Bonjour,
J'ai installé un serveur mail derrière un firewall que j'administre avec iptables.
J'ai une interface publique, adresse ip A(eth0), déclarée en MX sur un dns externe.
Avec iptables, j'ai redirigé les flux arrivant sur les ports 25 et 80 du firewall vers le serveur mail(adress IPprivée) mais apparement ce n'est pas suffisant.
Des connexions SMTP arrivent sur le serveur mais ce dernier ferme apparement les connexions.
De plus, quand mon serveur mail est directement connecté sur l'interface publique sans le firewall, tout marche parfaitement.
Avec le firewall, j'arrive à envoyé des maisl vers l'extérieur mais je n'arrive pas à en recevoir de l'exérieur.
Internet-------Firewall-----------Serveur Mail
eth0 eth1 IPprivée
eth0 adresse ip publique correspondant à l'enregistrement MX.
Questions:
Qu'est-ce qu'un relai SMTP?
Dois-je configurer mon firewall en tant que relai SMTP?
Quels configs dois-je faire pour recevoir des mails extérieurs sur mon serveur derrière le firewall?
Merci
Forum général.général Firewall et serveur mail
19
nov.
2005
# configuration svp du pare-feu et du serveur SMPT ?
Posté par slack . Évalué à 1.
Quel serveur SMPT utilises-tu et comment est-il configuré ?
Que trouves-tu dans les fichiers de trace de ton serveur smpt ?
Analyse les paquets avec tcpdump. Trouves-tu des différences lorsque ton serveur smpt est relié directement à internet ou lorsqu'il est derrière le pare-feu ?
Un serveur smpt correctement configuré vérifie l'adresse du serveur smpt expéditeur. Si ton pare-feu fait suivre les paquets smpt avec comme adresse source son adresse, ton serveur smpt ne peut pas accepter les courriels expédiés d'internet.
Un relais SMPT est un serveur smpt qui fait suivre le courrier.
[^] # Re: configuration svp du pare-feu et du serveur SMPT ?
Posté par Pascal . Évalué à 2.
[^] # Re: configuration svp du pare-feu et du serveur SMPT ?
Posté par nandao . Évalué à 1.
[^] # Re: configuration svp du pare-feu et du serveur SMPT ?
Posté par nandao . Évalué à 1.
Mon firewall fait du nat.
Quanf je regarde es trames arrivant sur mon serveur exchange,
je vois un dialogue SMTP qui a pour source l'interface de sortie de mon firewall
[^] # Re: configuration svp du pare-feu et du serveur SMPT ?
Posté par slack . Évalué à 1.
C'est probablement l'origine du problème.
Comment réagit ton serveur SMTP si dans ton pare-feu, tu fais du DNAT (translation d'adresse sur l'adresse destination sans changer l'adresse source) sur les paquets smtp ?
[^] # Re: configuration svp du pare-feu et du serveur SMPT ?
Posté par nandao . Évalué à 1.
J'ai une réponse du style:
"escape caracter:^]
Host closed connection
"
Ce que je ne comprends pas c'est que mon serveur SMTP fonctionne parfaitement sur l'interface publique et que j'arrive très bien à faire un telnet sur le port 25 lorsque celui-ci n'est pas derrière le firewall
Voici le script qur j'utilise:
#!/bin/sh
# script /etc/firewall.sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Activation du forwarding :[OK]\n"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
echo "Annulation du spoofing:[OK]\n"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "[Desactivation de icmp]:[OK] \n"
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
echo "Chargement des modules:[OK]\n"
iptables -F
iptables -X
echo "Règles videes:[OK]\n"
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
echo "Chaine de logs crées:[OK]\n"
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "Politique par défaut:[OK]\n"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Règles d'initialisation :[OK]\n"
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d xxx.yyy.zzz.ttt -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
iptables -t nat -A PREROUTING -d xxx.yyy.zzz.ttt -p tcp --dport 25 -j DNAT --to-destination 192.168.0.2:25
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -p tcp --source-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --destination-port 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -p tcp --source-port 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
echo " [Firewall opérationnel] \n \n"
[^] # Re: configuration svp du pare-feu et du serveur SMPT ?
Posté par nandao . Évalué à 1.
il y a un connexion qui s'établit mais celle-ci tombe avant d'avoir le dialogue HELO qui commence.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.