MNF+POP+SMTP

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar herve06 » 27 Avr 2003 14:08

Bonjour, <BR> <BR>ça fait plusieurs jours que je me casse la tête sur ce problème, j'ai pourtant lu la doc et fait des recherches sur le Net... <BR> <BR>J'applique une DNAT 10.10.11.1:80 port 80 sur ma DMZ et j'accède à mon <BR> <BR>serveur APACHE mais si je fais une DNAT 10.10.11.1:110 port 110 <BR> <BR>mes messages n'arrivent pas sur mon Postfix ( Tout fonctionne très bien si je <BR> <BR>branche ma DMZ directement sur le modem !!! ) <BR> <BR>Quelqu'un a-t'il une idée ??? <BR> <BR>Merci d'avance... <BR> <BR>RV. <BR> <BR> <IMG SRC="images/smiles/icon_help.gif">
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar Jacques- » 27 Avr 2003 19:03

Le démarrage du serveur POP est il pemanent ou contrôlé par xinetd ou inetd ? <BR>Vérifie les restrictions éventuelles dans /etx/xinetd.d/pop3d et dans /etc/hosts.allow (même avec xinetd souvent le fichier est lu pour des raisons de compatibilité). <BR>Dans les logs, cela donne quelque chose du style error libwrap si c'est bien les TCP-Wrappers qui sont en cause. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar herve06 » 27 Avr 2003 20:12

Salut Jacques, <BR> <BR>Je te donne un peu plus d'infos ... <BR> <BR>J'ai 1 PC : MNF (192.168.1.1) <BR> <BR>Une DMZ : Redhat 9 (192.168.2.100) <BR> <BR>Sur Redhat 9 : Serveur Apache & Postfix <BR> <BR>j'ai vérifié que xinetd ai bien lancé le pop3 ( port 110 ). Par contre si je lui dit de router à partir de l'adresse 192.168.2.1 ( Carte Ethernet sur MNF ) sur le port 110 çà ne change rien puisque apparement ça bloque à partir du FW ??. <BR> <BR>voici le règles de base : <BR> <BR>1 lan all REJECT info <BR>2 dmz all REJECT info <BR>3 fw all REJECT info <BR>4 wan all DROP info <BR>5 all all REJECT info <BR> <BR>et les 2 exceptions DNAT : <BR> <BR>26 DNAT:info wan dmz:192.168.2.100:80 tcp 80 <BR>27 DNAT:info wan dmz:192.168.2.100:110 tcp 110 <BR> <BR>Merci. <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar Jacques- » 28 Avr 2003 09:04

Le test de connexion se fait-il du Wan (c'est à dire par un autre accès internet que la MNF) ou de ton LAN ? <BR>Si c'est du LAN, il manque les règles LAN->DMZ pour le 110, ne serait-ce que ouvrir l'accès sur le 110 entre le LAN et la DMZ pour tester que tu peux bien lancer le POP sur ta machine Redhat. <BR>Autrement, fouille dans tes logs pour voir si tu as des refus de connexion, situés sur la MNF ou sur ton serveur POP/HTTP. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar herve06 » 29 Avr 2003 11:07

Bonjour, <BR> <BR>Pour répondre à ta question et après de moultes (!!!! ) recherches voila mes conclusions : <BR> <BR>Tous les accès arrivent par WAN ( DMZ ) <BR> <BR>Mon serveur Apache fonctionne.. <BR> <BR>Mon service SMTP fonctionne ( tous les messages sortent quelque soit le compte utilisé : par ex: <!-- BBcode auto-mailto start --><a href="mailto:root@toto.ma.cx">root@toto.ma.cx</a><!-- BBCode auto-mailto end --> ..... ) <BR> <BR>par contre que dal pour les messages entrants <BR> <BR>Le serveur POP3 est ON !!. <BR> <BR>Quelques Questions : <BR> <BR>SI je banche la DMZ directement sur le modem, je recois mes messages !! <BR> <BR>Apparemment çà ne bloque pas au niveau du Firewall ( Pas de messages en LOG ) <BR> <BR>Doit-on rediriger de quelque façon que ce soit le service pop3 sur l'adresse de mon PC ( Serveur HTTP/POP/SMTP ). <BR> <BR>Info : MNF à 3 Cartes Réseaux : <BR> <BR>ETH0 : 192.168.1.1 ( Lan ) <BR>ETH1 : PPP+ <BR>ETH2 : 192.168.2.1 ( DMZ ) <BR> <BR>Adresse de mon pc (DMZ ) : 192.168.2.100 <BR> <BR>le sous-masque est le même partout : 255.255.255.0 <BR> <BR>Merci pour vos infos... <BR> <BR>RV. <BR> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_mad.gif">
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar grosbedos » 29 Avr 2003 11:26

iptables -t nat -I PREROUTING -i pppX -p tcp -d 192.168.2.100 --dport 110 -j DNAT --to 192.168.2.100:110 <BR> <BR>il faut certainement rajouter une regle pour le forward..a verif <IMG SRC="images/smiles/icon_wink.gif">
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar herve06 » 29 Avr 2003 12:17

J'ai crée une règle d'exception pour : <BR> <BR>DNAT:info wan dmz:192.168.2.100:110 tcp 110 <BR> <BR>j'ai aussi crée une règle proxy arp pour : <BR> <BR> <BR>192.168.2.100 eth2 eth1 No <BR> <BR> <BR>ETH2 = DMZ <BR> <BR>ETH1 = Modem Ethernet <BR> <BR>192.168.2.100 = Adresse du serveur http/pop/smtp <BR> <BR>( Le serveur Pop3 ecoute toutes les adresses... ) <BR> <BR>Règles par défaut : <BR> <BR>1 lan all REJECT info <BR>2 dmz all REJECT info <BR>3 fw all REJECT info <BR>4 wan all DROP info <BR>5 all all REJECT info <BR> <BR> <BR>HELP..... <BR> <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar Jacques- » 29 Avr 2003 22:29

essaye déjà de mettre quelque chose comme <BR>ipop3d: ALL dans /etc/hosts.allow. (si c'est bien le programme ipop3d que tu utilises, il doit avoir le même nom que celui qui est lancé dans xinetd.d normalement). <BR>Si ça passe, tu affineras sur le réseau à autoriser ensuite... <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar herve06 » 29 Avr 2003 22:50

Salut Jacques, <BR> <BR>J'ai entrer la valeur ipop3d = All dans le fichier host.allow mais mes messages n'arrivent pas dans la boite. <BR> <BR>J'ai peut-être oublié une fonction ou autre chose ???? <BR> <BR>Mais ça marche toujours si c'est branché en direct, je dois te dire que çà m'ennerve pas mal. <BR> <BR>Est-ce que tu as une config comme çà chez toi ??? <BR> <BR>J'ai vu sur internet que d'autres avaient le même problème.... <BR> <BR> <BR>Merci de t'occuper d'un débutant... <BR> <BR>RV. <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar herve06 » 30 Avr 2003 00:48

J'ai lancé un telnet toto.ma.cx 110 <BR> <BR>Le serveur me dit OK ! <BR> <BR>J'ai entré le User et Password <BR> <BR>Pas de problème, il me donne le contenu !! ( Vide évidemment... ) <BR> <BR>Apparement çà viendrait du MNF... <BR> <BR>Je ne sais pas si de doit entrer des valeurs dans le Snat ou DNat.... <BR> <BR>Si je doit entrer autre chose ... <BR> <BR>Merci d'avance <BR> <BR>RV <BR> <BR> <IMG SRC="images/smiles/icon_help.gif">
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar Jacques- » 02 Mai 2003 22:44

Il y a un truc que je ne pige pas dans tes messages, tu parles de messages entrant du Wan sur le port 110. <BR>Le port 110, c'est du POP3, et donc ce sont des messages délivrés par postfix (via procmail en général) dans les boites de tes utilisateurs qui sont demandés par les usagers distants sur le Wan. C'est donc du courrier sortant. <BR>De plus, xinetd ne lance rien directement sur le port 110, c'est un autre démon qui est démarré à la demande (généralement ipop3d livré dans le package imap). <BR>Ne fais tu pas une confusion entre des utilisateurs qui doivent envoyer des mails via ton serveur postfix (en SMTP sur le port 25) et donc que postfix doit autoriser explicitement dans son fichier de config ? et des utilisateurs qui veulent relever leurs boites locales ? <BR> <BR>Si dans tes règles de DNAT tu renvois le 110, le 80 et le 25 vers ta machine, cela a l'air de bien fonctionner. <BR>Ensuite, les refus viennent soit du démon qui n'accepte pas des connexions distantes, soit de postfix que tu as intérêt à sécuriser si tu ne veux pas te trouver en open_relay et blacklisté de partout. <BR> <BR>Personnellement, j'ai un serveur postfix sur ma MNF qui me sert de relais SMTP vers mon FAI et de serveur local, et un serveur POP sur la MNF accessible uniquement en interne. Pour consulter mes mails depuis le web, j'ai créé un tunnel (via stunnel) qui n'accepte de lancer POP3 que si les clefs publique/privée sont OK. Pas de soucis pour faire tourner ça. <BR> <BR>Explique un peu plus ce que tu veux faire de cette machine postfix, je crois qu'il y a une légère incompréhension à la base quelque part. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar herve06 » 02 Mai 2003 23:37

Salut Jacques, <BR> <BR>Je te donne les infos concernant le fonctionnement : <BR> <BR>1 PC MNF ( 3 Cartes réseau : Lan, Internet, DMZ ) <BR> <BR>1 PC relié à la DMZ ( REDHAT 9 ) <BR> <BR>1 PC LAN <BR> <BR>Quand j'envoi un message avec un 4° PC qui n'est relié à rien sauf à un autre modem sur <!-- BBcode auto-mailto start --><a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a><!-- BBCode auto-mailto end --> ( Adresse dynamique ) le message n'arrive pas dans ma boite HERVE ( compte classique interne de la machine redhat ), pareille pour <!-- BBcode auto-mailto start --><a href="mailto:root@toto.ma.cx">root@toto.ma.cx</a><!-- BBCode auto-mailto end --> etc... <BR> <BR>par contre si je crée un message avec <!-- BBcode auto-mailto start --><a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a><!-- BBCode auto-mailto end --> (à partir de ma machine Redhat - DMZ ) il arrive sur ma boite Voila ou wanadoo !!?? donc le SMTP fonctionne. <BR> <BR>Et pour finir quand je branche mon PC ( Redhat 9.0- DMZ ) sur mon modem ADSL je peux envoyer des messages sur Voila ou Wanadoo et recevoir dans ma boite <!-- BBcode auto-mailto start --><a href="mailto:Herve@toto.ma.cx">Herve@toto.ma.cx</a><!-- BBCode auto-mailto end --> ou autre.... <BR> <BR>Je ne veux pour l'instant pas crée de compte pour des utilisateurs distants qui souhaiterais envoyer ou récupérer leurs messages à partir de mon serveur. Je souhaite le faire plus tard car pour l'instant aucun message ne rentre sur mes comptes internes... <BR> <BR>J'espère t'avoir eclairé un peu plus.... <BR> <BR>RV. <BR> <BR> <BR>
Avatar de l’utilisateur
herve06
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 11 Avr 2003 00:00
Localisation: Albi - 81

Messagepar antolien » 03 Mai 2003 00:11

j'ai lu vite fait tout ça, et à mon avis jaques- à raison sur le fait qu'il y a confusion sur les protocoles. <BR> <BR>Le port 25, soit SMTP n'est pas seulement pour le courrier sortant, mais aussi pour la reception des messages venant d'internet. <BR> <BR>Pour faire simple, tu dois ouvrir le port 25 et le forwarder vers ton serveur postfix, <BR> <BR>sinon, les messages ne seront jamais reçus par ton serveur. le port 110 n'est que de la "consultation" de ce qu'il y a sur ton serveur.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Jacques- » 03 Mai 2003 09:54

C'est bien un problème de compréhension du SMTP à priori <BR>Le SMTP sert aussi bien à envoyer qu'à recevoir des messages entre MTA, et le POP ou le IMAP sert à relever les mails entre MUA et MTA. <BR>Pour connaître la cause du refus de postfix,soit tu fouilles dans les logs (souvent /var/log/mail) ou plus simplement tu ouvres une session telnet sur le port 25 depuis ton modem externe. Pour touver la syntaxe du SMTP, une petite recherche sur google te la donnera facilement. <BR>Ensuite, essaye de poster un message, tu sauras pourquoi il refuse, si la session est close immédiatement, c'est que le réseau n'est pas autorisé. <BR>Voir le fichier de config de postfix ensuite pour mettre les bonnes valeurs. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron