IPCop et smtp

par **fouhaa** » 16 Mars 2004 18:16

Très bizzard, je viens d'installer deux pare-feu IPCop j'ai changé de version parce que toutes celles que j'ai essayé avait le même problème : impossible de faire rentrer smtp de rouge vers orange et de rouge vers vert : Internet ===== IPCop ======== IPcop = = = = = = = = = = Postfix (orange) exchange(vert) donc après m'être battu avec ipcop <IMG SRC="images/smiles/icon_boxe2.gif"> , internet vers postfix fonctionne enfin mais postfix vers exchange marche pas @ ip 132.55.12.2/29===== 192.168.1.2/29 ======== 192.168.1.3/29 80.1.1.2/29 = = = = = = = = = 80.1.1.4/29 Je comprend plus rien <IMG SRC="images/smiles/icon_confused.gif"> mais, j'ai bien fait un transfert de port, un alias externe mais ça marche que pour internet - postfix. J'ai donc essayé IPcop 1.3, 1.4a et maintenant pour les deux FW j'en suis à la 1.4 b2. Un patch qui maque ??? j'en ai déja installé un mais c'était le même pour les deux distributions Alors qu'est-ce qui ne va pas ????

par **tomtom** » 16 Mars 2004 18:50

Peux-tu essayer d'être un peu plus clair ? Ou est ton postfix ? ou est ton exchange ? Pourquoi 2 ipcops ? tu as une vraie DMZ entre les 2 ? Bref, un peu plus de precisions, car ton schema n'est pas très net ! t.

par **fouhaa** » 17 Mars 2004 09:36

Mon schéma en fait ressenblait pas du tout à ça lorsque j'ai tapé le message donc Internet (rouge) | | | | IPCop 1.4b2=========postfix (orange) (vert) | | | | | (rouge) IPcop 1.4b2=========Exchange (vert) en gros ça donne (ipcop 1.4b2 (132.55.12.2(rouge) ( (80.1.1.2 (orange) =====================80.1.1.4 (exchange) ( (192.168.1.2 (vert) | | | | | (IPcop 1.4b2 (192.168.1.3(rouge) ( (10.1.1.1 (vert) | | | réseau local Il y a deux IPcop pour plus de sécurité, et à terme la zone entre les deux IPCop servira pour des serveurs FTP J'espère que ça t'aidera là j'ai plus d'idées <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_cussing.gif"> <IMG SRC="images/smiles/icon_help.gif">

par **fouhaa** » 17 Mars 2004 09:42

Désolé j'ai fait un erreur Internet | | | | ...........IPCop 1.4 b2................ (132.55.12.2 (rouge) ( (80.1.1.2 (orange) ================ POSTFIX(80.1.1.4) ( (192.168.1.2 (vert) | | | | .............IPCOP1.4b2................ (192.168.1.3 (rouge) ( (10.1.1.1 (vert) | | | Exchange (10.1.1.7)

par **tomtom** » 17 Mars 2004 10:45

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-03-17 08:42, fouhaa a écrit: Internet | | | | ...........IPCop 1.4 b2................ (132.55.12.2 (rouge) ( (80.1.1.2 (orange) ================ POSTFIX(80.1.1.4) ( (192.168.1.2 (vert) | | | | .............IPCOP1.4b2................ (192.168.1.3 (rouge) ( (10.1.1.1 (vert) | | | Exchange (10.1.1.7) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> OK pour la config. J'ai quelques questions : 1- Tu sembles avoir une ip fixe (d'ailleurs je te conseille d'eviter de la donner en plus de ta config, ce n'est pas tres malin ! ).. Mais tu configures ta DMZ 1 avec des ip publiques.... Tu en possèdes une plage complète, ou est-cu une erreur de ta part ? 2- Pour que ca puisse marcher, ton postfix doit pouvoir acceder à ton exchange. Ceci implique : - 1 pinhole sur le ipcop 1 pour autoriser postfix à acceder à l'adresse ip de exchange. - que le ipcop 2 laisse passer ce flux. Or ! IPCop fait du nat ! C'est à dire qu'il est configuré pour n'utiliser qu'une seule ip publique sur sa zone rouge... En fait, pour que ton truc fonctione, il faudrait que ton postfix relaye sur l'ip RED de ton second IPCop (moyennant toujours le pinhole ! ), et que ton second IPCop fasse un foroward de son port 25 vers le exchange en green. De plus, quand le exchnage va "parler" au postfix, son adresse sera translatée par IPCop, utilisant l'adresse "RED" c'est à dire 192.168.1.3. Mon conseil : Tu gardes le premier IPCop, même config, pour creer la DMZ (utilises une adresse RFC 1918 compliant pour ta dmz ceci dit !) Tu remplaces le second IPCop par un autre firewall, qui ne fera pas de nat.. Freesco par exemple (tient sur une disquette, facile à configurer), ou pourquoi pas censornet, qui correspondrait tres bien à cette utilisation. Ca eviterait de translater des adresses transaltées.... t.

