iptables, postfix y dovecot.. timeout after data

David Ballester ballester.david en gmail.com
Lun Jun 9 17:37:26 BST 2008 

El lun, 09-06-2008 a las 12:23 -0400, eclipse escribió:
> Hola hermanos:
> 
> Me encuentro ante un problema un poco desoncertante, referente a unos
> servidore debian, y aunque son un caso aislado, no encuentro una
> posible solucio.
> 
> El panorama:
> Existen dos servidores.. Servidor A (Router con Iptables), y Servidor
> B (Postfix con dovecot)
> Tambien existe dos clientes A y B, ambos conectados al lado LAN del
> Servidor A
> 
> El ServidorA, tiene 2 ips, una ip publica y una ip privada, la ip
> publica esta permitida para envio y retrasmision dentro de las
> configuraciones del servidorB
> 
> Cuando el cliente A, envia correo, es nateado en el router Servidor A,
> y se conecta por smtp sin autenticacion al servidor B, y envia correo
> correctamente, en cambio cuando el Cliente B se conecta de la misma
> forma, este puede enviar correos normales, pero no correos con adjunto
> 
> Veo el trafico en el Servidor A con tshark (cliente de cosola de
> wireshark), y la comunicacion parece funcionar correctamente, nada
> extranho o diferente a la comunicacion observada cuando el cliente A
> hace los mismo
> 
> Pero en los logs de Postfix, encuentro en cada ocasion del error en
> cliente B, veo que dice: 
> Jun  9 09:22:37 servidorB postfix/smtpd[9267]: timeout after DATA from
> servidorA.dominio.com [IP-Publica-ServidorA]
> 

me huele a que las reglas de iptables para el cliente B no son
stateful. 
Quizá has sido más restrictivo con el cliente B que con el A a nivel de
firewalling. Revisa las reglas


Seguramente si activas el log del firewalling verás que una vez el
cliente B ha conectado al puerto 25, intenta abrir otra conexión para
hablar con el proceso smtp que le haya tocado, y el firewall ( regla
stateless ? ) considera esa conexión como nueva y la bloquea ( a
diferencia de una regla stateful que consideraría esa conexión como
parte del diálogo inicial - y permitido - desde cliente B )


Entiendo que el NAT está bien configurado por lo que indicas de que
tanto A como B envían correctamente, siempre que no hablemos de adjuntos
para B 


D.

Más información sobre la lista de distribución ubuntu-es