The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"кто косячит? Postfix, CentOS, провайдер, трафик, руки?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 12:55 
Добрый день.
Для начала поясню. У нас такой тариф, где после определенного порога снижается скорость. С 10 до 1 Мбит\сек.

Вчера народ пожаловался, что не ходит почта. Глянул в логи - куча писем с "timed out while receiving the initial server greeting". Стучусь телнетом на 25 порт - подключение к любым почтовикам проходит с 15-20 попытки. Никаких апдейтов ПО или железа не было, такого раньше не случалось, звоню в суппорт провайдера - говорят, что в это время мы выбрали лимит и скорость упала до мегабита - и дескать, поэтому канал может быть забит.
Ну ладно, допустим. Остаюсь на ночь. Стопаю службы, отключаю LAN - оставляю один postfix. Та же картина. Стопаю postfix - телнет то есть, то нет. Включаю конец в голый ноут с виндой - есть коннект. Обратно в сервер - есть, потом опять лажа. Трэйсроут то звездочки, то четыре хопа., чаще звездочки. На винде четыре хопа.

Ну не было такого раньше никогда! А мегабит вполне приличная скорость для работы одного сервиса.
Я уже не знаю, куда копать - помогите?
Какие конфиги, какие выводы прислать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от VolanD (ok) on 23-Июн-11, 13:01 
>[оверквотинг удален]
> дескать, поэтому канал может быть забит.
> Ну ладно, допустим. Остаюсь на ночь. Стопаю службы, отключаю LAN - оставляю
> один postfix. Та же картина. Стопаю postfix - телнет то есть,
> то нет. Включаю конец в голый ноут с виндой - есть
> коннект. Обратно в сервер - есть, потом опять лажа. Трэйсроут то
> звездочки, то четыре хопа., чаще звездочки. На винде четыре хопа.
> Ну не было такого раньше никогда! А мегабит вполне приличная скорость для
> работы одного сервиса.
> Я уже не знаю, куда копать - помогите?
> Какие конфиги, какие выводы прислать?

На буке телнет работает без проблем?  Пинги с сервера/ с бука как ходят?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 13:25 
> На буке телнет работает без проблем?  Пинги с сервера/ с бука
> как ходят?

пинги хорошо как с ноута, так и с сервера.
Втыкаешь конец в ноут - телнет есть. без сбоев. трасерт на 3-4 хопа.
Втыкаешь в сервер - телнет есть первые секунд десять, потом - на 15-20 раз. трасерт 30 звездочек с каким-то айпишником на 3-4 хопе.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от Andrey Mitrofanov on 23-Июн-11, 13:06 
> Стопаю службы, отключаю LAN - оставляю
> один postfix. Та же картина. Стопаю postfix - телнет то есть,
> то нет. Включаю конец в голый ноут с виндой - есть
> коннект. Обратно в сервер - есть, потом опять лажа. Трэйсроут то
> звездочки, то четыре хопа., чаще звездочки. На винде четыре хопа.
> Я уже не знаю, куда копать - помогите?

Если только сравнивать tcpdump-ы успешных сессий с винды и успешных/неудачных с lin*. :(

> Какие конфиги, какие выводы прислать?

tcpdump-ы в фомум?... :-[o] "Шурик, это же не наш метод!?"(с)Ы

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 13:31 

> Если только сравнивать tcpdump-ы успешных сессий с винды и успешных/неудачных с lin*.
> :(
>> Какие конфиги, какие выводы прислать?
> tcpdump-ы в фомум?... :-[o] "Шурик, это же не наш метод!?"(с)Ы

такой надо?
tcpdump -i ppp0 -n |grep '94.100.191.202.smtp'
для одной мэйлрушечки например?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 13:36 
А может как-то провайдер по ttl например определять, линукс или винда? штобы разными путями их пускать?

И чем можно так засрать канал мне, чтобы даже телнет на 25 порт не проходил? Ведь он в таком случае должен подвисать же, а не

"telnet: connect to address 94.100.191.202: Connection refused
telnet: Unable to connect to remote host: Connection refused"

Еще тупой вопрос. а может провайдер, допустим, часть протоколов разруливать одним способом, а другую пускать другим маршрутом? и надо ли ему это?

Ну не верю я, чтоб у меня postfix взял и сломался, удивительно совпав со снижением скорости провайдера. Такие снижения происходят регулярно каждый месяц, и почта ходила. Всегда.

Вот в филиале допустим есть сервер. ssh туда есть, ftp есть, pop3 есть, даже rdp есть внутрь сетки - по smtp - отбой. Дурь какая-то..

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "кто ж его знает"  +/
Сообщение от Andrey Mitrofanov on 23-Июн-11, 13:47 
> такой надо?

....... "Может, не надо, Шурик?"(ц)

> tcpdump -i ppp0 -n |grep '94.100.191.202.smtp'
> для одной мэйлрушечки например?

Наверное, что-нибудь типа
tcpdump -n -i ppp0 host 94.100.191.202 and port 25 -w file.txt
...

Железо на лин* проверить/поменять (сетевая, провода, ... далее везде)?
"Подозрительных" сообщений в логах не наблюдается?
Файерволы или трафик шейперы на лин* имеются?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "кто ж его знает"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 13:50 

> Железо на лин* проверить/поменять (сетевая, провода, ... далее везде)?
> "Подозрительных" сообщений в логах не наблюдается?
> Файерволы или трафик шейперы на лин* имеются?

Сетевухи махнул местами. Файрволл - iptables, при его отключении ничего не меняется.

Нет, ну сброса-то не дожно быть по телнету, долгодумание - да. Сброса - нет.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "кто ж его знает"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 13:57 
tcpdump -n -i ppp0 host 94.100.191.202 and port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0) win 5808 <mss 1452,sackOK,timestamp 8577377 0>
13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win 0

Это все. Кстати, -w file содержит какую-то лабуду, символы. Поэтому так.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "кто ж его знает"  +/
Сообщение от Andrey Mitrofanov on 23-Июн-11, 14:22 
> tcpdump -n -i ppp0 host 94.100.191.202 and port 25
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
> 13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0)
> win 5808 <mss 1452,sackOK,timestamp 8577377 0>
> 13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win
> 0

А дальше? Минуту-две-пять подождать -- продолжения банкета не наблюдается?

А с _винды_ аналогичный (+успешный) дамп?
А дамп _успешной сессии (которая, как я понял -- таки есть одна на 15-20 попыток? или путаю?) с lin* ?

> Это все. Кстати, -w file содержит какую-то лабуду, символы. Поэтому так.

А, да, это двоичный дамп. Сорри, не то. (Хотя его потом можно "читать" через '-r file' вместо слушания на живом интерфейсе ч-з '-i eth0'.)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "кто ж его знает"  +/
Сообщение от reader (ok) on 23-Июн-11, 14:24 
> tcpdump -n -i ppp0 host 94.100.191.202 and port 25
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
> 13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0)
> win 5808 <mss 1452,sackOK,timestamp 8577377 0>
> 13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win
> 0
> Это все. Кстати, -w file содержит какую-то лабуду, символы. Поэтому так.

про "ssh туда есть, ftp есть, pop3 есть, даже rdp есть внутрь сетки - по smtp - отбой." и спросить провайдера, только с начало tcpdump на CentOS и в филиале, что бы убедится что действительно не доходят пакеты

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "кто ж его знает"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 14:47 
успешная с сервера, появляется приветствие  220 smtp16.mail.ru ESMTP ready:
14:44:27.297292 IP 92.255.***.*.54185 > 94.100.177.1.smtp: S 3958075674:3958075674(0) win 5808 <mss 1452,sackOK,timestamp 11556680 0>
14:44:27.318404 IP 94.100.177.1.smtp > 92.255.***.*.54185: S 2504734452:2504734452(0) ack 3958075675 win 5792 <mss 1412,sackOK,timestamp 1982303283 11556680>
14:44:27.318438 IP 92.255.***.*.54185 > 94.100.177.1.smtp: . ack 1 win 5808 <nop,nop,timestamp 11556702 1982303283>
14:44:27.338484 IP 94.100.177.1.smtp > 92.255.***.*.54185: P 1:33(32) ack 1 win 5792 <nop,nop,timestamp 1982303303 11556702>
14:44:27.338524 IP 92.255.***.*.54185 > 94.100.177.1.smtp: . ack 33 win 5808 <nop,nop,timestamp 11556722 1982303303>

пишем quit

14:45:57.366226 IP 94.100.177.1.smtp > 92.255.***.*.54185: . ack 7 win 5792 <nop,nop,timestamp 1982393329 11646741>
14:45:57.366262 IP 94.100.177.1.smtp > 92.255.***.*.54185: P 33:48(15) ack 7 win 5792 <nop,nop,timestamp 1982393329 11646741>
14:45:57.366278 IP 92.255.***.*.54185 > 94.100.177.1.smtp: . ack 48 win 5808 <nop,nop,timestamp 11646761 1982393329>
14:45:57.366304 IP 94.100.177.1.smtp > 92.255.***.*.54185: F 48:48(0) ack 7 win 5792 <nop,nop,timestamp 1982393329 11646741>
14:45:57.366540 IP 92.255.***.*.54185 > 94.100.177.1.smtp: F 7:7(0) ack 49 win 5808 <nop,nop,timestamp 11646761 1982393329>
14:45:57.386957 IP 94.100.177.1.smtp > 92.255.***.*.54185: . ack 8 win 5792 <nop,nop,timestamp 1982393349 11646761>

щас для винды будем анализатор искать

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от Andrey Mitrofanov on 23-Июн-11, 15:28 
> Глянул в логи - куча
> писем с "timed out while receiving the initial server greeting".

Ну, соединение не устанавливается и отваливается по таймауту.

> Стучусь телнетом на 25 порт - подключение к любым почтовикам проходит с
> 15-20 попытки.

То есть в #11 -
>#11> успешная с сервера, появляется приветствие  220 smtp16.mail.ru ESMTP ready:
>#11> 14:44:27.297292 IP 92.255.***.*.54185 > 94.100.177.1.smtp: S 3958075674:3958075674(0) win 5808 <mss 1452,sackOK,timestamp 11556680 0>

это та самая "одна из 15-20", надо полагать. Норм.сессия, вроде... Два syn-а в начале, два fin-а в конце.

------

О! Вижу? (Да, сравниваем, сравниваем...)>#8> 13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0) win 5808 <mss 1452,sackOK,timestamp 8577377 0>
>#8> 13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win 0

Буковку R _под_ буковкой S видишь? :)

Это к тебе "притетел" откуда-то (может, от прова, может, от роутера какого... кривого?) RST сразу на SYN. Во-о-от... А сервер _почему-то не разорвал соединения (с connection refused каким-нибудь в логе), а ждал таймаута. (...RST упал в INVALID?)

Один из способов ограничения числа соедиений. Обычно используется на перегруженных серверах. И, похоже, не особо стеснительми провами-вредителями?... Может, они просто обрезание трафика так "починили" -- заменили дроп на rst, и вышло как-то не очень. Или mail.ru перегружен? Или mail.ru входящие криво отбивает? Или пров борется с рассылкой спама (исходящий smtp) -- и только на "перебравших" трафика?... Или....

....
На винде MSS-клампов же нет, наверное? Попробовать прикинуться веником: поставить MTU "руками" на lin* и убрать --clamp-mss-to-pmtu?

....
Вот ещё:
http://google.com/search?q=RST+site:opennet.ru
https://www.opennet.ru/tips/info/1705.shtml ~~~

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 15:46 

> Буковку R _под_ буковкой S видишь? :)
> Это к тебе "притетел" откуда-то (может, от прова, может, от роутера какого...
> кривого?) RST сразу на SYN. Во-о-от... А сервер _почему-то не разорвал
> соединения (с connection refused каким-нибудь в логе), а ждал таймаута. (...RST
> упал в INVALID?)

то есть вот так если попробую,

iptables -A INPUT -p tcp --sport 25 --tcp-flags RST RST -j DROP
то теоретически соединения моего почтовика не обресетишь?

> На винде MSS-клампов же нет, наверное? Попробовать прикинуться веником: поставить MTU "руками"

это я вот не понял пока, да и конец пока отодрать не могу в течении рабочего дня.
> на lin* и убрать --clamp-mss-to-pmtu?

это где?


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от Andrey Mitrofanov on 23-Июн-11, 16:13 
> то есть вот так если попробую,
> iptables -A INPUT -p tcp --sport 25 --tcp-flags RST RST -j DROP
> то теоретически соединения моего почтовика не обресетишь?

Может и прокатит... если исходный SYN к mail.ru не дропается вместе с выдачей ресета. Попробовать-то не повредит, наверное.

>> на lin* и убрать --clamp-mss-to-pmtu?
> это где?

В iptables-ах http://lartc.org/howto/lartc.cookbook.mtu-mss.html , вроде.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 23-Июн-11, 16:16 
>> то есть вот так если попробую,
>> iptables -A INPUT -p tcp --sport 25 --tcp-flags RST RST -j DROP
>> то теоретически соединения моего почтовика не обресетишь?
> Может и прокатит... если исходный SYN к mail.ru не дропается вместе с
> выдачей ресета. Попробовать-то не повредит, наверное.

Не, не канает...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 24-Июн-11, 07:52 
И таки-знаете, похоже что?
https://www.opennet.ru/openforum/vsluhforumID1/62907.html
и
http://daemonnews.opennet.ru/openforum/vsluhforumID1/75917.html
Почему такого раньше не было, не знаю.
только с поправкой -в теме вранье
smtp      inet  n       -       n       -       3       smtpd  - это принималка, ее можно и побольше.

smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp , это отправлялка, вот он-то у меня канал и валили, занизил до одного - вся очередь рассосалась.
Всем спасибо, заодно много нового узнал.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rr (ok) on 24-Июн-11, 09:04 
>[оверквотинг удален]
>    -       n
>       -    
>   -       smtp
> relay     unix  -    
>   -       n  
>      -      
>  -       smtp , это
> отправлялка, вот он-то у меня канал и валили, занизил до одного
> - вся очередь рассосалась.
> Всем спасибо, заодно много нового узнал.

И сколько же у Вас было установлено, что канал 1Мбит, "ложился"?


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rusya_rr (ok) on 24-Июн-11, 09:47 
>[оверквотинг удален]
>>       -
>>   -       smtp
>> relay     unix  -
>>   -       n
>>      -
>>  -       smtp , это
>> отправлялка, вот он-то у меня канал и валили, занизил до одного
>> - вся очередь рассосалась.
>> Всем спасибо, заодно много нового узнал.
> И сколько же у Вас было установлено, что канал 1Мбит, "ложился"?

было - "-"

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "кто косячит? Postfix, CentOS, провайдер, трафик, руки?"  +/
Сообщение от rr (ok) on 24-Июн-11, 13:10 
>[оверквотинг удален]
>>>   -       smtp
>>> relay     unix  -
>>>   -       n
>>>      -
>>>  -       smtp , это
>>> отправлялка, вот он-то у меня канал и валили, занизил до одного
>>> - вся очередь рассосалась.
>>> Всем спасибо, заодно много нового узнал.
>> И сколько же у Вас было установлено, что канал 1Мбит, "ложился"?
> было - "-"

а стало?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру