Salve,
ho un server SMTP dietro un firewall, esaminando i log del quale leggo
Jan 1 06:01:27 firewall kernel: DROPPED IN=eth0 OUT=eth1 SRC=mail
DST=68.48.145.124 LEN=81 TOS=0x00 PREC=0x00 TTL=63 ID=2411 DF PROTO=TCP
SPT=25 DPT=4175 SEQ=1933356682 ACK=1084039873 WINDOW=5840 RES=0x00 ACK
PSH FIN URGP=0
Jan 1 06:03:04 firewall kernel: DROPPED IN=eth0 OUT=eth1 SRC=mail
DST=68.48.145.124 LEN=81 TOS=0x00 PREC=0x00 TTL=63 ID=2413 DF PROTO=TCP
SPT=25 DPT=4175 SEQ=1933356682 ACK=1084039873 WINDOW=5840 RES=0x00 ACK
PSH FIN URGP=0
ovvero che un pacchetto di ritorno dal mail server è stato soppresso.
Vado a vedere sul server SMTP
Jan 1 05:53:42 mail postfix/smtpd[19086]: connect from
pcp08065796pcs.lvngst01.md.comcast.net[68.48.145.124]
Jan 1 05:55:14 mail postfix/smtpd[19086]: NOQUEUE: reject: RCPT from
pcp08065796pcs.lvngst01.md.comcast.net[68.48.145.124]: 550 <oz@xxxxxxx>:
Recipient address rejected: User unknown in local recipient table;
from=<BriannaHenderson@xxxxxxxxxxx> to=<oz@xxxxxxx> proto=SMTP
helo=<pcp08065796pcs.lvngst01.md.comcast.net>
Jan 1 06:00:14 mail postfix/smtpd[19086]: timeout after RCPT from
pcp08065796pcs.lvngst01.md.comcast.net[68.48.145.124]
Jan 1 06:00:14 mail postfix/smtpd[19086]: disconnect from
pcp08065796pcs.lvngst01.md.comcast.net[68.48.145.124]
e concludo che (a) era il solito spammer, ma (b) qualcosa non funziona.
I due host sono sincronizzati via NTP, per cui mail ha chiuso la
connessione: ciò deve aver comportato l'invio di un primo pacchetto con
FIN ACK diciamo alle 06:00:14, cui la controparte non ha risposto, e di
conseguenza alle 06:01:27, un secondo con ACK PSH FIN e poi un ultimo
tentativo analogo alle 06:03:04. Questi ultimi due devono essere stati
spediti dallo stack TCP/IP (kernel 2.6.12 Fedora), ma poi il è kernel
stesso che nella parte di connection tracking di iptables le rifiuta ?
Davide Bolcioni
--
There is no place like /home.
|