Qmail - DNS Problem

MANX · 07.03.2002, 09:13

Hi @all!

Folgende interessante Frage:
Ich betreibe einen Mailserver mit qmail, vpopmail, courier-imap, squirrelmail.
MX-Einträge beim DNS des Providers passen.
Hängt der Mailserver mit der offiziellen IP direkt am Internet funktioniert auch alles bestens.

Ich hätte den Mailserver aber gerne in ein DMZ gestellt, wo auch der Webserver steht.
Das DMZ muss leider mit privaten IPs konfiguriert werden (obwohl genug offizielle IPs zur Verfügung stünden), da der Provider mir den Router nicht umkonfiguriert.

Somit hat die Firewall am externen Interface 3 offizielle IPs, welche mit SNAT/DNAT ins DMZ geNATet werden.

Der Webserver hat auch kein Problem damit, der Mailserver jedoch sehr wohl.
Denn es spießt sich mit der Namesauflösung. Steht der Mailserver im DMZ mit einer private IP, braucht er bei einem "telnet 192.168.0.3 25" (oder auch 110) > 60 sek. bis er reagiert.
Ein "telnet localhost 25" funktioniert pfeilschnell, ebenso hat der Courier-Imap bei "telnet 192.168.0.3 143" keine Verzögerung.

KEINE Fehler im IPTABLES-Script!!

Code:

tcpdump port 53: (Mailserver mit offizieller IP)
07:46:51.323928 mail.xxxxx.ac.at.64715 > dns1.lsr-noe.gv.at.domain:
61116+ PTR? xxx.xxx.170.193.in-addr.arpa. (46) (DF)
07:46:51.339403 dns1.lsr-noe.gv.at.domain > mail.xxxxx.ac.at.64715:
61116* 1/2/1 (142)

Code:

tcpdump port 53: (Mailserver mit privater IP)
08:55:08.373922 mail.xxxxx.ac.at.64715 > dns1.lsr-noe.gv.at.domain
61116+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF)
08:55:11.399927 mail.xxxxx.ac.at.59258 > dns2.lsr-noe.gv.at.domain
28701+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF)
08:55:14.429920 mail.xxxxx.ac.at.58547 > dns1.lsr-noe.gv.at.domain
64722+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF)
08:55:25.459918 mail.xxxxx.ac.at.10118 > dns2.lsr-noe.gv.at.domain
31416+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF)
08:55:36.489917 mail.xxxxx.ac.at.54330 > dns1.lsr-noe.gv.at.domain
50865+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF)
08:56:06.846579 dns2.lsr-noe.gv.at.domain > mail.xxxxx.ac.at.59258:
28701 ServFail 0/0/0 (42)
08:56:20.845193 dns2.lsr-noe.gv.at.domain > mail.xxxxx.ac.at.10118:
31416 ServFail 0/0/0 (42)
08:56:21.519926 mail.xxxxx.ac.at.48823 > dns2.lsr-noe.gv.at.domain
6869+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF)

Vielleicht hat ja wer eine Idee.

Grüße

Manx

Sloter · 07.03.2002, 10:10

Das selbe wie bei mir

Das mit dem Tcpwrapper war es bei mir auch nicht.
Sobald die Maschine eine private IP hat, habe ich auch die Verzögerungen

Sloter

MANX · 07.03.2002, 10:21

Hi!

Begrüße meinen Qmail-Leidgenossen.

Das ganze ist ein schöner Sch**ß.
Hab' auch bei www.linuxinfoserver.de/forums bzw. bei http://www.treiber-forum.de/forum/fo...php?forumid=17 gepostet.

Mal schauen, vielleicht kommt was raus.

Grüße

Manx

Sloter · 07.03.2002, 11:34

--------------zensur on-------------
$§%&*##

---------------zensur off----------

Verwendest du auch Suse?

Sloter

MANX · 07.03.2002, 12:19

Jo!

Auf der Kistn mit dem Problem SuSE 7.3!
Auf meinem Testrechner z'Haus aber ähnliche Situation mit Debian.

Sicher ist Qmail sch**ßt auf die /etc/hosts.
Beim reverse DNS Lookup der internen IP läuft er in ein Timeout.
Genau 30 Sekunden pro DNS macht insgesamt 1 Min.

Grüße

Manx

Sloter · 07.03.2002, 13:59

Habe im Moment wenig Zeit zum testen.

Vielleicht müssen wir qmail mit einem bestimmten Flag starten.

Sloter

Ps: Kämpfe gerade mit einer Firewall (IPtables) die nach ca 30 Minuten komplett zumacht und auf beleidigt spielt.

MANX · 07.03.2002, 15:23

Hi!

Ich glaub ich komm der Sache näher!
Schuld ist der tcpwrapper!

Bei mir zu Hause reagiert er mittlerweile auf ein telnet "192.168.0.3 110/25" auch blitzschnell

.

/var/qmail/supervise/qmail-smtpd/run:

Code:

#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
MAXSMTPD=`cat /var/qmail/control/concurrencyincoming`
exec /usr/local/bin/softlimit -m 2000000 \
    /usr/bin/tcpserver -H -R -P -l 0 -x /home/vpopmail/etc/tcp.smtp.cdb -c "$MAXSMTPD" \
        -u "$QMAILDUID" -g "$NOFILESGID" 0 smtp /var/qmail/bin/qmail-smtpd 2>&1

/var/qmail/supervise/qmail-pop3d/run:

Code:

#!/bin/sh
exec /usr/bin/tcpserver -P -H -l 0 -R 0 pop3 \ 
/var/qmail/bin/qmail-popup mail.xxx.ac.at /home/vpopmail/bin/vchkpw \ 
/var/qmail/bin/qmail-pop3d Maildir 2>&1

Manpages lesen lohnt sich!

Werd' das bald auf meinem Sorgenkind testen und ihn wieder ins DMZ manövrieren.

Ich hoff', dass sich's bei Dir damit auch lösen läßt.
[edit] Bei mir hat's einen REBOOT gebraucht!
und das fette ist kein Einser, "dash ell zero" (-l 0)

Grüße

Manx

Sloter · 07.03.2002, 17:54

Du wirst viel Freude haben morgen in der Firma

soeben getestet

Danke

Sloter

MANX · 07.03.2002, 18:17

Super

Manx

07.03.2002, 09:13	#1
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Qmail - DNS Problem Hi @all! Folgende interessante Frage: Ich betreibe einen Mailserver mit qmail, vpopmail, courier-imap, squirrelmail. MX-Einträge beim DNS des Providers passen. Hängt der Mailserver mit der offiziellen IP direkt am Internet funktioniert auch alles bestens. Ich hätte den Mailserver aber gerne in ein DMZ gestellt, wo auch der Webserver steht. Das DMZ muss leider mit privaten IPs konfiguriert werden (obwohl genug offizielle IPs zur Verfügung stünden), da der Provider mir den Router nicht umkonfiguriert. Somit hat die Firewall am externen Interface 3 offizielle IPs, welche mit SNAT/DNAT ins DMZ geNATet werden. Der Webserver hat auch kein Problem damit, der Mailserver jedoch sehr wohl. Denn es spießt sich mit der Namesauflösung. Steht der Mailserver im DMZ mit einer private IP, braucht er bei einem "telnet 192.168.0.3 25" (oder auch 110) > 60 sek. bis er reagiert. Ein "telnet localhost 25" funktioniert pfeilschnell, ebenso hat der Courier-Imap bei "telnet 192.168.0.3 143" keine Verzögerung. KEINE Fehler im IPTABLES-Script!! Code: tcpdump port 53: (Mailserver mit offizieller IP) 07:46:51.323928 mail.xxxxx.ac.at.64715 > dns1.lsr-noe.gv.at.domain: 61116+ PTR? xxx.xxx.170.193.in-addr.arpa. (46) (DF) 07:46:51.339403 dns1.lsr-noe.gv.at.domain > mail.xxxxx.ac.at.64715: 61116* 1/2/1 (142) Code: tcpdump port 53: (Mailserver mit privater IP) 08:55:08.373922 mail.xxxxx.ac.at.64715 > dns1.lsr-noe.gv.at.domain 61116+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF) 08:55:11.399927 mail.xxxxx.ac.at.59258 > dns2.lsr-noe.gv.at.domain 28701+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF) 08:55:14.429920 mail.xxxxx.ac.at.58547 > dns1.lsr-noe.gv.at.domain 64722+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF) 08:55:25.459918 mail.xxxxx.ac.at.10118 > dns2.lsr-noe.gv.at.domain 31416+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF) 08:55:36.489917 mail.xxxxx.ac.at.54330 > dns1.lsr-noe.gv.at.domain 50865+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF) 08:56:06.846579 dns2.lsr-noe.gv.at.domain > mail.xxxxx.ac.at.59258: 28701 ServFail 0/0/0 (42) 08:56:20.845193 dns2.lsr-noe.gv.at.domain > mail.xxxxx.ac.at.10118: 31416 ServFail 0/0/0 (42) 08:56:21.519926 mail.xxxxx.ac.at.48823 > dns2.lsr-noe.gv.at.domain 6869+ PTR? 3.0.168.192.in-addr.arpa. (42) (DF) Vielleicht hat ja wer eine Idee. Grüße Manx

07.03.2002, 15:23	#7
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Ich glaub ich komm der Sache näher! Schuld ist der tcpwrapper! Bei mir zu Hause reagiert er mittlerweile auf ein telnet "192.168.0.3 110/25" auch blitzschnell . /var/qmail/supervise/qmail-smtpd/run: Code: #!/bin/sh QMAILDUID=`id -u qmaild` NOFILESGID=`id -g qmaild` MAXSMTPD=`cat /var/qmail/control/concurrencyincoming` exec /usr/local/bin/softlimit -m 2000000 \ /usr/bin/tcpserver -H -R -P -l 0 -x /home/vpopmail/etc/tcp.smtp.cdb -c "$MAXSMTPD" \ -u "$QMAILDUID" -g "$NOFILESGID" 0 smtp /var/qmail/bin/qmail-smtpd 2>&1 /var/qmail/supervise/qmail-pop3d/run: Code: #!/bin/sh exec /usr/bin/tcpserver -P -H -l 0 -R 0 pop3 \ /var/qmail/bin/qmail-popup mail.xxx.ac.at /home/vpopmail/bin/vchkpw \ /var/qmail/bin/qmail-pop3d Maildir 2>&1 Manpages lesen lohnt sich! Werd' das bald auf meinem Sorgenkind testen und ihn wieder ins DMZ manövrieren. Ich hoff', dass sich's bei Dir damit auch lösen läßt. [edit] Bei mir hat's einen REBOOT gebraucht! und das fette ist kein Einser, "dash ell zero" (-l 0) Grüße Manx

07.03.2002, 10:10	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Das selbe wie bei mir Das mit dem Tcpwrapper war es bei mir auch nicht. Sobald die Maschine eine private IP hat, habe ich auch die Verzögerungen Sloter

07.03.2002, 10:21	#3
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Begrüße meinen Qmail-Leidgenossen. Das ganze ist ein schöner Sch**ß. Hab' auch bei www.linuxinfoserver.de/forums bzw. bei http://www.treiber-forum.de/forum/fo...php?forumid=17 gepostet. Mal schauen, vielleicht kommt was raus. Grüße Manx

07.03.2002, 11:34	#4
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	--------------zensur on------------- $§%&*## ---------------zensur off---------- Verwendest du auch Suse? Sloter

07.03.2002, 12:19	#5
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Jo! Auf der Kistn mit dem Problem SuSE 7.3! Auf meinem Testrechner z'Haus aber ähnliche Situation mit Debian. Sicher ist Qmail sch**ßt auf die /etc/hosts. Beim reverse DNS Lookup der internen IP läuft er in ein Timeout. Genau 30 Sekunden pro DNS macht insgesamt 1 Min. Grüße Manx

07.03.2002, 13:59	#6
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Habe im Moment wenig Zeit zum testen. Vielleicht müssen wir qmail mit einem bestimmten Flag starten. Sloter Ps: Kämpfe gerade mit einer Firewall (IPtables) die nach ca 30 Minuten komplett zumacht und auf beleidigt spielt.

07.03.2002, 17:54	#8
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Du wirst viel Freude haben morgen in der Firma soeben getestet Danke Sloter

07.03.2002, 18:17	#9
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Super Manx

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)