Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Cервер pop3 и строгий firewall (+)

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
ClassicalMusic
Гость





СообщениеДобавлено: Пн Фев 10 2003 13:23    Заголовок сообщения: Cервер pop3 и строгий firewall (+) Ответить с цитатой

На RedHat"е вздумал поставить строгий файрволл - по умолчанию все запрещать, а разрешать только нужное. Проблемма оказалась только с 110-м портом (поп-3): он у меня откликается, но через 30 секунд. Я через tcpdump посмотрел, куда он лезет. Оказалось, что ему нужно еще открыть 113-й порт (auth), я открыл, но торможение только уменьшилось до 10 секунд. А если у меня по умолчанию все пакеты принимаются, то время отклика сервера меньше 1 секунды. Может, просто надо еще какой порт открыть, а я не знаю.
(Естесствено, 53-й (ДНС) у меня открыт)
Спасибо за ответы.
Вернуться к началу
bss
Гость





СообщениеДобавлено: Пн Фев 10 2003 13:47    Заголовок сообщения: Re: Cервер pop3 и строгий firewall (+) Ответить с цитатой

113 порт слушает устаревший юниксовый сервис
idend
я немного не понял
если у тебя рабочая станция под линуксом и ты сидя за ней пытаешься получить с pop3 сервера почту то закрытие 113 порта действительно дает такой эффект
тоже самое будет и с ftp
проще всего резать пакеты на 113 порт на файрволе с tcp-reset

например так:
iptables -A INPUT -p TCP -s 0/0 --dport 113 -j REJECT --reject-with tcp-reset

никакой задержки не будет
Вернуться к началу
ClassicalMusic
Гость





СообщениеДобавлено: Пн Фев 10 2003 16:35    Заголовок сообщения: Да вопрос был не совсем в том. Но есть и новый вопрос: что такое 3-й порт ICMP(+) Ответить с цитатой

Вопрос был не в том, как зарезать 113-й порт, а в том, что еще, кроме 110 и 113-го порта нужен стандартному РедХатному серверу поп3 для быстрого отклика.
Но самое интересное то, что я методом перебора и дихотомии определил, что он начинает работать быстро, если открыть 3-й (!) порт icmp.
Что за третий порт? Такого в /etc/services вообще нету ((((
Может, подскажете?
Вернуться к началу
crash



Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск

СообщениеДобавлено: Пн Фев 10 2003 18:02    Заголовок сообщения: Re: Да вопрос был не совсем в том. Но есть и новый вопрос: что такое 3-й порт ICMP(+) Ответить с цитатой

icmp пакеты это как бы для прохождения пакетов кога даешь команду ping. если закрыть то получишь ответ что превышен интервал отклика или чтото типа этого)
малехо непонятно вырзаился, ну как смог)))
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ClassicalMusic
Гость





СообщениеДобавлено: Пн Фев 10 2003 18:17    Заголовок сообщения: Ну, то, что icmp отвечает за ping, я знаю. Но почему именно 3-й порт? И, кстати, я открываю input и output с 3-го и на 3-й порт Ответить с цитатой

-
Вернуться к началу
bss
Гость





СообщениеДобавлено: Пн Фев 10 2003 18:29    Заголовок сообщения: Re: Да вопрос был не совсем в том. Но есть и новый вопрос: что такое 3-й порт ICMP(+) Ответить с цитатой

мне немного непонятно а вернее совсем непонятно что такое 3-й (!) порт icmp.
приложение которое хочет послать icmp пакет открывает специальный тип сокета называемый Raw Socket. Этот сокет не связан ни с каким портом. Приложение формирует ICMP пакет требуемого типа и просто пишет в этот сокет функцией sendto, а читает из него функцией recvfrom причем причем приложению доступны icmp пакеты адресованные не только ему.
Примером приложения использующего ICMP является утилита ping которая отправляет icmp пакет Echo Request (тип Cool, он обрабатывается ip-модулем ядра которое отправляет его обратно меняя в заголовке тип 8 на тип

может я че не так понимаю
интересно узнать другие мнения
Вернуться к началу
bss
Гость





СообщениеДобавлено: Пн Фев 10 2003 18:33    Заголовок сообщения: Re: Ну, то, что icmp отвечает за ping, я знаю. Но почему именно 3-й порт? И, кстати, я открываю input и output с 3-го и на 3-й Ответить с цитатой

слушай у тебя какой файрвол и как ты открываешь 3 порт icmp если не секрет
Вернуться к началу
ClassicalMusic
Гость





СообщениеДобавлено: Пн Фев 10 2003 19:05    Заголовок сообщения: Мои познания в firewall более чем ультраскромные, потому не обессудьте (+) Ответить с цитатой

ipchains -A input -p icmp -s 0/0 3 -d 0/0 3 -j ACCEPT
ipchains -A output -p icmp -s 0/0 3 -d 0/0 3 -j ACCEPT

Но интересно то, что доки по ipchains говорят, что "номера портов могут быть указаны лишь для TCP, UDP и (!) ICMP."
Так что наверно, это не лишено смысла. Но зачем эти порты ICMP и почему без открытого 3-го ICMP-порта сервак поп3 тормозит - непонятно!
Вернуться к началу
bss
Гость





СообщениеДобавлено: Пн Фев 10 2003 19:22    Заголовок сообщения: Re: Мои познания в firewall более чем ультраскромные, потому не обессудьте (+) Ответить с цитатой

3 это не порт а тип icmp пакета (адресат недоступен) другое дело зачем поп3 серверу необходимо прохождение пакетов этого типа мне непонятно

утро вечера мудренее будем думать
может кто че подскажет
Вернуться к началу
ClassicalMusic
Гость





СообщениеДобавлено: Пн Фев 10 2003 20:12    Заголовок сообщения: Вот это уже дельно! Действительно, о чем-то похожем говорит и tcpdump, когда я слушаю интерфейс во время pop3-соединения (+) Ответить с цитатой

На одной консоли даю
telnet localhost 110
А на другой
tcpdump -i all
Результат (я заменил все знаки < и > потому что форум их не любит))
Kernel filter, protocol ALL, TURBO mode (575 frames), datagram packet socket
tcpdump: listening on all devices
(...)
20:35:57.732615 lo localhost.localdomain.auth - localhost.localdomain.1134: R 0:0(0) ack 1
win (DF)

20:35:57.742615 lo - ns.1095 - ns.domain: 3925+ A? www.mydomain.ru. (37) (DF)

20:35:57.742615 lo - ns.1095 - ns.domain: 3925+ A? www.mydomain.ru. (37) (DF)

20:35:57.742615 lo - ns - ns: icmp: ns udp port domain unreachable (DF) [tos 0xc0]
(!!!!!)

20:35:57.742615 lo - ns - ns: icmp: ns udp port domain unreachable (DF) [tos 0xc0]

Так что очень похожи на правду ваши слова о том, что "3 это не порт а тип icmp пакета (адресат недоступен)"
Но почему "udp port domain unreachable?" Я же точно открыл 53-й порт - и как раз на udp! И причем здесь icmp к ДНС?
И еще (первая строка листинга) зачем стандартный ipop3d, входящий в состав РедХат"а лезет по "устаревшему 113-му порту (auth - cм. первую строку листинга)

Спасибо за ответы.
Вернуться к началу
bss
Гость





СообщениеДобавлено: Вт Фев 11 2003 10:49    Заголовок сообщения: Re: Вот это уже дельно! Действительно, о чем-то похожем говорит и tcpdump, когда я слушаю интерфейс во время pop3-соединения (+ Ответить с цитатой

дошло до меня наконец-то
в общем ситуация следующая
как я понял у тебя стоит поп3 сервер под линуксом. Ты забираешь с него почту поп3 клиентом работающим под windows.
происходит следующее:
когда клиент конектится к поп3 серверу поп3 делает запрос к службе idend (113 порт) и пытается запросить имя пользователя (сервис этот древний юниксовый восходит к тем временам когда на одном компьютере под управлением юникс работало много пользователей). Когда ты закрываешь 113 порт на файрволе то поп3 начинает долбиться и долбиться не получая ответа пока до него не дойдет что это бесполезно. Когда ты порт открыл то он сделал запрос но под виндой 113 порт не слушается и никогда не слушался поэтому винда сбрасывает icmp пакет (тип 3 код 3) - destination port unreacheble. В случае если на файрволе закрыто прохождение icmp пакетов этого типа то поп3 не получает сообщение об ошибке и продолжает ждать пока таймаут не выйдет

ну вот и все

если не хочешь этого гемороя сделай как я писал выше
при попытке поп3 сделать запрос делай на файрволе реджект с tcp reset вообще никаких тормозов не будет

удачи
Вернуться к началу
ClassicalMusic
Гость





СообщениеДобавлено: Ср Фев 12 2003 10:30    Заголовок сообщения: Ответ на: "Re: Вот это уже дельно! Действ..- bss- 11-02-2003 10:49" Thanks (-) Ответить с цитатой

-
Вернуться к началу
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...