[Postfixbuch-users] OT: Probleme mit sieveshell

Do Mär 8 13:32:24 CET 2012

Ahoi!

Nachdem ich weder in der cyrus- noch in der centos-ML 'ne Antwort  
bekommen habe, versuche ich hier mein Glück. Ja ich weiß schon, es hat  
relativ wenig mit Postfix zu tun, aber fragen wird man hoffentlich  
noch dürfen. ;)

Also ich habe folgende Problemstellung:

Ich habe zwei Netzsegmente, das Intranet und die DMZ:

Intranet : 10.0.10.0/24
DMZ      : 10.0.0.0/24

In der DMZ steht mein IMAP-Server (cyrus), das ist die Maschine  
vml000070 mit der IP-Adresse: 10.0.0.70

Folgende Ports werden bedient:
# netstat -penlut
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address
     State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:143                 0.0.0.0:*
     LISTEN      0          137240     25617/cyrus-master
tcp        0      0 0.0.0.0:2000                0.0.0.0:*
     LISTEN      0          137252     25617/cyrus-master
tcp        0      0 0.0.0.0:22                  0.0.0.0:*
     LISTEN      0          8777       1314/sshd
tcp        0      0 0.0.0.0:24                  0.0.0.0:*
     LISTEN      0          137258     25617/cyrus-master
tcp        0      0 127.0.0.1:25                0.0.0.0:*
     LISTEN      0          8977       1392/master
tcp        0      0 0.0.0.0:993                 0.0.0.0:*
     LISTEN      0          137246     25617/cyrus-master

Versuche ich nun mit Hilfe von sieveshell mich auf dem IMAP-Host  
selbst amzumelden, gehe ich wie folgt vor:

[django at vml000070 ~]$ sieveshell --user=django --authname=django  
127.0.0.1:2000
connecting to 127.0.0.1:2000
Please enter your password:

Soweit so gut, alles klappt hervorragend. Ich kann die sieve-regeln  
hochladen, herunterladen, aktivierern und löschen. Klappt alles  
hervorragend!

_A_B_E_R_:
Komme ich von einem anderen Hsot aus der DMZ, also z.B. dem Webserver  
vml000090 mit der IP-Adresse 10.0.0.90 so klatscht mir folgende  
Fehlermeldung entgegen:

[django at vml000090 ~]$  sieveshell --user=django --authname=django  
10.0.0.70:2000
connecting to 10.0.0.70:2000
unable to connect to server at /usr/bin/sieveshell line 170.

Connecte ich mich mit Hilfe von telnet auf Port 2000 von meinem  
Webserver aus, passiert folgendes:

[django at vml000090 ~]$ telnet 10.0.0.70 2000
Trying 10.0.0.70...
Connected to 10.0.0.70.
Escape character is '^]'.
"IMPLEMENTATION" "Cyrus timsieved v2.3.16-Fedora-RPM-2.3.16-6.el6_1.4"
"SASL" "CRAM-MD5 DIGEST-MD5"
"SIEVE" "comparator-i;ascii-numeric fileinto reject vacation imapflags
notify envelope relational regex subaddress copy"
"STARTTLS"
OK

Ich komme rein! Nur eben nicht mit Hilfe von sieveshell! ;(

SELinux ist im übrigen deaktiviert, auch akzeptiert der Paketfilter  
Zugriffe auf die MDA-ports 143, 993 and 2000:

[root at vml000070 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW
tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW
tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW
tcp dpt:993
ACCEPT     tcp  --  10.0.0.80            0.0.0.0/0           state NEW
tcp dpt:24
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW
tcp dpt:2000
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with
icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with
icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

So und damit das ganze noch verrückter wird, habe ich folgendes gemacht:
Ich logge mich auf einen der CentOS 6.x Hosts und baue dort eine  
Verbindung zum IMAP-Server her:

[django at pml010002 ~]$ sieveshell --user=django --authname=django  
10.0.0.70:2000
connecting to 10.0.0.70:2000
Please enter your password:

Das wiederum geht! Warum? Keine Ahnung! Verbindungen mit sieveshell  
klappen also nur wenn:
  a) die am IMAP-Server selbst, oder
  b) von einem Host aus einem anderen Netzsegment passiert.
Zugriffe aus dem eigenen Netzsegment gehen hingegen nicht! :(

O.K. alle meine Hosts sind CentOS-Rechner:

Webserver-Host in der DMZ:
[django at vml000090 ~]$ cat /etc/redhat-release
CentOS release 6.2 (Final)
[root at vml000090 ~]# yum list cyrus-imapd-utils
Installed Packages
cyrus-imapd-utils.x86_64                             2.3.16-6.el6_1.4

IMAP-Server in der DMZ:
[django at vml000070 ~]$ cat /etc/redhat-release
CentOS release 6.2 (Final)
[root at vml000070 ~]# yum list cyrus-imapd-utils
Installed Packages
cyrus-imapd-utils.x86_64                             2.3.16-6.el6_1.4
[root at vml000070 ~]# yum list cyrus-imapd
Installed Packages
cyrus-imapd.x86_64                                   2.3.16-6.el6_1.4

Rechner aus dem Intranet:
[django at pml010002 ~]$ cat /etc/redhat-release
CentOS release 6.2 (Final)
[root at pml010002 ~]# yum list cyrus-imapd-utils
Installed Packages
cyrus-imapd-utils.x86_64                             2.3.16-6.el6_1.4

Vielleicht hat ja von Euch einer eine Idee, warum ich hier einen volle  
Bruchlandung hinlege! Bin für jeden Tip und Hinweis Dankbar!

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120308/0a34956d/attachment.sig>