1. Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!
    Verberg deze melding

Half open inkomende SMTP connecties?!?!?

Discussie in 'Internet - Email' gestart door nielsbasjes, 17 jan 2009.

Niet open voor verdere reacties.
  1. Hallo,

    Ik ben sinds een paar weken op Ziggo (verhuisd naar een wijk waar nog niets anders is...) en sinds eer gisteren mijn email server naar dit adres verhuisd. [NOTE: Alle servers hier draaien Linux]

    En ik krijg de boel niet aan de praat.

    Als ik nou helemaal geen SMTP verkeer zou ontvangen dan had ik wel geloofd dat Ziggo een firewall heeft staan. Maar dat is nu net het probleem: ik zie aan de lopende band pogingen om een SMTP naar mijn systeem op te zetten. Die komen zelfs binnen op de mail server, maar een volledige 3way tcp handshake komt niet tot stand.

    Op mijn firewall:
    $IPTABLES -A PREROUTING -t nat -p tcp -d ${PUB_IP} --dport 25 -j DNAT --to 172.21.13.8:25
    $IPTABLES -A FORWARD -p tcp -d 172.21.13.8 --dport 25 -o ${VLAN1_IF} -j ACCEPT

    En dan in /proc/net/ip_conntrack zie ik heel veel:
    tcp 6 56 SYN_RECV src=217.13.9.218 dst=83.81.46.112 sport=22151 dport=25 packets=1 bytes=48 src=172.21.13.8 dst=217.13.9.218 sport=25 dport=22151 packets=5 bytes=240 mark=0 secmark=0 use=1

    Op de mail server:
    [root@webmail ~]# netstat
    Active Internet connections (w/o servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 webmail.basjes.nl:smtp host-213-253-129-65.n:11373 SYN_RECV
    tcp 0 0 webmail.basjes.nl:smtp mail.gmul.co.il:26598 SYN_RECV
    tcp 0 0 webmail.basjes.nl:smtp host90.advance.com.ar:52714 SYN_RECV
    tcp 0 0 webmail.basjes.nl:smtp host90.advance.com.ar:52761 SYN_RECV

    M.a.w. Het SYN is door gestuurd naar de mail server en die heeft antwoord gegeven. Nu is het aan de externe server om de 3 way compleet te maken. En dat laatste gebeurt niet..... WAAROM ?!?!?!?!?!?

    Een webbased poortscanner gebruikt en die geeft heel duidelijk aan:
    83.81.46.112 isn't responding on port 25.
    En nu het gekke:

    Ik heb ook op mijn firewall:
    $IPTABLES -A PREROUTING -t nat -p tcp -d ${PUB_IP} --dport 2525 -j DNAT --to 172.21.13.8:25

    Dus een verbinding naar poort 2525 gaat ook door naar poort 25 op mijn mailserver.
    Zelfde poortscanner gedraaid:
    83.81.46.112 is responding on port 2525. Ik snap het niet meer. :giveup:
    Ik heb Ziggo gebeld en die beweren dat ze daar geen firewall op hebben. Het initiele connectie verzoek komt inderdaad aan maar een verbinding krijg ik niet. Als er een firewall zou staan dan had ik verwacht helemaal nooit iets te ontvangen.

    Wat doe ik fout? Hoe los is dit op?

    Niels Basjes
     
  2. Ik neem aan dat je dit topic gelezen hebt, al is ie wat lang....
    Hierin wordt aangegeven dat Ziggo port 25 incoming blokkeert. Alleen niet op welke manier. 't Feit dat je toch connectie's hebt op port 25 spreekt dat weer deels tegen (al zie ik ze niet in mijn fw-log...). Mogelijk dat ze ook nog naar de tcp-flag kijken bij 't blokkeren, waarom is me ook niet duidelijk. Op dat nivo ken ik TCP niet helemaal uit m'n hoofd.
    Overigens zie ik net dat je op 't casema netwerk zit. Ik zit op multikabel, mogelijk dat dat ook nog wat uitmaakt/verschilt.

    Feit is dat het op het Ziggo netwerk niet mogelijk is om een mailserver te draaien, tenzij Ziggo 't voor je forward. En als ik 't goed begrepen heb is dat na de overgang van Multikabel naar Ziggo niet meer mogelijk/wordt het niet meer ondersteund.

    Overigens maakt Ziggo zelf gebruik van Spamhause xBL's waardoor het zelfs niet meer mogelijk is om mail naar quicknet.nl te sturen vanaf een DHCP-adres. (Althans niet met mijn server :( )

    Ik ben dus bang dat 't lastig wordt.

    Nog even los van bovenstaande, waarom gebruik je een NAT-constructie voor je mail server? Je kunt 'm toch op je DHCP-adres laten luisteren? Teveel NAT-geknutsel blijkt in de praktijk ook problemen op te leveren, dus als je 't kunt voorkomen, liever. (heb ik begrepen van m'n collega, firewall beheerder en in mijn ogen een kundig iemand op dit vlak).

    PS: Vanaf 84.105.166.86 lukt 't me ook niet op een connectie te maken op 83.81.46.112 port 25.
     
  3. Hi!

    Het is ook geen firewall, het zijn access lists. Poort 25 staat dicht, inkomend, en bij ex-Casema klanten ook uitgaand. Je kan alleen naar smtp.ziggo/nl/smtp.casema.nl connecten vanaf ex-Casema Ipjes.

    Beide kanten is daar geblocked dus.

    Bye,
    Raymond.
     
  4. Hoi,

    Dat is naar buiten alleen via een centrale relay mag is voor mij helemaal prima. Gewoon een smarthost in mijn sendmail instellen.

    Het is juist het inkomende dat een probleem is.
    Ik heb nu de volgende opties (voor zover ik nu kan overzien):
    - Ik regel externe email hosting (inkopen/server bij pa&ma/...)
    - Ik regel een relaying die de email bij mij aflevert op een andere poort dan 25.

    Wat is de handigste oplossing?

    Overigens: Wat is het verschil tussen een firewall en een accesslist ?!?!?

    Niels
     
  5. Hi!

    Wat de handigste is moet je zelf bepalen, vermoedelijk externe hosting, voor die paar euro in de maand (wat je daarvoor kwijt bent) kun je nog niet eens altijd je pc aan laten staan thuis, das al vaak duurder. Stroom...

    Bye,
    Raymond.
     
  6. Mee eens.

    Het was voor mij belangrijk dat ik het heel erg snel kon regelen. Dus voor nu staat mijn email server bij mijn ouders. Die hebben de goedkoopste ADSL van XS4ALL. Je weet wel: Vast ip adres, geen firewall gez:censored:, gewoon een internet verbinding die werkt zoals je verwacht dat een internet verbinding werkt.

    Helaas is Ziggo in deze wijk de 'minst slechte' van de beschikbare opties die een normaal bedrag per maand vragen.
     
Niet open voor verdere reacties.

Deel Deze Pagina