Problème d'accès a un webmail en https

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Problème d'accès a un webmail en https

Messagepar Denis Leroy » 12 Avr 2005 10:15

Bonjour a tous,

Voila j'ai un gros problème avec ma mnf 8.2
Je n'arrive presque pas à accéder à un webmail que j'ai mis dans la dmz. L'accès se fait en https.
En fait j'arrive à y accéder de temps en temps, mais la plupart du temps, l'accès est refusé.

J'explique un peu mon architecture :

WAN -> MNF 8.2 -> LAN
DMZ

Dans la DMZ se trouve un serveur web (accessible port 80 (normal)) et un webmail accessible en https

Depuis le wan, j'accède parfaitement au serveur web, sans soucis.
Depuis le wan, je n'accède que rarement au webmail

Depuis le Lan, j'accède parfaitement au serveur web et webmail, sans aucun soucis. j'accède de plus depuis le lan parfaitement à la console https de la mnf

J'ai voulu faire un test pour etre sur que le problème venait de la MNF, j'ai créé une regle :
DNAT wan dmz:192.168.*.*:80 tcp 5050
ca dirige vers le webmail et ca marche très bien

Ah oui j'oubliai, quand mon webmail n'est pas accessible, les mails sont quand meme recu et envoyés, le problème bien donc du traitement de https par la mnf...

une idée ?
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Gandalf » 12 Avr 2005 11:32

Le problème ne viendrait-il pas plutôt du navigateur à partir du quel tu vas en htppS sur ton webmail ? Si c'est IE regarde son niveau de cryptage ( qui doit être à 128 bits pour aller en https ) et sinon essayes en un autre et regarde ce qu'il se passe ....
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Denis Leroy » 12 Avr 2005 11:36

J'ai essayé avec IE 6 et Firefox.

Comme je l'ai dis ca marche de temps en temps, avec les 2

donc je ne pense pas que ce soit le cryptage du navigateur
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Jacques- » 12 Avr 2005 12:01

Et quand ça ne marche pas, tu as quoi comme log au niveau de shorewall (dans messages) et de ton webmail ?
Les connexions sont acceptées, rompues, refusées ?
Les paquets sont jetés ?

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Gandalf » 12 Avr 2005 12:05

Etrange tout ça, moi j'ai un webmail derrière un MNF et tout est OK ! Le MNF ne "traite" pas le https, il laisse passer ou pas ! Tu as changé le port de ton webmail en https ou tu as laissé le port par défaut ?
Et pour écarter tout problème matériel, les autres services hébergés sur le même serveur fonctionnent tous correctement ?
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Denis Leroy » 12 Avr 2005 12:09

alors en réponse à gandalf, le seul site du serveur est le webmail.
Il est accessible parfaitement depuis le lan. ce n'est que depuis le wan que cela pose problème.


Pour Jacques, les logs pour la règle concernant mon webmail n'etait pas activés je ne pense pas qu'il y ait grand chose dans message.

Je regarde et je vous tiens au courant
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Denis Leroy » 12 Avr 2005 12:14

Heu une fois mis "info" sur la regle qui m'interresse de logguer, il faut faire qque chose sur le firewall ?
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Jacques- » 12 Avr 2005 13:37

Normalement non, shorewall est redémarré à chaque modification faite dans l'interface.
Mais même sans info sur la règle, si les paquets sont jetés, tu auras la trace dans message.

Le mieux est d'ouvrir un terminal et de faire un tail -f /var/log/messages en root en même temps que l'on tente l'accès depuis une machine.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Denis Leroy » 12 Avr 2005 14:56

Alors avec la commande de jacques, rien ne se passe lorsqu'une machine essaye de se connecter.

J'ai 2 lignes qui reviennent toutes les minutes mais je ne pense pas que ca soit lié :
CROND [xxxxxx] : (root) CMD( usr/share/msec/promisc_check.sh)
CROND [xxxxxx] : ('root) CMD( usr/sbin/monitoring.pl)

sinon durant les 20 minutes ou j'ai testé j'ai eu un ou 2 wan2all drop bon ca je pense que c'est normal
mais rien de plus...
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Jacques- » 12 Avr 2005 17:48

La tâche cron est normale.
Si rien n'est jeté par shorewall, il y a deux cas possibles :
1) la règle info mise sur la redirection fonctionne : dans ce cas aucun paquet n'atteint le webmail
2) la règle info ne fonctionne pas : les paquets arrivent et ne sont pas rejetés

Donc, vérifier que la règle info fonctionne bien, en créant une redirection similaire vers une autre machine (dans le LAN par exemple) pour voir si la gestion est correcte par exemple.
Regarder dans les logs du webmail s'il reçoit au moins une requête de connexion, et si possible démarrer le serveur en mode débug ou trace.

A mon humble avis, la redirection ne fonctionne pas, ou les adresses ne sont pas transformées correctement et les paquets se perdent (adresse locale utilisée pour le distant, etc..).

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Gandalf » 12 Avr 2005 18:07

Une autre chose me vient à l'esprit, ton serveur sen DMZ il a une IP fixe publique, un nom de domaine acheté ou un dyndns ?
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Denis Leroy » 12 Avr 2005 18:15

Pour commencer, merci a vous pour m'aider a résoudre mon problème

je vais regarder les logs du webmail, mais le soucis est que la redirection fonctionne de maniere aléatoire

Pour Gandalf, je dispose d'une ip fixe au niveau de mon routeur, mon serveur webmail en dmz ayant une ip fixe locale
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Gandalf » 12 Avr 2005 18:19

Ok, et tu te connectes comment sur ton serveur, avec son IP ou son nom de domaine ?
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Denis Leroy » 12 Avr 2005 18:41

que ce soit depuis le lan ou le wan le nom de domaine.
en http, la MNF redirige vers mon serveur web
en https, la MNF redirige vers mon webmail, celui qui ne fonctionne que par intermittance


venant exclusivement de https (une regle dirigeant vers le meme serveur en http fonctionnant tres bien), il n'y pas de restrictions ou une configuration quelconque ? je sais bien que ce n'est qu'un port forwarding normalement mais ce la n'implique rien de plus du coté du firewall (encodage...) ?
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Messagepar Denis Leroy » 12 Avr 2005 19:34

je me suis créé un autre firewall et j'ai importé toutes les regles de l'ancien.

Je viens de mettre le nouveau en prod, et apres 1 heure de test, ca semble marcher.
Je vous tiendrai au courant demain si ca marche ou non.

Dans le cas (j'espere) où ca marcherai, se pourrait il qu'il y ait un quota d'utilisateurs connectés simultannés ? du port forwarding d'https prend il plus de ressources que l'http (je ne vois pas pourquoi mais bon je pose quand meme la question ?)

Avez vous des idées ?
Denis Leroy
Second Maître
Second Maître
 
Messages: 27
Inscrit le: 19 Juil 2004 18:34

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron