Problème port forwarding SMTP

[t-boo]

Bonjour,

J'ai récemment mis en place un PC sous PFSense qui sera utilisé à terme comme routeur dualwan.
Je rencontre un problème au niveau du transfert de ports.
Je m'explique :

J'ai créé deux NAT port forward (et les règles firewall qui en découlent) comme suit :

Code: Tout sélectionner

If     Proto     Ext. port range     NAT IP     Int. port range     Description        
WAN    TCP    25 (SMTP)    192.168.2.10 (ext.: 80.201.x.x)    25 (SMTP)    SMTP     
WAN    TCP    4662     192.168.2.245 (ext.: 80.201.x.x)    4662     TESTFORWARD


2.10 est le serveur exchange
2.245 est mon poste personnel
4662 est un autre port de test
J'ai activé l'option de log pour ces règles ("Log packets that are handled by this rule")

Dans le cadre de mes tests, voici mes remarques:
1ère point étrange :
Depuis mon poste, l'url de test d'ouverture de port suivante : http://tools.slsknet.org/porttest.php?port=4662 me signale que le port est bloqué. Or, les entrées dans le log firewall m'indiquent que le routeur laisse bien passer les requêtes.

J'en déduis : bien que le script de test m'indique que le port est bloqué, le routeur perçoit bien les requêtes (cfr. activités dans le log) : rien ne bloque en amont du routeur comme j'ai déja pu l'imaginer dans un post précédant.

2ème point :
Depuis le réseau interne, je parviens à me connecter à l'exchange via "telnet 192.168.2.10 25" pour envoyer un mail à une boite configurée. Le mail est bien reçu.
Déduction : l'exchange est correctement configuré. Dès lors, il devrait bien distribuer les mails une fois qu'ils entrent dans le réseau.

Par contre lorsque je tente un telnet IPPUBLIQUE 25 depuis un poste en dehors de notre réseau (serveur OVH en accès distant) : connect failed. Le log firewall ne m'indique aucune ligne OK ou KO.
Déduction : c'est là que vous intervenez

J'espère avoir été complet, merci pour votre aide


[/code]

[tomtom]

Déduction : Ton FAI, comme beaucoup de nos jours, bloque l'accès au port 25 et ne te permet pas d'heberger un smtp.
Il faut lui demander si c'est possible de changer ça.

Ou alors c'est le FAI sur lequel est ton PC client de test qui bloque le 25 sortant, ça arrive aussi

t.

[t-boo]

Déduction : Ton FAI, comme beaucoup de nos jours, bloque l'accès au port 25 et ne te permet pas d'heberger un smtp.
Il faut lui demander si c'est possible de changer ça.

Ou alors c'est le FAI sur lequel est ton PC client de test qui bloque le 25 sortant, ça arrive aussi

t.

Effectivement, le SMTP sortant est bloqué par mon FAI, celui-ci obligeant ses abonnés à utiliser son SMTP. "Certains ordinateurs étant délibérément infectés d'un virus dont l'objectif est d'envoyer un grand nombre de messages non désirés (spam), nous avons décidé de bloquer le port 25 pour le trafic e-mail sortant de nos clients ADSL Go et Plus. Dorénavant, ce trafic devra obligatoirement passer par les serveurs courrier de Belgacom (relay.skynet.be).(Source Belgacom)"

Pour ce problème d'envoi, j'ai déja prévu un connecteur SMTP dans exchange pour utiliser le SMTP de Belgacom pour le courrier sortant.

Par contre ça n'explique pas le problème de courrier entrant . Auraient-ils osé bloquer l'SMTP entrant ?

[tomtom]

http://www.speedguide.net/scan.php

Par exemple... pour tester un port c'est pas mal.... Et regarder les logs du firewall en même temps... S'il n'y a rien, le port est filtré !

Partat de là, ce peut-etre le FAI, ou alors ton routeur externe....

[t-boo]

Merci pour le lien, direct dans les favoris.

Bon, du neuf :

J'ai entretemps ouvert le port 5025 dans le firewall.

En utilisant le scanner de speedguide.net
Scan du port 25 : "filtered", pas de trace dans le FW
Scan du port 4662 : "filtered", trace OK dans le FW
Scan du port 5025 : "open", trace OK dans le FW

D'autre part :
- dois-je permettre quelquechose sur le routeur pour que les telnet depuis le WAN soient autorisés ?
- un "ping IPPUBLIQUE" depuis l'extérieur ne donne pas de réponse, est-ce qu'il y a une option à activer dans pfsense pour être pingable ?

EDIT: au niveau routeur, voici comme cela se présente.

Code: Tout sélectionner

POSTES + SERVEUR exchange >> IFSENSE >> modem ethernet ALCATEL 1000 ADSL

[jdh]

Le ping pour pfsense est activable (et devrait l'être).

C'est assez simple : Firewall > Rules > onglet Wan, puis créer une règle :

Protocol : ICMP / Type ICMP : Echo (ou, moins sur, "any")
Source : any
Destination : WAN address

J'aurais répondu comme tomtom ... sauf l'ordre : les fai bloquent d'abord le port tcp/25 en sortie (ou plutôt limitent à leur seul smtp), puis les fai bloquent la réception du port tcp/25. Autant le premier est carrément normal, autant le 2me me parait restrictif et cause de changement de fournisseur, quoique sur ADSL.


Quelques autres remarques :

- je crois totalement inutile d'ouvrir le port tcp/5025. L'échange de mail entre serveur smtp C'EST sur le port tcp/25, un point c'est tout. (D'ailleurs par quel moyen un serveur saurait qu'il faut avec ce destinataire un autre port ?)

- ne pas oublier que le filtrage d'un firewall est avant tout d'ouvrir ou fermer un port, mais s'il est ouvert c'est surtout pour le transférer à une machine interne. Le filtrage est limité à une notion de port associé à un suivi de session (pour tcp). Il est rare que le filtrage concerne le niveau supérieur : le niveau applicatif. Alors l'interprétation "open", "closed" ou "filtered" a certes du sens, mais il ne faut pas faire trop de différences (entre "open" et "filtered").

- un test ESSENTIEL concernant le mail est le test d'Open Relay (dont les sites ne manquent pas).


- je discute plutôt l'intérêt d'ouvrir le port tcp/25. Je préfère nettement laisser le soin à un hébergeur de recevoir les mails et installer plutôt un serveur de mail accompagné d'un fetchmail. Mais cela dépend de paramêtres comme le nombre de boites (au delà de 50), le type de ligne (au moins en sdsl), l'adressage ip (fixe bien sur), les sla/gtr/secours de la ligne, ...
Cela ne coûte presque rien et cela fonctionne très aisément, presque du 1er coup, et en tout cas plus vite que l'autre solution.

[t-boo]

Le ping pour pfsense est activable (et devrait l'être).
C'est assez simple : Firewall > Rules > onglet Wan, puis créer une règle :
Protocol : ICMP / Type ICMP : Echo (ou, moins sur, "any")
Source : any
Destination : WAN address

Ca fonctionne bien avec le "Echo"

J'aurais répondu comme tomtom ... sauf l'ordre : les fai bloquent d'abord le port tcp/25 en sortie (ou plutôt limitent à leur seul smtp), puis les fai bloquent la réception du port tcp/25. Autant le premier est carrément normal, autant le 2me me parait restrictif et cause de changement de fournisseur, quoique sur ADSL.

Tout a fait d'accord. Autant je pense même normal de ne pouvoir envoyer des mails que via leur SMTP, autant le fait de le bloquer en entrée est inconcevable surtout quand on souscrit un abonnement pro depuis des années. Je vais en avoir le coeur en les appelant cette matinée.

- je crois totalement inutile d'ouvrir le port tcp/5025. L'échange de mail entre serveur smtp C'EST sur le port tcp/25, un point c'est tout. (D'ailleurs par quel moyen un serveur saurait qu'il faut avec ce destinataire un autre port ?)

En fait c'est ma deuxième solution: no-ip.com offre le service Reflector qui consiste en un tampon entre les serveurs mails tiers et le notre. Il permet de cette façon de rediriger les mails entrant sur le port de son choix, non bloqué par le FAI. Ensuite, soit configurer exchange pour écouter sur ledit port, soit configurer le NAT de la sorte : Ext. port range = 5025, Int. port range = 25. L'ombre au tableau c'est le cout : 35$ annuel par nom de domaine. Second problème, plus on ajoute d'intermédiaires, moins c'est fiable. Et je ne suis pas particulièrement chaud à faire transiter mes mails par un service anonyme.
Le lien : http://www.no-ip.com/support/guides/ema ... rt_25.html

- un test ESSENTIEL concernant le mail est le test d'Open Relay (dont les sites ne manquent pas).

J'en prend bonne note

- je discute plutôt l'intérêt d'ouvrir le port tcp/25. Je préfère nettement laisser le soin à un hébergeur de recevoir les mails et installer plutôt un serveur de mail accompagné d'un fetchmail. Mais cela dépend de paramêtres comme le nombre de boites (au delà de 50), le type de ligne (au moins en sdsl), l'adressage ip (fixe bien sur), les sla/gtr/secours de la ligne, ...
Cela ne coûte presque rien et cela fonctionne très aisément, presque du 1er coup, et en tout cas plus vite que l'autre solution.

Cette solution m'obligerait à utiliser un serveur mail unix-like ?