[Quasi-résolu] Serveur de mail accessible de l'extérieur

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Quasi-résolu] Serveur de mail accessible de l'extérieur

Messagepar kwa29200 » 15 Sep 2005 10:45

Bonjour à tous,

Voici ma configuration actuel :
Code: Tout sélectionner
Internet >> Switch 1 >> iptables interne serveur web >>Serveur web (adresse public 81.80.X.X)

VPN (France telecom) >> Switch 2 >> Serveur mail (adresse privé 192.168.X.X)

Je cherche à mettre le serveur web et le serveur mail derrière un IPCOP afin de bien les protéger et de pouvoir acceder au deux à partir d'internet.
La configuration que je souhaite monter :
Code: Tout sélectionner
Internet >>  Switch 1 >> Red ipcop >> IPCOP >> Green ipcop >> Switch 2 >> les 2 serveurs

Je voulais donc savoir si ma configuration n'était pas dangereuse pour mon rezo interne ou si vous aviez d'autres solutions à proposer ??
Pour l'instant chez m'y ipcop derriere internet je peu donc le pinguer avec un adresse privé. Maintenant je vais tester le serveur de mail en le laissant avec une adresse privé (pare-feu/transfert de port).

D'avance merci pour vos conseils et réponses.
Dernière édition par kwa29200 le 19 Sep 2005 18:15, édité 1 fois au total.
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Messagepar loberty » 15 Sep 2005 12:29

Bonjour,

Ton serveur de mail étant ouvert, c'est à dire joignable de l'extérieur, tu devrais le mettre en DMZ.

internet
|
|
ipcop---DMZ-----=> serveur de mails, web, etc ... tout serveur accessible depuis GREEN et RED
|
|
GREEN

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Merci pour ta reponse

Messagepar kwa29200 » 15 Sep 2005 14:31

Merci pour ta reponse.
Mais mon serveur n'est tj pas en exterieur, il est pour l'instant sur un vpn oléane donc pour moi il est deja en DMZ.
Je me trompe ??
Sinon ma configuration souhaitée est possible ou dangereuse ??
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Encore moi

Messagepar kwa29200 » 15 Sep 2005 16:17

Bon j'ai mis en red/green ipcop.
Je suis allé en transfert de port pour le pare-feu. J'ai commencer par tester le port 80.
Sur la red ipcop internet et sur la green mon pc portable.
Le port 80 et 25 sont bien ouvert sur le portable.

Lorsque je me connecte sur l'ip public via un navigateur : sans soucis pour le port 80.
Par contre le port 25 m'est refusé à chaque fois. Ya til une manip différente à faire ??
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Petit UP

Messagepar kwa29200 » 15 Sep 2005 17:40

Petit UP
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Messagepar loberty » 15 Sep 2005 19:49

Le port 25 (TCP -telnet) peut être bloqué par ton FAI.
Pour ma part je transfert aussi le 25 sans problèmes.
As tu été voir des logs, les connexions ?
Un sniffage de ce qui se passe sur ton portable ?

En fait, fais cela dans l'ordre :
1. vérifies que la connexion arrive sur IPCOP : tu met alors de côté un problème FAI
2. vérifies que IPCOP transfert bien : tu met alors de côté un problème IPCOP
3. vérifie le sniffage sur le portable : le problèmle est alors en remontant vers l'expéditeur

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Suite aux manips

Messagepar kwa29200 » 16 Sep 2005 10:16

Bonjour loberty,

J'ai donc été réalisé les différents tests :
- vérifies que la connexion arrive sur IPCOP
je ping bien l'adresse public du serveur ipcop ainsi que l'adresse privé en étant dans le rezo interne (VPN)
- vérifies que IPCOP transfert bien
Justement c'est mon soucis, le transfert se passe mal
- vérifie le sniffage sur le portable
rien dans les logs

Le pb viens d'ipcop qui bloque le port. Quand je fais un nmap il me dit que les ports 25 n'est pas ouvert. (80 et 113 ouvert).
Je ne vois tj pas ou se situe le soucis ??

Je continue de tester et je vous poste les logs trouvé.
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Messagepar loberty » 16 Sep 2005 10:43

Bonjour,

Tu es bien certain d'avoir fait dans TRANSFERT DE PORT le transfert du 25 en entrée sur le PC portable ?

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Pour l'instant ce que je trouve étrange

Messagepar kwa29200 » 16 Sep 2005 10:48

Dans Journaux/Résumé des journaux/Connexions utilisateur distant :
Illegal users from these:
192.168.XX.XX: 2 times
From (adresse puiblic de mon poste) 81.80.XX.XX - 125 packets to tcp(21,22,23,25,53,54,80,86,188,209,222,228,242,256,332,376,389,441,443,445,554,589,636,704,754,776,790,793,803,840,883,895,931,956,1011,1016,1419,1438,1723,2000,2026,2030,2430,3000,3389,4144,5193,6112,8080,19150)
A total of 1 sites probed the server
192.168.XX.XX
Dans le transfert de port j'ai mis ça :
Proto Source Destination Remarque Action
TCP DEFAULT IP : 25(SMTP) => 192.168.XX.XX : 25(SMTP) Port 25 SMTP
Accès autorisé depuis : 81.80.XX.XX (Port 25 SMTP)

Un autre truc bizarre. J'ai mis mon portable sur le switch appartenant au vpn (switch contenant d'autre poste).
Ouvert le port 80 pour le portable => j'y accéder depuis internet => nickel
Ouvert le port 80 sur un autre poste => impossible d'y accéder
Voila donc c'est le flou artistique encore.
Quel test je pourrais effectué afin de me faire comprendre ce qui ne va pas ?? (telnet 192.168.XX.XX 25)
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Messagepar loberty » 16 Sep 2005 12:35

Au risque de ne pas avoir tout compris, mais l'adresse IP qui se connecte depuis RED vers ton serveur elle est en 192.168.x.x ?
Tu n'aurais pas un règle qui empêche toute adresse non public (= 192.168.x.x, 10.0.x.x par exemple=) de se connecter ?

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Réponse

Messagepar kwa29200 » 19 Sep 2005 11:15

Bonjour et merci de ta réponse.

l'adresse IP qui se connecte depuis RED vers ton serveur elle est en 192.168.x.x ? Non c'est l'adresse public 81.80.XX.XX

Voila ce que me sort un netstat -l
Code: Tout sélectionner
root@kernwall:~ # netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost:783           *:*                     LISTEN
tcp        0      0 *:hosts2-ns             *:*                     LISTEN
tcp        0      0 *:domain                *:*                     LISTEN
tcp        0      0 *:microsoft-ds          *:*                     LISTEN
tcp        0      0 *:rsh-spx               *:*                     LISTEN
udp        0      0 *:filenet-tms           *:*
udp        0      0 *:domain                *:*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     2904   /var/log/copfilter/default/opt/clamav/var/run/clamd.socket

Puis un nmap à partir de mon poste sur l'adresse public et privé
Code: Tout sélectionner
[sofibra@PCDEV ~]$ nmap 192.168.XX.XX
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-19 11:06 CEST
Interesting ports on kernwall.sofibrasa (192.168.XX.XX):
(The 1659 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
53/tcp  open  domain
81/tcp  open  hosts2-ns
222/tcp open  rsh-spx
445/tcp open  microsoft-ds

nmap -sT -PT 81.80.XX.XX
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-19 11:08 CEST
All 1663 scanned ports on 81.80.XX.XX are: filtered


Donc il ya quelque chose que le bloc. Faut-il rajouter à la main dans le firewall.local des régles ??
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Bonjour bonjour

Messagepar kwa29200 » 19 Sep 2005 18:14

Je viens de rajouter la passerelle ipcop à l'un de mes clients et alélouya ca marche.
Malgrès tout, ce n'est pas vraiment le mode de fonctionnement que je souhaitais.

Pourriez vous m'expliquer pourquoi je dois mettre la passerelle ipcop sur le client et comment s'en dégager ??
D'avance merci pour votre aide.
kwa29200
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 07 Juil 2005 18:47

Messagepar loberty » 19 Sep 2005 22:23

Bonsoir,

2 réseaux avec des plages d'adresses différentes ne peuvent communiquer que s'ils ont une passerelle commune. Encore que certains diront que dans ce cas c'est un routeur et non une passerelle.

Lorsque ton pc qui est dans GREEN veux aller sur le net, comment sait-il qu'il doit passer par IPCOP ?
Il le sait car IPCOP a été définie comme passerelle.
Si tu ne veux pas paramétrer cela sur chaque station, dans ce cas, utilise le DHCP.

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron