Pix en Ident - Netwerken

vrijdag 1 december 2006 13:02

Acties:

Topicstarter

Ik ben monteel bezig een Pix 501 te congigureren gaat allemaal goed, ben echter nu bezig om het voor elkaar te krijgen dat mailen weer zonder time-out gaat.

De waarmee we mail versturen doet namelijk een ident request en wacht vervolgens een halve minuut op antwoord alverens de mail verzonden mag worden.

Wat is de meest nette manier om dit probleem op te lossen?

thnx

vrijdag 1 december 2006 20:43

Acties:

Verwijderd

Uit je verhaal kan ik niet helemaal opmaken of je nu problemen met ontvangen of versturen van mail hebt maar hoe dan ook de truuk is om ident requests te blokkeren. Het staat een mailserver vrij om die ident requests te versturen de andere server hoeft dit niet te ondersteunen. Sterker nog bijna geen enkele doet dat. Maar als een firewall die connectie dropped (dus zonder response) blijft de server tot aan de time-out wachten op antwoord. Blokkeer dus die requests op je firewall, poort 113 uit m'n hoofd. De mailserver die een request verstuurt krijgt dan direct een connection denied terug en gaat meteen verder met versturen van de mail.

vrijdag 1 december 2006 22:25

Acties:

pablo_p

Je hebt kans dat de SMTP inspectie van de PIX je in de weg zet. Die accepteert slechts een beperkt aantal commando's. Oplossing: no fixup protocol smtp 25

Zie http://www.exim.org/exim-html-4.40/doc/html/FAQ_0.html voor andere problemen met fixup's. Ik weet dat wij die fixup bij veel implementaties bij klanten uit moesten zetten om het werkend te krijgen. MS hield zich bv niet aan de standaard ie Cisco graag zag.

De reactie hierboven van blokkeren kan werken. Bij blokkeren van een connectie stuurt een PIX niets uit en zeker geen RST. Betekent gewoon een time-out, en dan na enig wachten zou het dan wel werken.

[ Voor 8% gewijzigd door pablo_p op 01-12-2006 22:35 ]