kna a écrit:Le serveur mail en question est un vieux Quickmail sur MacOS, rien vu de restrictif, si ce n'est qu'on peut spécifier l'IP qu'est censée avoir un client. Désactivé, modifié, toujours pareil.
Si cela vous est possible, j'essayerais:
1- de mettre le serveur en question dans green et de voir s'il peut envoyer un mail
2- de mettre un autre pc dans orange et de voir s'il peut envoyer un mail
kna a écrit:"Quelque chose" semble empêcher de sortir de la dmz vers le green, mais quoi ??
Par défaut, dmz -> green = impossible. Mais avec un pinhole, il n'y a normalement pas de soucis.
kna a écrit:J'ai bien essayé sur l'IPCOP de scruter /etc/rc.d/rc.firewall avec VI, mais à mon niveau, autant essayer de décrypter les manuscrits de la Mer Noire...
Marche plutôt bien pour les choses simples (si je n'ai pas fait de c***eries, hein?
). Par exemple, pour interdire par défaut toute sortie de green -> red sans interdire green -> orange:
Dans la rubrique "# localhost and ethernet", mettre en commentaire (ajout d'un #):
#/sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT
et ajouter
/sbin/iptables -A FORWARD -i $GREEN_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT
Enfin, ajouter dans /etc/rc.d/rc.firewall.local toutes les règles d'acceptation green -> red et orange -> green. Pour ce dernier, par exemple pour accepter qu'un serveur en orange accède au serveur de temps:
/sbin/iptables -A INPUT -i eth1 -s 192.168.0.xx/32 -p udp --dport 123 -m state --state NEW -j ACCEPT
L'intérêt d'utiliser /etc/rc.d/rc.firewall.local est qu'il ne bouge pas lors des mises à jour, contrairement à /etc/rc.d/rc.firewall.
kna a écrit:Si qqu'un pouvait me donner un exemple de lignes que je *devrais* y trouver, je pourrais vérifier et au besoin les ajouter ?
J'espère que cela vous aidera... Sinon, il y a aussi le très bon site d'Antolien qui m'a permis de bien avancer : <http://ipcop.hn.org/>.
--
Michaël.