Архив форумов ЦИТФорума

[ClassicalMusic]

На RedHat"е вздумал поставить строгий файрволл - по умолчанию все запрещать, а разрешать только нужное. Проблемма оказалась только с 110-м портом (поп-3): он у меня откликается, но через 30 секунд. Я через tcpdump посмотрел, куда он лезет. Оказалось, что ему нужно еще открыть 113-й порт (auth), я открыл, но торможение только уменьшилось до 10 секунд. А если у меня по умолчанию все пакеты принимаются, то время отклика сервера меньше 1 секунды. Может, просто надо еще какой порт открыть, а я не знаю.
(Естесствено, 53-й (ДНС) у меня открыт)
Спасибо за ответы.

[bss]

113 порт слушает устаревший юниксовый сервис
idend
я немного не понял
если у тебя рабочая станция под линуксом и ты сидя за ней пытаешься получить с pop3 сервера почту то закрытие 113 порта действительно дает такой эффект
тоже самое будет и с ftp
проще всего резать пакеты на 113 порт на файрволе с tcp-reset

например так:
iptables -A INPUT -p TCP -s 0/0 --dport 113 -j REJECT --reject-with tcp-reset

никакой задержки не будет

[ClassicalMusic]

Вопрос был не в том, как зарезать 113-й порт, а в том, что еще, кроме 110 и 113-го порта нужен стандартному РедХатному серверу поп3 для быстрого отклика.
Но самое интересное то, что я методом перебора и дихотомии определил, что он начинает работать быстро, если открыть 3-й (!) порт icmp.
Что за третий порт? Такого в /etc/services вообще нету ((((
Может, подскажете?

[crash]

icmp пакеты это как бы для прохождения пакетов кога даешь команду ping. если закрыть то получишь ответ что превышен интервал отклика или чтото типа этого)
малехо непонятно вырзаился, ну как смог)))

[ClassicalMusic]

-

[bss]

мне немного непонятно а вернее совсем непонятно что такое 3-й (!) порт icmp.
приложение которое хочет послать icmp пакет открывает специальный тип сокета называемый Raw Socket. Этот сокет не связан ни с каким портом. Приложение формирует ICMP пакет требуемого типа и просто пишет в этот сокет функцией sendto, а читает из него функцией recvfrom причем причем приложению доступны icmp пакеты адресованные не только ему.
Примером приложения использующего ICMP является утилита ping которая отправляет icmp пакет Echo Request (тип , он обрабатывается ip-модулем ядра которое отправляет его обратно меняя в заголовке тип 8 на тип

может я че не так понимаю
интересно узнать другие мнения

[bss]

слушай у тебя какой файрвол и как ты открываешь 3 порт icmp если не секрет

[ClassicalMusic]

ipchains -A input -p icmp -s 0/0 3 -d 0/0 3 -j ACCEPT
ipchains -A output -p icmp -s 0/0 3 -d 0/0 3 -j ACCEPT

Но интересно то, что доки по ipchains говорят, что "номера портов могут быть указаны лишь для TCP, UDP и (!) ICMP."
Так что наверно, это не лишено смысла. Но зачем эти порты ICMP и почему без открытого 3-го ICMP-порта сервак поп3 тормозит - непонятно!

[bss]

3 это не порт а тип icmp пакета (адресат недоступен) другое дело зачем поп3 серверу необходимо прохождение пакетов этого типа мне непонятно

утро вечера мудренее будем думать
может кто че подскажет

[ClassicalMusic]

На одной консоли даю
telnet localhost 110
А на другой
tcpdump -i all
Результат (я заменил все знаки < и > потому что форум их не любит))
Kernel filter, protocol ALL, TURBO mode (575 frames), datagram packet socket
tcpdump: listening on all devices
(...)
20:35:57.732615 lo localhost.localdomain.auth - localhost.localdomain.1134: R 0:0(0) ack 1
win (DF)

20:35:57.742615 lo - ns.1095 - ns.domain: 3925+ A? www.mydomain.ru. (37) (DF)

20:35:57.742615 lo - ns.1095 - ns.domain: 3925+ A? www.mydomain.ru. (37) (DF)

20:35:57.742615 lo - ns - ns: icmp: ns udp port domain unreachable (DF) [tos 0xc0]
(!!!!!)

20:35:57.742615 lo - ns - ns: icmp: ns udp port domain unreachable (DF) [tos 0xc0]

Так что очень похожи на правду ваши слова о том, что "3 это не порт а тип icmp пакета (адресат недоступен)"
Но почему "udp port domain unreachable?" Я же точно открыл 53-й порт - и как раз на udp! И причем здесь icmp к ДНС?
И еще (первая строка листинга) зачем стандартный ipop3d, входящий в состав РедХат"а лезет по "устаревшему 113-му порту (auth - cм. первую строку листинга)

Спасибо за ответы.

[bss]

дошло до меня наконец-то
в общем ситуация следующая
как я понял у тебя стоит поп3 сервер под линуксом. Ты забираешь с него почту поп3 клиентом работающим под windows.
происходит следующее:
когда клиент конектится к поп3 серверу поп3 делает запрос к службе idend (113 порт) и пытается запросить имя пользователя (сервис этот древний юниксовый восходит к тем временам когда на одном компьютере под управлением юникс работало много пользователей). Когда ты закрываешь 113 порт на файрволе то поп3 начинает долбиться и долбиться не получая ответа пока до него не дойдет что это бесполезно. Когда ты порт открыл то он сделал запрос но под виндой 113 порт не слушается и никогда не слушался поэтому винда сбрасывает icmp пакет (тип 3 код 3) - destination port unreacheble. В случае если на файрволе закрыто прохождение icmp пакетов этого типа то поп3 не получает сообщение об ошибке и продолжает ждать пока таймаут не выйдет

ну вот и все

если не хочешь этого гемороя сделай как я писал выше
при попытке поп3 сделать запрос делай на файрволе реджект с tcp reset вообще никаких тормозов не будет

удачи

[ClassicalMusic]

-