Добрый день.
Для начала поясню. У нас такой тариф, где после определенного порога снижается скорость. С 10 до 1 Мбит\сек.

Вчера народ пожаловался, что не ходит почта. Глянул в логи - куча писем с "timed out while receiving the initial server greeting". Стучусь телнетом на 25 порт - подключение к любым почтовикам проходит с 15-20 попытки. Никаких апдейтов ПО или железа не было, такого раньше не случалось, звоню в суппорт провайдера - говорят, что в это время мы выбрали лимит и скорость упала до мегабита - и дескать, поэтому канал может быть забит.
Ну ладно, допустим. Остаюсь на ночь. Стопаю службы, отключаю LAN - оставляю один postfix. Та же картина. Стопаю postfix - телнет то есть, то нет. Включаю конец в голый ноут с виндой - есть коннект. Обратно в сервер - есть, потом опять лажа. Трэйсроут то звездочки, то четыре хопа., чаще звездочки. На винде четыре хопа.

Ну не было такого раньше никогда! А мегабит вполне приличная скорость для работы одного сервиса.
Я уже не знаю, куда копать - помогите?
Какие конфиги, какие выводы прислать?

• кто косячит? Postfix, CentOS, провайдер, трафик, руки?,VolanD, 13:01 , 23-Июн-11
  • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 13:25 , 23-Июн-11
• кто косячит? Postfix, CentOS, провайдер, трафик, руки?,Andrey Mitrofanov, 13:06 , 23-Июн-11
  • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 13:31 , 23-Июн-11
    • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 13:36 , 23-Июн-11
    • кто ж его знает,Andrey Mitrofanov, 13:47 , 23-Июн-11
      • кто ж его знает,rusya_rr, 13:50 , 23-Июн-11
        • кто ж его знает,rusya_rr, 13:57 , 23-Июн-11
          • кто ж его знает,Andrey Mitrofanov, 14:22 , 23-Июн-11
          • кто ж его знает,reader, 14:24 , 23-Июн-11
            • кто ж его знает,rusya_rr, 14:47 , 23-Июн-11
• кто косячит? Postfix, CentOS, провайдер, трафик, руки?,Andrey Mitrofanov, 15:28 , 23-Июн-11
  • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 15:46 , 23-Июн-11
    • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,Andrey Mitrofanov, 16:13 , 23-Июн-11
      • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 16:16 , 23-Июн-11
        • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 07:52 , 24-Июн-11
          • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rr, 09:04 , 24-Июн-11
            • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rusya_rr, 09:47 , 24-Июн-11
              • кто косячит? Postfix, CentOS, провайдер, трафик, руки?,rr, 13:10 , 24-Июн-11

>[оверквотинг удален]
> дескать, поэтому канал может быть забит.
> Ну ладно, допустим. Остаюсь на ночь. Стопаю службы, отключаю LAN - оставляю
> один postfix. Та же картина. Стопаю postfix - телнет то есть,
> то нет. Включаю конец в голый ноут с виндой - есть
> коннект. Обратно в сервер - есть, потом опять лажа. Трэйсроут то
> звездочки, то четыре хопа., чаще звездочки. На винде четыре хопа.
> Ну не было такого раньше никогда! А мегабит вполне приличная скорость для
> работы одного сервиса.
> Я уже не знаю, куда копать - помогите?
> Какие конфиги, какие выводы прислать?

На буке телнет работает без проблем?  Пинги с сервера/ с бука как ходят?

> На буке телнет работает без проблем?  Пинги с сервера/ с бука
> как ходят?

пинги хорошо как с ноута, так и с сервера.
Втыкаешь конец в ноут - телнет есть. без сбоев. трасерт на 3-4 хопа.
Втыкаешь в сервер - телнет есть первые секунд десять, потом - на 15-20 раз. трасерт 30 звездочек с каким-то айпишником на 3-4 хопе.

> Стопаю службы, отключаю LAN - оставляю
> один postfix. Та же картина. Стопаю postfix - телнет то есть,
> то нет. Включаю конец в голый ноут с виндой - есть
> коннект. Обратно в сервер - есть, потом опять лажа. Трэйсроут то
> звездочки, то четыре хопа., чаще звездочки. На винде четыре хопа.
> Я уже не знаю, куда копать - помогите?

Если только сравнивать tcpdump-ы успешных сессий с винды и успешных/неудачных с lin*. :(

> Какие конфиги, какие выводы прислать?

tcpdump-ы в фомум?... :-[o] "Шурик, это же не наш метод!?"(с)Ы

> Если только сравнивать tcpdump-ы успешных сессий с винды и успешных/неудачных с lin*.
> :(
>> Какие конфиги, какие выводы прислать?
> tcpdump-ы в фомум?... :-[o] "Шурик, это же не наш метод!?"(с)Ы

такой надо?
tcpdump -i ppp0 -n |grep '94.100.191.202.smtp'
для одной мэйлрушечки например?

А может как-то провайдер по ttl например определять, линукс или винда? штобы разными путями их пускать?

И чем можно так засрать канал мне, чтобы даже телнет на 25 порт не проходил? Ведь он в таком случае должен подвисать же, а не

"telnet: connect to address 94.100.191.202: Connection refused
telnet: Unable to connect to remote host: Connection refused"

Еще тупой вопрос. а может провайдер, допустим, часть протоколов разруливать одним способом, а другую пускать другим маршрутом? и надо ли ему это?

Ну не верю я, чтоб у меня postfix взял и сломался, удивительно совпав со снижением скорости провайдера. Такие снижения происходят регулярно каждый месяц, и почта ходила. Всегда.

Вот в филиале допустим есть сервер. ssh туда есть, ftp есть, pop3 есть, даже rdp есть внутрь сетки - по smtp - отбой. Дурь какая-то..

> такой надо?

....... "Может, не надо, Шурик?"(ц)

> tcpdump -i ppp0 -n |grep '94.100.191.202.smtp'
> для одной мэйлрушечки например?

Наверное, что-нибудь типа
tcpdump -n -i ppp0 host 94.100.191.202 and port 25 -w file.txt
...

Железо на лин* проверить/поменять (сетевая, провода, ... далее везде)?
"Подозрительных" сообщений в логах не наблюдается?
Файерволы или трафик шейперы на лин* имеются?

> Железо на лин* проверить/поменять (сетевая, провода, ... далее везде)?
> "Подозрительных" сообщений в логах не наблюдается?
> Файерволы или трафик шейперы на лин* имеются?

Сетевухи махнул местами. Файрволл - iptables, при его отключении ничего не меняется.

Нет, ну сброса-то не дожно быть по телнету, долгодумание - да. Сброса - нет.

tcpdump -n -i ppp0 host 94.100.191.202 and port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0) win 5808 <mss 1452,sackOK,timestamp 8577377 0>
13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win 0

Это все. Кстати, -w file содержит какую-то лабуду, символы. Поэтому так.

> tcpdump -n -i ppp0 host 94.100.191.202 and port 25
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
> 13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0)
> win 5808 <mss 1452,sackOK,timestamp 8577377 0>
> 13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win
> 0

А дальше? Минуту-две-пять подождать -- продолжения банкета не наблюдается?

А с _винды_ аналогичный (+успешный) дамп?
А дамп _успешной сессии (которая, как я понял -- таки есть одна на 15-20 попыток? или путаю?) с lin* ?

> Это все. Кстати, -w file содержит какую-то лабуду, символы. Поэтому так.

А, да, это двоичный дамп. Сорри, не то. (Хотя его потом можно "читать" через '-r file' вместо слушания на живом интерфейсе ч-з '-i eth0'.)

> tcpdump -n -i ppp0 host 94.100.191.202 and port 25
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
> 13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0)
> win 5808 <mss 1452,sackOK,timestamp 8577377 0>
> 13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win
> 0
> Это все. Кстати, -w file содержит какую-то лабуду, символы. Поэтому так.

про "ssh туда есть, ftp есть, pop3 есть, даже rdp есть внутрь сетки - по smtp - отбой." и спросить провайдера, только с начало tcpdump на CentOS и в филиале, что бы убедится что действительно не доходят пакеты

успешная с сервера, появляется приветствие  220 smtp16.mail.ru ESMTP ready:
14:44:27.297292 IP 92.255.***.*.54185 > 94.100.177.1.smtp: S 3958075674:3958075674(0) win 5808 <mss 1452,sackOK,timestamp 11556680 0>
14:44:27.318404 IP 94.100.177.1.smtp > 92.255.***.*.54185: S 2504734452:2504734452(0) ack 3958075675 win 5792 <mss 1412,sackOK,timestamp 1982303283 11556680>
14:44:27.318438 IP 92.255.***.*.54185 > 94.100.177.1.smtp: . ack 1 win 5808 <nop,nop,timestamp 11556702 1982303283>
14:44:27.338484 IP 94.100.177.1.smtp > 92.255.***.*.54185: P 1:33(32) ack 1 win 5792 <nop,nop,timestamp 1982303303 11556702>
14:44:27.338524 IP 92.255.***.*.54185 > 94.100.177.1.smtp: . ack 33 win 5808 <nop,nop,timestamp 11556722 1982303303>

пишем quit

14:45:57.366226 IP 94.100.177.1.smtp > 92.255.***.*.54185: . ack 7 win 5792 <nop,nop,timestamp 1982393329 11646741>
14:45:57.366262 IP 94.100.177.1.smtp > 92.255.***.*.54185: P 33:48(15) ack 7 win 5792 <nop,nop,timestamp 1982393329 11646741>
14:45:57.366278 IP 92.255.***.*.54185 > 94.100.177.1.smtp: . ack 48 win 5808 <nop,nop,timestamp 11646761 1982393329>
14:45:57.366304 IP 94.100.177.1.smtp > 92.255.***.*.54185: F 48:48(0) ack 7 win 5792 <nop,nop,timestamp 1982393329 11646741>
14:45:57.366540 IP 92.255.***.*.54185 > 94.100.177.1.smtp: F 7:7(0) ack 49 win 5808 <nop,nop,timestamp 11646761 1982393329>
14:45:57.386957 IP 94.100.177.1.smtp > 92.255.***.*.54185: . ack 8 win 5792 <nop,nop,timestamp 1982393349 11646761>

щас для винды будем анализатор искать

> Глянул в логи - куча
> писем с "timed out while receiving the initial server greeting".

Ну, соединение не устанавливается и отваливается по таймауту.

> Стучусь телнетом на 25 порт - подключение к любым почтовикам проходит с
> 15-20 попытки.

То есть в #11 -
>#11> успешная с сервера, появляется приветствие  220 smtp16.mail.ru ESMTP ready:
>#11> 14:44:27.297292 IP 92.255.***.*.54185 > 94.100.177.1.smtp: S 3958075674:3958075674(0) win 5808 <mss 1452,sackOK,timestamp 11556680 0>

это та самая "одна из 15-20", надо полагать. Норм.сессия, вроде... Два syn-а в начале, два fin-а в конце.

------

О! Вижу? (Да, сравниваем, сравниваем...)>#8> 13:54:48.380445 IP 92.255.***.*.38857 > 94.100.191.202.smtp: S 827457457:827457457(0) win 5808 <mss 1452,sackOK,timestamp 8577377 0>
>#8> 13:54:48.624904 IP 94.100.191.202.smtp > 92.255.***.*.38857: R 0:0(0) ack 827457458 win 0

Буковку R _под_ буковкой S видишь? :)

Это к тебе "притетел" откуда-то (может, от прова, может, от роутера какого... кривого?) RST сразу на SYN. Во-о-от... А сервер _почему-то не разорвал соединения (с connection refused каким-нибудь в логе), а ждал таймаута. (...RST упал в INVALID?)

Один из способов ограничения числа соедиений. Обычно используется на перегруженных серверах. И, похоже, не особо стеснительми провами-вредителями?... Может, они просто обрезание трафика так "починили" -- заменили дроп на rst, и вышло как-то не очень. Или mail.ru перегружен? Или mail.ru входящие криво отбивает? Или пров борется с рассылкой спама (исходящий smtp) -- и только на "перебравших" трафика?... Или....

....
На винде MSS-клампов же нет, наверное? Попробовать прикинуться веником: поставить MTU "руками" на lin* и убрать --clamp-mss-to-pmtu?

....
Вот ещё:
http://google.com/search?q=RST+site:opennet.ru
http://www.opennet.me/tips/info/1705.shtml ~~~

> Буковку R _под_ буковкой S видишь? :)
> Это к тебе "притетел" откуда-то (может, от прова, может, от роутера какого...
> кривого?) RST сразу на SYN. Во-о-от... А сервер _почему-то не разорвал
> соединения (с connection refused каким-нибудь в логе), а ждал таймаута. (...RST
> упал в INVALID?)

то есть вот так если попробую,

iptables -A INPUT -p tcp --sport 25 --tcp-flags RST RST -j DROP
то теоретически соединения моего почтовика не обресетишь?

> На винде MSS-клампов же нет, наверное? Попробовать прикинуться веником: поставить MTU "руками"

это я вот не понял пока, да и конец пока отодрать не могу в течении рабочего дня.
> на lin* и убрать --clamp-mss-to-pmtu?

это где?

> то есть вот так если попробую,
> iptables -A INPUT -p tcp --sport 25 --tcp-flags RST RST -j DROP
> то теоретически соединения моего почтовика не обресетишь?

Может и прокатит... если исходный SYN к mail.ru не дропается вместе с выдачей ресета. Попробовать-то не повредит, наверное.

>> на lin* и убрать --clamp-mss-to-pmtu?
> это где?

В iptables-ах http://lartc.org/howto/lartc.cookbook.mtu-mss.html , вроде.

>> то есть вот так если попробую,
>> iptables -A INPUT -p tcp --sport 25 --tcp-flags RST RST -j DROP
>> то теоретически соединения моего почтовика не обресетишь?
> Может и прокатит... если исходный SYN к mail.ru не дропается вместе с
> выдачей ресета. Попробовать-то не повредит, наверное.

Не, не канает...

И таки-знаете, похоже что?
http://www.opennet.me/openforum/vsluhforumID1/62907.html
и
http://daemonnews.opennet.ru/openforum/vsluhforumID1/75917.html
Почему такого раньше не было, не знаю.
только с поправкой -в теме вранье
smtp      inet  n       -       n       -       3       smtpd  - это принималка, ее можно и побольше.

smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp , это отправлялка, вот он-то у меня канал и валили, занизил до одного - вся очередь рассосалась.
Всем спасибо, заодно много нового узнал.

>[оверквотинг удален]
>    -       n
>       -    
>   -       smtp
> relay     unix  -    
>   -       n  
>      -      
>  -       smtp , это
> отправлялка, вот он-то у меня канал и валили, занизил до одного
> - вся очередь рассосалась.
> Всем спасибо, заодно много нового узнал.

И сколько же у Вас было установлено, что канал 1Мбит, "ложился"?

>[оверквотинг удален]
>>       -
>>   -       smtp
>> relay     unix  -
>>   -       n
>>      -
>>  -       smtp , это
>> отправлялка, вот он-то у меня канал и валили, занизил до одного
>> - вся очередь рассосалась.
>> Всем спасибо, заодно много нового узнал.
> И сколько же у Вас было установлено, что канал 1Мбит, "ложился"?

было - "-"

>[оверквотинг удален]
>>>   -       smtp
>>> relay     unix  -
>>>   -       n
>>>      -
>>>  -       smtp , это
>>> отправлялка, вот он-то у меня канал и валили, занизил до одного
>>> - вся очередь рассосалась.
>>> Всем спасибо, заодно много нового узнал.
>> И сколько же у Вас было установлено, что канал 1Мбит, "ложился"?
> было - "-"

а стало?