https://www.opennet.ru/openforum/vsluhforumID1/93476.html Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 порту, т. е. шлют syn пакет, далее сервер несколько раз пытается ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят письма с яндексовского почтового сервера. С другими сервисами проблем никаких.<br>Проблема смутно напоминает поведение при неправильном mtu, однако и в этом направлении решения пока не нашёл. Прошу помочь...<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#10 Wed, 13 Jun 2012 13:07:04 GMT &gt;&gt; А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не <br>&gt;&gt; судьба? Ну и первое, что приходит в голову (если все так, <br>&gt;&gt; как Вы описали) - файрволл, этому баяну уже лет 100. МТУ <br>&gt;&gt; же проверяется утилитой ping.<br>&gt; Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с <br>&gt; 3G модема соединение устанавливается нормально, а с офиса в другом городе <br>&gt; - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, <br>&gt; вы же видите, что как клиенты все внешние серверы равноправны, плюс <br>&gt; правила iptables точно такие же для других сервисов, которые работают как <br>&gt; положено...<br><br>Не забудьте что некоторые провайдеры блокируют 25 порт полностью<br>Нам пришлось для одного офиса поменять почтовик на порт 2525, и перенастроить всех клиентов<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#9 Wed, 13 Jun 2012 12:41:23 GMT &gt; Есть сервер, на котором помимо postfix'а крутятся dovecot и httpd. Проблема в <br>&gt; следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 <br>&gt; порту, т. е. шлют syn пакет, далее сервер несколько раз пытается <br>&gt; ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят <br>&gt; письма с яндексовского почтового сервера. С другими сервисами проблем никаких.<br>&gt; Проблема смутно напоминает поведение при неправильном mtu, однако и в этом направлении <br>&gt; решения пока не нашёл. Прошу помочь...<br><br>1)<br>посмотрите роуты на Вашем сервере, на тему куда ACK шлется. вполне вероятная причина для отруба других SMTP при работе с Вами что ответы улетают ч/з другой интерфейс, чем приходящий SYN (и следовательно ч/з другой IP).<br><br>2)<br>при возможности доступа к другим почтовым сервакам, которые так гадят, попробуйте телнетом с них до своего сервера цепануться.<br><br>3)<br>mtu Вы только для исходящих пакетов контролировать можете, так что попробуйте поиграться с размером пакета в ping (опции: https://www.opennet.ru/openforum/vsluhforumID1/93476.html#8 Wed, 13 Jun 2012 11:04:15 GMT &gt;&gt; А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не <br>&gt;&gt; судьба? Ну и первое, что приходит в голову (если все так, <br>&gt;&gt; как Вы описали) - файрволл, этому баяну уже лет 100. МТУ <br>&gt;&gt; же проверяется утилитой ping.<br>&gt; Чтобы быть подробней, внешний интерфейс один, его слушают нужные сервисы.<br><br>Проверяете telnet из удаленного офиса по IP или хостнейму? traceroute пробовали?<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#7 Wed, 13 Jun 2012 10:14:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 3G модема соединение устанавливается нормально, а с офиса в другом городе <br>&gt;&gt; - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, <br>&gt;&gt; вы же видите, что как клиенты все внешние серверы равноправны, плюс <br>&gt;&gt; правила iptables точно такие же для других сервисов, которые работают как <br>&gt;&gt; положено...<br>&gt; 1. Отключите файрволл вообще! На уровне правил ACCEPT во ВСЕХ цепочках. Чисто <br>&gt; для проверки. ;) <br>&gt; 2. Про МТУ - ну попробуйте пулять в сервер с разными МТУ <br>&gt; и выставленным флагом DF. ping -s 1500 -M do IP. Или <br>&gt; вот так - hping -y IP -K 0 -d 1500 <br><br>1. Да отключал, не то:)<br>2. Хорошо, спасибо, буду пробовать...<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#6 Wed, 13 Jun 2012 10:12:27 GMT &gt; Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с <br>&gt; 3G модема соединение устанавливается нормально, а с офиса в другом городе <br>&gt; - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, <br>&gt; вы же видите, что как клиенты все внешние серверы равноправны, плюс <br>&gt; правила iptables точно такие же для других сервисов, которые работают как <br>&gt; положено...<br><br>1. Отключите файрволл вообще! На уровне правил ACCEPT во ВСЕХ цепочках. Чисто для проверки. ;)<br>2. Про МТУ - ну попробуйте пулять в сервер с разными МТУ и выставленным флагом DF. ping -s 1500 -M do IP. Или вот так - hping -y IP -K 0 -d 1500<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#5 Wed, 13 Jun 2012 09:15:41 GMT &gt; А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не <br>&gt; судьба? Ну и первое, что приходит в голову (если все так, <br>&gt; как Вы описали) - файрволл, этому баяну уже лет 100. МТУ <br>&gt; же проверяется утилитой ping.<br><br>Чтобы быть подробней, внешний интерфейс один, его слушают нужные сервисы.<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#4 Wed, 13 Jun 2012 09:13:38 GMT &gt; А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не <br>&gt; судьба? Ну и первое, что приходит в голову (если все так, <br>&gt; как Вы описали) - файрволл, этому баяну уже лет 100. МТУ <br>&gt; же проверяется утилитой ping.<br><br>Собственно, я не упомянул... Разумеется, проверял:) Самое интересное, что, допустим, с 3G модема соединение устанавливается нормально, а с офиса в другом городе - нет... Насчёт файрволла - проверил вдоль и поперёк, хотя, логически, вы же видите, что как клиенты все внешние серверы равноправны, плюс правила iptables точно такие же для других сервисов, которые работают как положено...<br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#3 Wed, 13 Jun 2012 09:05:10 GMT А руками проверить соединение к 25 порту (через телнет) СНАРУЖИ - не судьба? Ну и первое, что приходит в голову (если все так, как Вы описали) - файрволл, этому баяну уже лет 100. МТУ же проверяется утилитой ping.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93476.html#2 Wed, 13 Jun 2012 09:02:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt; следующем: судя по выводу tcpdump, внешние серверы пытаются подключиться по 25 <br>&gt;&gt; порту, т. е. шлют syn пакет, далее сервер несколько раз пытается <br>&gt;&gt; ответить syn/ack, но соединение не устанавливается. При этом как исключение приходят <br>&gt;&gt; письма с яндексовского почтового сервера.<br>&gt; tcpdump в руки, снять успешную сессию с яндексом, снять сессию и безуспешными <br>&gt; ack, смотреть на дампы до просветления (нет, я не буду смотреть). <br>&gt; У меня один "оригинальный" клиент (и да, совпадение, тоже на smtp) не <br>&gt; умеет tcp window scaling, _заткнул net.ipv4.tcp_window_scaling=0 на своей стороне. То <br>&gt; ли SCO, то ли SUN Unix, то ди ещё какая гадость. <br>&gt; Просветление пришло после недели разглядывания дампов.<br><br>Спасибо за ответ. Пробую...<br>