IPCop et redirection de port

par **lucnourr** » 02 Oct 2008 16:53

Slt tt le monde. On a un serveur de mail dans la Zone DMZ avec une adresse ip privée. Et on aussi trois adresses IP publics. j'ai fait deja les aliases au niveau de IPCop. Donc tout les paquets destinée à l'adresse public x.x.x.x va etre redirigé vers le serveur de mail dans la DMZ. le probleme est lorsque le serveur repond à la requete, il utilise l'adresse ip public de la carte red au lieu de son alias correspondant. j'ai vu dans un message deja posté sur le forum qu'il faut mettre le main dans le fichier /etc/rc.d/rc.firwall pour changer. voila ce qu'il y a avant le changement:

#outgoing

# Outgoing masquerading
/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

et d'après les différentes solutions donnée dans ce post, j'ai mis ça:

/sbin/iptables -t nat -A REDNAT -s 192.168.1.2 -o $IFACE -j SNAT --to-source x.x.x.x

Merci

par **ccnet** » 02 Oct 2008 17:47

Et quel est le problème, si il y en a un ?

par **lucnourr** » 02 Oct 2008 18:07

excuse moi mais j'ai pas compris votre question?

par **Franck78** » 02 Oct 2008 18:41

et nous, on a compris que tu exposes un problème connu. Pour quelle raison:
1)rapeller que IPCop a ce problème
2)dire que ca marche
3)dire que camarche pas
4)autre

Alors?

Il existe un truc magique qui s'appelle la mise en page et la ponctuation pour rendre attrayant un texte :twisted:

par **jdh** » 03 Oct 2008 15:09

le probleme est lorsque le serveur repond à la requete, il utilise l'adresse ip public de la carte red au lieu de son alias correspondant

Cela serait TRES étonnant ! Le suivi de connexion empêche forcément cela ! Je ne crois donc pas un instant que ce soit le cas.

Par contre, en émission, à l'initiative du serveur de mail, le traffic est émis avec l'adresse ip de la carte Red.

Il est préférable qu'en réception et en émission l'adresse soit la même.

Pourquoi y a-t-il besoin de plusieurs adresses ip publiques ? Y a-t-il plusieurs serveurs de mails ?

On veut avoir un serveur de mail, un serveur ftp et un serveur web, alors il faut 3 adresses ip publiques ! Et pourquoi donc ? Ca c'est du total gaspillage ! Et hélas votre fournisseur a lâché !

(Par ailleurs, en effet, il aurait fallu chercher sur le site pour déjà trouver qu'IPCOP n'est pas au mieux avec les alias ...)

par **lucnourr** » 04 Oct 2008 08:16

excuse de pas avoir été un peu clair sur mes serveurs. en fait on sur le même serveur, le serveur de mail et le serveur web mais avec deux carte réseaux différentes.

par **jdh** » 04 Oct 2008 08:51

A l'intérieur du réseau, il y a une machine qui dispose de 2 cartes réseaux (avec 2 adresses ip différentes) ? C'est bien ça ?

(J'espère que ce n'est pas le TRES STUPIDE schéma avec une carte en Orange et une autre en GREEN !)

Et bien on enlève 1 de ces 2 cartes car il n'y a AUCUNE raison que dans un réseau privé, il y ait 2 cartes réseaux (avec 2 adresses ip différentes) dans la même machine. Je me demande comment cela peut fonctionner (hors la stupidité Orange/Green) ?

(Dans un réseau que je gère j'ai un certain nombre de serveurs avec plusieurs cartes (de 2 à 4). MAIS c'est parce que je fais du "bonding" (linux) ou du teaming (windows). Donc ces cartes ne font qu'UNE !)

Maintenant, il faudrait comprendre que l'on peut très bien faire SANS PROBLEME :
- renvoi du port 25 vers serveur1 (mail)
- renvoi du port 80 vers serveur2 (web)
- renvoi du port 21 vers serveur3 (ftp)
....

Cela ne présente AUCUNE difficulté ! Nul besoin de 3 ou 4 adresses ip publiques différentes !

par **lucnourr** » 04 Oct 2008 09:25

merci. oui dans la zone DMZ se trouve un serveur avec deux carte réseau dont elles appartiennent à la zone orange. je leurs ai donnée des adresses privés. je redirigé les paquets à destination du port 25 sur une deux carte alors que les paquets à destination du port 25 sont redirigé sur la deuxième carte. si j'ai bien compris tu me suggère d'utiliser une seule carte au lieu de deux?

par **ccnet** » 04 Oct 2008 09:46

je redirigé les paquets à destination du port 25 sur une deux carte alors que les paquets à destination du port 25 sont redirigé sur la deuxième carte. si j'ai bien compris tu me suggère d'utiliser une seule carte au lieu de deux?

Pouvez vous écrire dans un français compréhensible ? Cette phrase ne l'est pas, elle n' a pas de sens.

par **jdh** » 04 Oct 2008 09:48

Cela ne sert STRICTEMENT à rien ! Cela ne peut que produire des problèmes !

Un exemple :
- 2 cartes avec chacune une adresse ip différente (dans le même réseau ip) : 2 adresses mac différentes,
- un paquet peut arriver par une carte, le paquet retour peut partir par l'autre !!!
- comment va faire IPCOP voyant le paquet retour arrivant avec une adresse mac différente ?

Je me demande bien quelle idée saugrenue pourrait soutenir cela ?

Par ailleurs, il faut comprendre que les renvois peuvent aller vers autant de serveurs différents sans difficulté.

Ca je voudrais bien savoir si tu comprends cela.

par **lucnourr** » 04 Oct 2008 10:12

excusez moi pour les fautes d'orthographes, j'étais un peu pressé ](*,)

. je te comprends jdh. tu me propose quoi donc comme solution?

par **jdh** » 04 Oct 2008 10:27

Un serveur en dmz avec une SEULE carte réseau.
Une seule adresse ip publique = pas d'alias.
Des renvois multiples (25, 80) vers le serveur en dmz.

C'est simple et c'est bien.

NB : Pour moins de 40 boites, je déconseille de recevoir soi-même ses mails (port 25). Ne convient pas avec une ADSL.

par **lucnourr** » 04 Oct 2008 10:39

mais jdh ces deux adresses ip public qu'on a maitenant sont reliées respectivement à deux domaines:
mail.domaine.tld
www.domaine.tld

comment je pourrais jouer avec deux domaines pour une seule adresse ip? dois changer queleque dans le fichier DNS pour avoir comme tu me dis:

mail.domaine.tld=www.domaine.tld=x.x.x.x?[/list]

par **jdh** » 04 Oct 2008 10:59

Il y a pas mal d'incompréhension des mécanismes de base d'internet !!

"www.domaine.tld" et "mail.domaine.tld" sont 2 enregistrements A du (seul) domaine "domaine.tld".

Pour 98% des noms de domaines, il est presque sur que ces 2 enregistrements pointent sur la même adresse ip.

(A noter qu'il n'est pas nécessaire de définir d'un "mail.domaine.tld", ce qu'il faut D'ABORD c'est définir le MX du domaine. Et la norme c'est d'avoir 2 MX différents !)

Par ailleurs, héberger son serveur web et son serveur de mail pour de petites structures (<40 boites mails et site web peu lié à l'informatique du site) est AMHA une erreur. Il est bien plus simple de s'adresser à un hébergeur pro (Amen, 1et1, Ovh, ...) qui s'occupe de tout. Ce qui n'empêche nullement d'avoir un serveur de mail en interne (merci fetchmail) ! Le serveur web interne servira très bien de "serveur de développement" (par opposition à "serveur de prod" chez l'hébergeur).

Tout cela n'apporte que risques et dangers. (Même si cela présente un attrait intellectuel !)

par **ccnet** » 04 Oct 2008 11:03

lucnourr a écrit:mais jdh ces deux adresses ip public qu'on a maitenant sont reliées respectivement à deux domaines:

Il serait utile de reprendre les bases, où de les apprendre. Nous partons manifestement de loin. Il faudrait que vous alliez voir http://christian.caleca.free.fr/ en passant le temps nécessaire à le lire et surtout comprendre.
Pour faire court vous pouvez avec une ip unique avoir 5 domaines de messagerie et autant de site web.
Ce sont respectivement des problèmes de configuration du serveur de messagerie, du serveur web. Et de dns évidement.

dois changer queleque dans le fichier DNS ...

Confiez cela à des professionnels qui savent ce qu'ils font. Chez votre FAI par exmple.

Edit : suivez les conseils de jdh, vous n'êtes actuellement pas assez aguerri pour gérer tout cela. Vous risquez juste de plonger votre entreprise dans des problèmes importants.

IPCop et redirection de port

IPCop et redirection de port

Qui est en ligne ?