SMEServer dans une dmz avec Smoothwall pas d'acces mail pop

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SMEServer dans une dmz avec Smoothwall pas d'acces mail pop

Messagepar viking76 » 08 Mai 2008 13:43

Je suis sur une install smoothwall + smeserver en DMZ,

Code: Tout sélectionner
Internet -- *BOX -- Smoothwall--  Pc Reseau (green)
                         |
                      SME mode serveur (orange)DMZ...

coté topologie (interface smoothwall):
ip pc: 192.168.76.52 ipverssmeserver:192.168.75.52
masq: 255.255.0.0 masq: 255.255.0.0

ip smeserver (DMZ) : 192.168.75.51
masqu:255.255.0.0

mon probleme est que j'arrive pas a autorisé smeserver d'autoriser le reseau 192.168.76.x
meme si j'ai mis un masque large. C'est au niveau de l'acces pop depuis le green que ça coince.

Dois contacter le pop avec les parametres ip ou host (pop.trucmachin.com)?

Dois-restreindre le masque des 2 reseaux?
viking76
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Jan 2006 23:41
Localisation: Rouen

Messagepar jdh » 08 Mai 2008 15:10

Il est clair que les problèmes évoqués viennent d'un très mauvais choix d'adressage ip ! (lié à une incompréhension de la notion de masque de sous-réseau)

Qu'est ce que ce masque stupide ?

192.168.76.52 et 192.168.75.52 sont dans le MEME réseau avec ce masque ! Donc le firewall ne peut qu'être perdu !


Il faut prendre des adressages simples :

- le firewall doit avoir 3 adresses du genre : 192.168.0.1/255.255.255.0 (Red), 192.168.1.1/255.255.255.0 (Green) et 192.168.2.1/255.255.255.0 (Orange). (D'ailleurs les infos manquent : moi, je donne 3 adresses pour décrire une machine qui a 3 cartes réseaux, et c'est comme cela qu'il faut faire !!)
- un PC en Green pourrait alors avoir une adresse comme 192.168.1.52/255.255.255.0
- un serveur SME, en orange, pourrait avoir une adresses comme 192.168.2.51/255.255.255.0
- les masques donnent ainsi 3 réseaux DISTINCTS : Red : 192.168.0.x, Green : 192.168.1.x et Orange : 192.168.2.x. (Et là tout est simple et limpide ...)

Par ailleurs, il faudrait plutôt simplifier ce schéma avec une SME en serveur+passerelle plutôt que chercher les ennuis avec un firewall dédié. Surtout quand on ne comprend pas ce qu'est un masque de sous réseau ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jibe » 08 Mai 2008 18:57

Salut,

jdh a écrit:Par ailleurs, il faudrait plutôt simplifier ce schéma avec une SME en serveur+passerelle plutôt que chercher les ennuis avec un firewall dédié. Surtout quand on ne comprend pas ce qu'est un masque de sous réseau ...

=D>
http://forums.ixus.fr/viewtopic.php?t=38228
:wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar jdh » 08 Mai 2008 19:04

Salut Jibe !

Je pensais bien que cela allait te rappeler quelque chose !

Je suis absolument certain qu'il est bien préférable d'utiliser une SME en serveur+passerelle plutôt qu'un schéma avec un firewall (au choix IPCOP, pfSense, ...) et une SME serveur en dmz.

Hélas c'est le schéma choisi par beaucoup ...

Que dire d'un firewall tel IPCOP, ... derrière une box (avec un Red en adressage privé) ? Y compris avec une config dite "dmz" de la box !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jibe » 08 Mai 2008 19:12

Salut jdh,

jdh a écrit:Que dire d'un firewall derrière une box ? Y compris avec une config dite "dmz" de la box !

Oui, j'ai vu ça dernièrement, j'aurais bien dû noter où... Peut-être sur le forum FreeEOS ? Un truc du genre la SME ou FreeEOS dans la DMZ d'une Ipcop elle-même dans la DMZ d'une *box et le gars ne comprenait pas pourquoi il ne pouvait voir les partages samba de SME depuis son portable branché en wifi sur sa *box :lol:

Mais pourquoi donc faire simple quand on peut faire compliqué ? :roll:

Et pourquoi donc faire ce qu'on sait maitriser quand on peut monter des usines à gaz et appeler au secours sur un forum ? ](*,)
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar viking76 » 08 Mai 2008 19:45

Merci jibe, en fait j'ai deja utiliser la SME mode serveur+passerelle mais je ne suis pas si sur de sa sécurité, en plus je voulais loger le surf via un proxy dans un green et plus tard dans un purple (wifi public)
je pensais que le fait de mettre le meme masque 255.255.0.0 m'aura permis de les faire causer entre eux.
Je me doutais que j'étais dans l'erreur.
Merci pour vos réponse rapide.

Pour la sécurité, mettre une smeserver dans la green c'est pas conseiller? non

Au dépard, j'avais mis ma sme derriere une smoothwall tout bien configuré (service web,mail RAS)
mais pour compliquer j'ai voulu la mettre dans une dmz et là c'est moins simple.
viking76
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Jan 2006 23:41
Localisation: Rouen

Messagepar viking76 » 09 Mai 2008 19:02

Je me répond a moi meme. Apres réflexion (j'en avais besoin), j'ai donc laisser la SME dans la DMZ
et configurer SME tout en POP3SSL. Je refais un nmap en externe pour voir si il n'y a pas de trou béhan.
Meme en local mes clients mail sont en SSL et ça c'est cool. J'ai mis comme passerelle l'ip de mon firewall.
Je pense faire un tuto avec des screenshots histoire de ne pas oublier.

Je trouve que même en mode serveur simple SME et déja très sécure et ça c'est très bien.
J'ai eu 3 ans une SME 6.3 en frontal chez moi dans une miniITX, jamais 1 soucis.
viking76
Matelot
Matelot
 
Messages: 5
Inscrit le: 25 Jan 2006 23:41
Localisation: Rouen

Messagepar sibsib » 09 Mai 2008 21:07

viking76 a écrit:J'ai eu 3 ans une SME 6.3 en frontal chez moi dans une miniITX, jamais 1 soucis.


Hello,

Ben alors, pourquoi tu montes une config qui va t'en créer ?

Tu es sur :

- d'être la cible de hackers vraiment mal intentionnés ?
- d'être en mesure en montant ton usine à gaz de te protéger des dits hackers ?

Si la réponse est oui au deux questions, alors je m'incline, chapeau bas.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar Cool34000 » 09 Mai 2008 22:40

viking76 a écrit:Apres réflexion (j'en avais besoin)
Essayes encore :lol: :lol: :lol:

Désolé :roll:
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité