URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 229
[ Назад ]

Исходное сообщение
"Inspect ESMTP & FTP"
Отправлено Nightly , 24-Окт-12 11:34

Всем привет. Помогите разобраться. Есть PIX:
FWSM Firewall Version 3.1(3)
Device Manager Version 5.0(2)F
Compiled on Thu 06-Jul-06 12:44 by dalecki
ida-1-pix-1 up 120 days 3 hours
Hardware:   WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz
Flash TOSHIBA THNCF128MBA @ 0xc321, 20MB.
С августа месяца, после перехода на Clear Swift начались проблемы со внешней входящей почтой. В частности на почтовом севрере были сообщения:
collect: premature EOM: Connection reset by
SYSERR(root): collect: I/O error on connection from
Долго разбирались, перерыли весь гугл.. В итоге проблема оказалась в том, что на PIX были включены policy:
class-map class_sip_tcp
match port tcp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ils
  inspect netbios
  inspect rsh
  inspect skinny
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect xdmcp
  inspect esmtp
class class_sip_tcp
  inspect sip
После отключения этих самых policy,   прием внешней почты стал идеальным.
НО ОБНАРУЖИЛАСЬ ДРУГАЯ ПРОБЛЕМА: есть в сети сервер, который находится за пиксом, к нем из вне подключаются по ftp сторонние организации и выкладывают на него инфу.
Так вот, после выключения policy, клиенты подключаются, но выложить файлики не могут, выдает ошибку: ошибка записи файла (дословно не помню).
В итоге, после включения policy но только на ftp  - все работает нормально.
Почему так? Если можно в двух словах, или же ресурс, где можно прочитать и понять почему так происходит.
P.S Ранее почтовый сервер был развернут на виндовой машине, policy на PIX были включены, и проблем с приемом не было. Это особенности Linux для Clear Swift ??

Заранее спасибо за ответы )))

Содержание

Inspect ESMTP & FTP,BJ, 15:43 , 25-Окт-12
- Inspect ESMTP & FTP,Nightly, 19:16 , 25-Окт-12
  - Inspect ESMTP & FTP,BJ, 14:53 , 26-Окт-12

Сообщения в этом обсуждении

"Inspect ESMTP & FTP"
Отправлено BJ , 25-Окт-12 15:43

Отключите только инспект почты
policy-map global_policy
class inspection_default
NO INSPECT ESMTP

"Inspect ESMTP & FTP"
Отправлено Nightly , 25-Окт-12 19:16

> Отключите только инспект почты
> policy-map global_policy
> class inspection_default
> NO INSPECT ESMTP
именно так и сделала
оставила включенной инспекцию только для ftp.
результат - почта остановилась.
но выход был найден - включила инспецию для ftp трафика на только на нужный хост.. работает.. без глюков )))
меня интересно разобраться в логике этой проблемы.

"Inspect ESMTP & FTP"
Отправлено BJ , 26-Окт-12 14:53

То что первоначальный вариант не заработал, скорее всего глюк софта. На всех моих асах\пиксах это отрабатывает нормально.
По сути вопроса, Inspect ESMTP "портит" некоторые комманды smtp которые по его мнению небезопастны. На простые сервера это обычно не влияет, а на вот монстров типа MS Exchange действует просто убийственно.