Date: Tue, 17 Aug 2002 20:06:36 +0000 (UTC)
From: OpenNet
Subject: О вреде полного закрытия ICMP фаерволом.
> Почему лог sendmail'а изобилует сообщениями о таймауте, причем это не только у
> меня, но и на других почтовых серверах пытающихся переслать мне почту ?
> Мой сервер: smtp.test.ru
Твой сервер не пингается, хотя соединения принимает и udp traceroute доходит.
Самое вероятной причиной недоставки почты большого объема (разрыв по Timeout, в
логах: timeout after DATA from mail.test.ru[3.9.5.7]) является
блокировка всего ICMP трафика на вашей строне. Возможно блокируется не только
echo_replay/echo_request ICMP сообщения, но и другие важные сообщения
передаваемые по ICMP, которые прямым образом влияют на маршрутизацию и
фрагментацию пакетов. Данная блокировка является грубым нарушением сетевых
стандартов.
RFC 1885 и RFC777:
ICMP Fields:
Type
3
Code
0 = net unreachable;
1 = host unreachable;
2 = protocol unreachable;
3 = port unreachable;
4 = fragmentation needed and DF set.
ICMPv6 informational messages:
128 Echo Request (see section 4.1)
129 Echo Reply (see section 4.2)
130 Group Membership Query (see section 4.3)
131 Group Membership Report (see section 4.3)
132 Group Membership Reduction (see section 4.3)
При блокировке ICMP сообщений типа 3.4 (fragmentation needed and DF set)
возможно нарушение нормальной фрагментации пакетов, что вполне может
проявляться как внезапная остановка передачи данных большого объема и разрыв
сесcии по таймауту, например, если на пути трафика встречается туннель.
Vova