par **fouhaa** » 17 Mars 2004 12:32

En fait vers internet, il y a un modem ethernet, qui est compétement idépendant de l'architecture, j'ai bien configuré le postfix pour qu'il envoye sur 192.168.1.3. Mais ça ne fonctionne pas. J'ai placé un ordi au millieu entre la rouge et la verte, telnet sur le port 25 avec l'IP de exchange, pas moyen, pourtant de rouge vers orange, pas de problème. Sinon merci pour l'info (nat) mais je pensai pas que sa poserai des problèmes. autre question les IP de la DMZ peuvent-elles être privé 10.... ou 172... ou 192.168... ??? J'ai aussi un problème avec les Logs de iptables ils sont ou ???? Désolé pour les question un peu idiotes, faut bien commencer <IMG SRC="images/smiles/icon_frown.gif">

par **Franck78** » 17 Mars 2004 13:01

Puisque tu as créé une DMZ entre tes deux FW, tu n'as pas besoin d'utiliser ORANGE pour ton postfix. Ca met deux barrière entre lui et exchange. Et toujours une seule entre lui et l'internet. Les serveurs public dans la DMZ. (ftp, http, proxy?, postfix) et ids. Et une seule DMZ pour commencer _________________ Franck <IMG SRC="images/smiles/icon_wink.gif">

par **fouhaa** » 17 Mars 2004 14:55

C'est bien ce que j'essaie de faire mais j'arrive pas à envoyer postfix sur exchange (connection timed out). De plus, dans la dmz entre les deux IPCop, il y aura un pot de miel (honey pot, leurre) c'est pour ça que j'ai besion de deux pare-feu <IMG SRC="images/smiles/icon_up.gif">

par **Franck78** » 17 Mars 2004 15:04

Commences par enlever la zone ORANGE. Après seulement on pourra faire quelquechose. On a bien compris ce que tu veux: une DMZ délimitée par deux FW. Un classique, moins courant que la solution du pauvre.

par **fouhaa** » 17 Mars 2004 15:38

NON j'ai deux DMZ, une dans la quelle il ya les serveurs postfix et apache, l'autre dans la quelle il y a le pot de miel. j'ai donc besion d'une double DMZ, pour que le pot de miel puisse fonctionner correctement, il a besoin d'avoir un environement un peu particulier. je peux effectivement changer de pare-feu pour pas faire de nat, mais j'ai besion d'avoir une dmz dans la quelle il y a http et smtp, l'autre dans la quelle il y a ce fameux pot de miel. désloé de me répéter mais la solutions ne se trouve, à mon avis pas dans la typologie du réseau mais plutot dans sa configuration : un oublie de ma part, une info qui me manque. si réellement ça fonctionne pas à cause de ça, alors il faut que je trouve un autre coin pour mettre le "Honey pot" Merci a+

par **tomtom** » 17 Mars 2004 16:36

as-tu deja consiguré la DMZ pinhole pour autoriser le flux de la premiere dmz vers le red du second IPCop ? t.

par **fouhaa** » 17 Mars 2004 16:41

Oui mais ça marche pas pourtant j'ai bien fait > accès à la dmz adresse orange 80.1.1.4 port 25 adresse verte 192.168.1.3 port 25, j'ai bien essayé mais ça fonctionne pas. Si tu as un idée je suis preneur merci

par **tomtom** » 17 Mars 2004 17:35

ben ensuite, verifier le transert de ports sur le second IPcop. Verifier aussi que tu n'as rien dans les logs du second IPcop t'indiquant l'erreur (j'ai ouï dire que dans certains cas, IPCop se comportait assez mal quand des adresses privées s'addressaient à lui sur son interface red... ) t.

par **fouhaa** » 18 Mars 2004 10:09

ça c'est cool, je vais essayer de ce pas, mais les adresses oranges, peuvent-elles être privées ? Sinon j'ai toujours pas de sortie de orange vers vert pour postfix. ??? Je sais pas ce qui se passe. si tu veux, je peux t'envoyer ma config par feu .

par **tomtom** » 18 Mars 2004 11:12

Le sadresse oranges DOIVENT etre privées (à moins que tu ne possèdes une classe complète d'adresses publiques à y mettre !) Ensuite, pour que le orange puisse parler au green, il faut configurer un "dmz pinhole" (ce que tu as fait apparemment). Enfin, verifier (en mettant un poste de test dans la zone intermediaire)que la pinhole marche bien... Ensuite, on s'attaquera au secon IPcop <IMG SRC="images/smiles/icon_wink.gif"> t.

IPCop et smtp

Qui est en ligne ?