MNF+POP+SMTP

par **herve06** » 27 Avr 2003 14:08

Bonjour, ça fait plusieurs jours que je me casse la tête sur ce problème, j'ai pourtant lu la doc et fait des recherches sur le Net... J'applique une DNAT 10.10.11.1:80 port 80 sur ma DMZ et j'accède à mon serveur APACHE mais si je fais une DNAT 10.10.11.1:110 port 110 mes messages n'arrivent pas sur mon Postfix ( Tout fonctionne très bien si je branche ma DMZ directement sur le modem !!! ) Quelqu'un a-t'il une idée ??? Merci d'avance... RV. <IMG SRC="images/smiles/icon_help.gif">

par **Jacques-** » 27 Avr 2003 19:03

Le démarrage du serveur POP est il pemanent ou contrôlé par xinetd ou inetd ? Vérifie les restrictions éventuelles dans /etx/xinetd.d/pop3d et dans /etc/hosts.allow (même avec xinetd souvent le fichier est lu pour des raisons de compatibilité). Dans les logs, cela donne quelque chose du style error libwrap si c'est bien les TCP-Wrappers qui sont en cause. Jacques

par **herve06** » 27 Avr 2003 20:12

Salut Jacques, Je te donne un peu plus d'infos ... J'ai 1 PC : MNF (192.168.1.1) Une DMZ : Redhat 9 (192.168.2.100) Sur Redhat 9 : Serveur Apache & Postfix j'ai vérifié que xinetd ai bien lancé le pop3 ( port 110 ). Par contre si je lui dit de router à partir de l'adresse 192.168.2.1 ( Carte Ethernet sur MNF ) sur le port 110 çà ne change rien puisque apparement ça bloque à partir du FW ??. voici le règles de base : 1 lan all REJECT info 2 dmz all REJECT info 3 fw all REJECT info 4 wan all DROP info 5 all all REJECT info et les 2 exceptions DNAT : 26 DNAT:info wan dmz:192.168.2.100:80 tcp 80 27 DNAT:info wan dmz:192.168.2.100:110 tcp 110 Merci. <IMG SRC="images/smiles/icon_confused.gif">

par **Jacques-** » 28 Avr 2003 09:04

Le test de connexion se fait-il du Wan (c'est à dire par un autre accès internet que la MNF) ou de ton LAN ? Si c'est du LAN, il manque les règles LAN->DMZ pour le 110, ne serait-ce que ouvrir l'accès sur le 110 entre le LAN et la DMZ pour tester que tu peux bien lancer le POP sur ta machine Redhat. Autrement, fouille dans tes logs pour voir si tu as des refus de connexion, situés sur la MNF ou sur ton serveur POP/HTTP. Jacques

par **herve06** » 29 Avr 2003 11:07

Bonjour, Pour répondre à ta question et après de moultes (!!!! ) recherches voila mes conclusions : Tous les accès arrivent par WAN ( DMZ ) Mon serveur Apache fonctionne.. Mon service SMTP fonctionne ( tous les messages sortent quelque soit le compte utilisé : par ex: <a href="mailto:root@toto.ma.cx">root@toto.ma.cx</a> ..... ) par contre que dal pour les messages entrants Le serveur POP3 est ON !!. Quelques Questions : SI je banche la DMZ directement sur le modem, je recois mes messages !! Apparemment çà ne bloque pas au niveau du Firewall ( Pas de messages en LOG ) Doit-on rediriger de quelque façon que ce soit le service pop3 sur l'adresse de mon PC ( Serveur HTTP/POP/SMTP ). Info : MNF à 3 Cartes Réseaux : ETH0 : 192.168.1.1 ( Lan ) ETH1 : PPP+ ETH2 : 192.168.2.1 ( DMZ ) Adresse de mon pc (DMZ ) : 192.168.2.100 le sous-masque est le même partout : 255.255.255.0 Merci pour vos infos... RV. <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_mad.gif">

par **grosbedos** » 29 Avr 2003 11:26

iptables -t nat -I PREROUTING -i pppX -p tcp -d 192.168.2.100 --dport 110 -j DNAT --to 192.168.2.100:110 il faut certainement rajouter une regle pour le forward..a verif <IMG SRC="images/smiles/icon_wink.gif">

par **herve06** » 29 Avr 2003 12:17

J'ai crée une règle d'exception pour : DNAT:info wan dmz:192.168.2.100:110 tcp 110 j'ai aussi crée une règle proxy arp pour : 192.168.2.100 eth2 eth1 No ETH2 = DMZ ETH1 = Modem Ethernet 192.168.2.100 = Adresse du serveur http/pop/smtp ( Le serveur Pop3 ecoute toutes les adresses... ) Règles par défaut : 1 lan all REJECT info 2 dmz all REJECT info 3 fw all REJECT info 4 wan all DROP info 5 all all REJECT info HELP.....

par **Jacques-** » 29 Avr 2003 22:29

essaye déjà de mettre quelque chose comme ipop3d: ALL dans /etc/hosts.allow. (si c'est bien le programme ipop3d que tu utilises, il doit avoir le même nom que celui qui est lancé dans xinetd.d normalement). Si ça passe, tu affineras sur le réseau à autoriser ensuite... Jacques

par **herve06** » 29 Avr 2003 22:50

Salut Jacques, J'ai entrer la valeur ipop3d = All dans le fichier host.allow mais mes messages n'arrivent pas dans la boite. J'ai peut-être oublié une fonction ou autre chose ???? Mais ça marche toujours si c'est branché en direct, je dois te dire que çà m'ennerve pas mal. Est-ce que tu as une config comme çà chez toi ??? J'ai vu sur internet que d'autres avaient le même problème.... Merci de t'occuper d'un débutant... RV. <IMG SRC="images/smiles/icon_confused.gif">

par **herve06** » 30 Avr 2003 00:48

J'ai lancé un telnet toto.ma.cx 110 Le serveur me dit OK ! J'ai entré le User et Password Pas de problème, il me donne le contenu !! ( Vide évidemment... ) Apparement çà viendrait du MNF... Je ne sais pas si de doit entrer des valeurs dans le Snat ou DNat.... Si je doit entrer autre chose ... Merci d'avance RV <IMG SRC="images/smiles/icon_help.gif">

par **Jacques-** » 02 Mai 2003 22:44

Il y a un truc que je ne pige pas dans tes messages, tu parles de messages entrant du Wan sur le port 110. Le port 110, c'est du POP3, et donc ce sont des messages délivrés par postfix (via procmail en général) dans les boites de tes utilisateurs qui sont demandés par les usagers distants sur le Wan. C'est donc du courrier sortant. De plus, xinetd ne lance rien directement sur le port 110, c'est un autre démon qui est démarré à la demande (généralement ipop3d livré dans le package imap). Ne fais tu pas une confusion entre des utilisateurs qui doivent envoyer des mails via ton serveur postfix (en SMTP sur le port 25) et donc que postfix doit autoriser explicitement dans son fichier de config ? et des utilisateurs qui veulent relever leurs boites locales ? Si dans tes règles de DNAT tu renvois le 110, le 80 et le 25 vers ta machine, cela a l'air de bien fonctionner. Ensuite, les refus viennent soit du démon qui n'accepte pas des connexions distantes, soit de postfix que tu as intérêt à sécuriser si tu ne veux pas te trouver en open_relay et blacklisté de partout. Personnellement, j'ai un serveur postfix sur ma MNF qui me sert de relais SMTP vers mon FAI et de serveur local, et un serveur POP sur la MNF accessible uniquement en interne. Pour consulter mes mails depuis le web, j'ai créé un tunnel (via stunnel) qui n'accepte de lancer POP3 que si les clefs publique/privée sont OK. Pas de soucis pour faire tourner ça. Explique un peu plus ce que tu veux faire de cette machine postfix, je crois qu'il y a une légère incompréhension à la base quelque part. Jacques

par **herve06** » 02 Mai 2003 23:37

Salut Jacques, Je te donne les infos concernant le fonctionnement : 1 PC MNF ( 3 Cartes réseau : Lan, Internet, DMZ ) 1 PC relié à la DMZ ( REDHAT 9 ) 1 PC LAN Quand j'envoi un message avec un 4° PC qui n'est relié à rien sauf à un autre modem sur <a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a> ( Adresse dynamique ) le message n'arrive pas dans ma boite HERVE ( compte classique interne de la machine redhat ), pareille pour <a href="mailto:root@toto.ma.cx">root@toto.ma.cx</a> etc... par contre si je crée un message avec <a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a> (à partir de ma machine Redhat - DMZ ) il arrive sur ma boite Voila ou wanadoo !!?? donc le SMTP fonctionne. Et pour finir quand je branche mon PC ( Redhat 9.0- DMZ ) sur mon modem ADSL je peux envoyer des messages sur Voila ou Wanadoo et recevoir dans ma boite <a href="mailto:Herve@toto.ma.cx">Herve@toto.ma.cx</a> ou autre.... Je ne veux pour l'instant pas crée de compte pour des utilisateurs distants qui souhaiterais envoyer ou récupérer leurs messages à partir de mon serveur. Je souhaite le faire plus tard car pour l'instant aucun message ne rentre sur mes comptes internes... J'espère t'avoir eclairé un peu plus.... RV.

par **antolien** » 03 Mai 2003 00:11

j'ai lu vite fait tout ça, et à mon avis jaques- à raison sur le fait qu'il y a confusion sur les protocoles. Le port 25, soit SMTP n'est pas seulement pour le courrier sortant, mais aussi pour la reception des messages venant d'internet. Pour faire simple, tu dois ouvrir le port 25 et le forwarder vers ton serveur postfix, sinon, les messages ne seront jamais reçus par ton serveur. le port 110 n'est que de la "consultation" de ce qu'il y a sur ton serveur.

par **Jacques-** » 03 Mai 2003 09:54

C'est bien un problème de compréhension du SMTP à priori Le SMTP sert aussi bien à envoyer qu'à recevoir des messages entre MTA, et le POP ou le IMAP sert à relever les mails entre MUA et MTA. Pour connaître la cause du refus de postfix,soit tu fouilles dans les logs (souvent /var/log/mail) ou plus simplement tu ouvres une session telnet sur le port 25 depuis ton modem externe. Pour touver la syntaxe du SMTP, une petite recherche sur google te la donnera facilement. Ensuite, essaye de poster un message, tu sauras pourquoi il refuse, si la session est close immédiatement, c'est que le réseau n'est pas autorisé. Voir le fichier de config de postfix ensuite pour mettre les bonnes valeurs. Jacques

MNF+POP+SMTP

Qui est en ligne ?