[RESOLU]Pb Passerelle SMTP en DMZ

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

[RESOLU]Pb Passerelle SMTP en DMZ

Messagepar eden91 » 02 Mars 2005 17:31

Bonjour à tous, on a mis une passerelle SMTP en DMZ (la passerelle tourne sous Windows 2000 server)

On a configuré la MNF de manière suivante :



Pour la réception des mails :

DNAT WAN vers la DMZ sur le port SMTP

ACCEPT DMZ vers le LAN sur le port SMTP



et la réception de mail marche parfaitement !!!!



Pour l’envoi des mails :

ACCEPT LAN vers DMZ sur le port SMTP

ACCEPT DMZ vers WAN sur le port SMTP



et l’envoi des mails ne marche pas !!!!!



Si on met ACCEPT DMZ vers WAN sur tous les ports, alors l’envoi des mails marche !!!!!!



Pourquoi. ??????

Quel est le port à rajouter pour l’envoi des mails ??
Dernière édition par eden91 le 03 Mars 2005 11:13, édité 2 fois au total.
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Jacques- » 02 Mars 2005 18:26

S'il n'y a que ces règles entre la DMZ et le WAN, comment ton serveur de mail fait-il pour résoudre les noms des serveurs SMTP à contacter ?
En clair, si il doit envoyer un mail à toto@fai.com, comment trouve-t-il l'adresse IP de smtp.fai.com ?

A mon avis, ouvre le DNS (ports 53 UDP/TCP) dans le sens DMZ > WAN et défini les serveurs DNS de ton FAI sur ton serveur SMTP (ce qui doit être fait puisqu'avec tous les ports ouverts il y arrive).

Essaye comme ça, et regarde les trames jetées par le FW, tu devrais trouver la réponse dans les requêtes refusées.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar eden91 » 03 Mars 2005 10:58

Ca marche !!!!!!
Je m'explique:

Pour l’envoi des mails :

ACCEPT LAN vers DMZ sur le port SMTP

ACCEPT DMZ vers WAN sur le port SMTP

Et en rajoutant seulement ca, ca ne marchait pas.

Alors Jacques nous a donner l'idée du port 53 en TCP+UDP.
En fait Jacques, je ne t'avais pas précisé pour le port 53 DMZ vers WAN car cette règle est par défaut dans la MNF, mais un UDP seulement.
Ainsi ce matin nous avons édité la règle DMZ vers WAN sur le port 53 en rajoutant le TCP.
La règle finale est donc DMZ vers WAN en TCP+UDP sur le port 53 et donc ca marche :)

Merci Jacques!!!!!!!!!!!!!!!!!!!!!
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Jacques- » 03 Mars 2005 12:10

Eh bien tant mieux.

Mais tu aurais du voir les paquets DNS refusés en TCP dans tes logs normalement.
Je n'ai jamais pu trouver à quel moment une appli décide de passer en TCP plutôt qu'UDP pour du DNS. Autant entre 2 serveurs DNS que le transfert des zones se fassent en TCP parait logique, autant contacter systématiquement un serveur en TCP pour une appli ? là je ne vois pas la cause.

Mais en sachant ça, il suffit d'ouvrir les 2 types de protocoles et ça marche.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar fraedhrim » 03 Mars 2005 13:21

Salut !

Pour cette histoire de TCP pour le DNS en fait c'est quand les serveurs essaient d'optimiser les requètes. Pour faire passer plus de demandes dans une même session plutôt que de faire 36 demandes en UDP.
C'est un mode configurable ou désactivable en général (dépend du produit).

Par contre pour la petite histoire il n'est pas rare que des firewalls pro (PIX, FW-1,...) ne laissent pas passer ça en standard et demandent le mode de requètage DNS dit "strict" donc en UDP pour les requètes et en TCP uniquement pour les transferts de zone.

Zou !
A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron