[ RESOLU ] -Port 113 (Ident) de DMZ vers GREEN passe pas !

[PatHbt]

He bien apres avoir passé ma soirée à lire les posts à ce sujet, je n'ai tjs pas trouvé ma réponse.

Les pc du LAN attendent env 1mn pour lire leur boite email sur le serveur mail de la DMZ.
Les logs du firewall font bien apparaitre le blocage de l'IP du serveur de mail de la DMZ vers l'IP de passerelle du Green.

J'ai mis le serveur de Mail sur le Green. là AUCUN problemes, les pc lisent leurs mails instantanement.

PS:
J'ai ajouté une regle dans les acces à la DMZ :
TCP - ORANGE - IP Source (serveur MAil sur DMZ) ==> VERT - IP passerelle du VERT - Port 113

Ca ne change rien

Si qqu'un à une idée, je suis preneur.......

@+Patrice

[PatHbt]

Bon ba je vais me répondre tout seul,
ou plutot faire part de mes essais sans resultats...

En fait, le PC à partir duquel je releve ma messagerie a l'IP 192.168.0.2
Curieusement, les logs du Firewall me donnent :
==> 17:16:35 - ORANGE-DROP - eth3 - TCP - 192.168.2.251 - 1797 - 192.168.0.10 - 113(IDENT)

Pourquoi il ne renvoit pas IDENT sur le PC qui en fait la demande (192.168.0.2)

J'ai joué avec iptable dans tous les sens. CA NE VEUT RIEN SAVOIR....
Voici un extrait d'iptable :

Chain DMZHOLES (1 references)
num target prot opt source -- destination
1 - ACCEPT - tcp - 192.168.2.251 - 0.0.0.0 - tcp - dpt:113
2 - ACCEPT - tcp - 192.168.2.251 - 192.168.0.10 - tcp - dpt:113


192.168.2.251 ==> IP du serveur Mails sur DMZ
192.168.0.10 ==> IP de la passerelle GREEN
0.0.0.0 ==> Désespéré, je tente sur tous les destinations

Si quelqu'un veut bien m'aider, il est le bienvenu....
@+Pat

[t2net]

Si ça peu t'aider

J'avais eu le même problème avec un SME server version 5.5 comme serveur de courrier sur la DMZ, j'ai mis la version 6.0.1 et plus de problème relève du courrier instantanée (avant j'avais essayé pas mal de choses)

je pense que la version 5.5 ne répondait pas correctement aux requêtes sur le port 113... à vérifier

[PatHbt]

Pour moi, je n'ai pas SME mais Postfix sous Mdk-10.1.
Il est peut-etre possible de bidouiller Postfix afin qu'il n'envoit pas de demande d'identification ,car de toute manière il fait 4 demandes successives puis achemine le courrier au bout de30 sec env.

Mais pour l'instant le persiste dans iptable et essaie de laisser passer le port 113 de la DMZ vers le LAN...

Si j'y arrive, je mettrai la solution à la fin de ce post.
Car, vu le nombre de questions à ce sujet dans ce forum, je pense que certain ont trouvé, mais personne n'a donné de réponses precises....

Merci pour ta reponse,
@+Patrice

[PatHbt]

Non,
Rien à faire....

meme en tappant la commade à la main :

/sbin/iptables -A DMZHOLES -s 192.168.2.0/255.255.255.0 -i eth1 -o eth0 -d 192.168.0.0/24 -p tcp --dport 113 -j ACCEPT

Je lis bien les modifs dans iptable :

Chain DMZHOLES (1 references)
num target prot opt source destination
1 ACCEPT tcp -- 192.168.2.0/24 192.168.0.0/24 tcp dpt:ident

Mais ça ne veut rien savoir....

Feb 8 23:54:03 DMZ kernel: INPUT IN=eth1 OUT= MAC=00:50:22:e3:1e:30:00:01:02:07:9f:64:08:00 SRC=192.168.2.11 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=15102 DF PROTO=TCP SPT=37316 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0

192.168.2.11 = Serveur mail sur DMZ
192.168.0.10 = eth GREEN

Je me demande si quelqu'un est parvenu à résoudre ce probleme, car n'importe quel paramatre mis dans les [acces à la DMZ] du GUI ne fonctionne pas.
Est ce un Bug

[PatHbt]

Ah, une précision,

Je suis sous IPCop-1.4.2
avec les Addons : BlockOutTraffic, et Net-Tfraffic

J'sais pas si ça change quelque chose .............

[PatHbt]

CA Y EST ENFIN

C'est une histoire d'identification avec IPOP3dD et des logs de xinetd.

La solution :
Ajouter ça à xinetd.conf :


service pop3
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/sbin/ipop3d
# log_on_success += USERID
# log_on_failure += USERID
}

Et pour ceux qui veulent en savoir plus, voir en fin de document :

http://www.security-labs.org/index.php3?page=127

@+Patrice