тогда и инет будет тупить (у меня когда-то было, что появлялся только кусок страницы). Но информации мало, чтоб давать советы.

anti_social
()
Ответ на: комментарий от anti_social 

имею такую конфигурацию, только форвард больше так как роздан на несколько машин а не одну... 
# Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008 
*filter 
:INPUT DROP [1122:73168] 
:FORWARD DROP [394:23707] 
:OUTPUT DROP [16:3816] 
:allowed - [0:0] 
:bad_tcp_packets - [0:0] 
:icmp_packets - [0:0] 
:tcp_packets - [0:0] 
:udp_packets - [0:0] 
-A INPUT -p tcp -j bad_tcp_packets 
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT 
-A INPUT -s 192.168.1.4 -i lo -j ACCEPT 
-A INPUT -s 192.168.2.3 -i lo -j ACCEPT 
-A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -i eth0 -j tcp_packets 
-A INPUT -p udp -i eth0 -j udp_packets 
-A INPUT -p icmp -i eth0 -j icmp_packets 
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" --log-level 7 
-A FORWARD -p tcp -j bad_tcp_packets 
-A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -p tcp -m multiport --dports 25,53,80,81,110,5190 -j ACCEPT 
-A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -p tcp -m multiport --sports 25,53,80,81,110,5190 -j ACCEPT 
-A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -p udp -m multiport --dport 53 -j ACCEPT 
-A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -p udp -m multiport --sport 53 -j ACCEPT 
-A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -p icmp -j ACCEPT 
-A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -p icmp -j ACCEPT 
-A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_FORWARD_packet_died:" --log-level 7 
-A OUTPUT -p tcp -j bad_tcp_packets 
-A OUTPUT -s 127.0.0.1 -j ACCEPT 
-A OUTPUT -s 192.168.1.4 -j ACCEPT 
-A OUTPUT -s 192.168.2.3 -j ACCEPT 
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_OUTPUT_packet_died:" --log-level 7 
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A allowed -p tcp -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "NEW_NOT_SYN:" 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT 
-A tcp_packets -p tcp -m tcp --dport 25 -j allowed 
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed 
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed 
-A tcp_packets -p tcp -m tcp --dport 81 -j allowed 
-A tcp_packets -p tcp -m tcp --dport 110 -j allowed 
-A udp_packets -p udp -m udp --dport 53 -j allowed 
COMMIT 
# Completed on Mon Sep 22 15:51:08 2008 
# Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008 
*nat 
:PREROUTING ACCEPT [1213:100943] 
:POSTROUTING ACCEPT [126:7719] 
:OUTPUT ACCEPT [160:14904] 
# -A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.2.3 
COMMIT 
# Completed on Mon Sep 22 15:51:08 2008

BearMK
() автор топика
Ответ на: комментарий от BearMK

Лучше скажи, как подключен к инету. Посмотри tcpdump'ом не фрагментируются ли пакеты, попробуй поменять MTU на интерфейсе.

anti_social
()
Ответ на: комментарий от anti_social

на шлюзе 2 сетевых карты - одна смотрит в локалку, другая подключена напрямую к ADSL модему

BearMK
() автор топика

Смотрим man iptables, раздел про таргет TCPMSS. Там читаем:

1) Web browsers connect, then hang with no data received.

2) Small mail works fine, but large emails hang.

3) ssh works fine, but scp hangs after initial handshaking.

Пункт 2 как раз ваш случай

Лечится через

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

anonymous
()
Ответ на: комментарий от anonymous

Спасибо! Поехал к клиенту пробовать

BearMK
() автор топика

Проблема с MTU, но решать ее правильно нужно разрешением icmp, а не изменением MTU. Разреши полностью icmp и будет тебе счастье.

А вообще, это решается разрешением icmp сообщений 3-го типа.

ansky ★★★★★
()
Ответ на: комментарий от ansky

Спасибо всем за помошь! Всё решилось открытием в форварде icmp type 3

BearMK
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin