折腾2天.都想不明白iptables esmtp不能发邮件.附规则

a_la_lei

原帖由 ssffzz1 于 2008-10-21 09:55 发表
一时还真想不出来 A 记录查询怎么会哪么大。

可能您对dns协议不太了解，它的响应包是这样的：［首部］［问题部分］［回答部分］［授权部分］［附加部分］。即使［问题部分］的A记录查询，［回答部分］［授权部分］［附加部分］也会被响应，比如［授权部分］可以为客户端的解析程序提供一个或多个权威服务器的FQDN名，而在［附加部分］可以提供相应的IP地址，当然还可以有更多的信息……

root：

tcpdump为什么先220.181.12.101（163的pop），然后209.85.143.109（google的smtp）？

root0

$IPT -A FORWARD -i $INF -o $EXT -j ACCEPT
        $IPT -A FORWARD -i $EXT -o $INF -p tcp -m multiport --sports 25,110,465,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $EXT -o $INF -p udp -m multiport --sports 25,110,465,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $EXT -o $INF -p tcp -m multiport --sports 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
        $IPT -A FORWARD -i $EXT -o $INF -p udp -m multiport --sports 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

这样也不行

[ 本帖最后由 root0 于 2008-10-21 16:53 编辑 ]

ssffzz1

我是想那个包怎么能够达到512个字节。是那些个字段有哪么长的长度。

a_la_lei

原帖由 ssffzz1 于 2008-10-21 19:02 发表
我是想那个包怎么能够达到512个字节。是那些个字段有哪么长的长度。

上面不是说了？
如果把问题限定在仅查询一条A记录，即使只有一个相关响应包，［回答部分］［授权部分］［附加部分］这些字段都有可能超过512字节呀。

root：您把网络结构、测试环境、都做过什么、现在是什么问题，一一列出来吧，否则米有办法帮您阿，不要把你的主观想象加进来，客观的描述一下，我想问题不大。

ssffzz1

举个例子给我。或者抓个包给我。
要知道通常对DNS名的限制是64个字节，这里512个字节是很大差距的。

ssffzz1

哦，自己想到了一种大于512自己的DNS报文。
但可惜是DNS应答报文可能超过512字节。但是查询报文我无论如何还是想不到能够超过512自己的情况。

另外LZ可以用如下方法测试，在改LINUX的机器的出口处抓包，如果能够抓到出问题的时候下面客户端重试的包，哪么就不是LINUX的问题，而是其他问题，如果抓不到的话，哪么就是LINUX的问题。同时建议在内网口也同时抓包，使用相同的过滤器，以便比较参考。

a_la_lei

原帖由 ssffzz1 于 2008-10-21 20:04 发表
举个例子给我。或者抓个包给我。
要知道通常对DNS名的限制是64个字节，这里512个字节是很大差距的。

谁说一条A记录的查询报文超过512字节啦～？～偶一直在说响应报文可能大于512～～～！！！！

另外，抱歉阿～我没条件抓包，不过您可以看看
《tcp/ip协议族》
《tcp/ip协议》

rfc1035
http://www.ietf.org/rfc/rfc1035.txt

以及我写了一篇入侵的文章，是如何设置［附加记录］的
http://bbs3.chinaunix.net/thread-1290098-1-2.html

[ 本帖最后由 a_la_lei 于 2008-10-21 20:22 编辑 ]

ssffzz1

嘿嘿。

你也没明说是应答啊。

刚刚看过了你的那个DNS中毒，不错。
不过有个不太是问题的问题。如果被重定向到的设备，也就是那个假的主机是基于主机头解析的，哪么这种方法不奏效。
但是既然是伪造的主机，这个当然不成问题。