Fetchmail depuis DMZ

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Fetchmail depuis DMZ

Messagepar mtill » 26 Mars 2008 09:45

Bonjour,

Voici ma situation : je teste une solution qui me permette de récupérer toute une série d'adresses POP3 avec fetchmail depuis la DMZ d'IpCop. Tout fonctionne sauf quand j'active l'antispam de Copfilter sur la zone orange. Plus aucun compte n'arrive à reprendre ses mails.
Quelqu'un sait-il m'expliquer pourquoi ???

Merci
Dernière édition par mtill le 26 Mars 2008 10:04, édité 1 fois au total.
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar ccnet » 26 Mars 2008 09:54

Tout cela produit des logs. Que disent ils ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar mtill » 26 Mars 2008 11:44

En fait je suis en train de tester Zimbra, un outil de collaboration open source (webmail, calendrier, contacts, taches, le tout en ajax). D'après la doc, zimbra utilise fetchmail pour rapatrier les mails externes, mais il n'y a pas de log spécifique pour fetchmail. Dans un des logs de Zimbra, j'ai des erreurs pas très explicites du genre :

java.net.SocketTimeoutException: connect timed out
...
...
Caused by: java.net.SocketTimeoutException: connect timed out
...
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar ccnet » 26 Mars 2008 11:56

Ce n'était déjà pas très explicite, maintenant on ne comprend plus rien. Votre problème c'est copfilter ou Zimbra ? comment tout ceci est il articulé ?
Merci de formuler votre problème clairement avec toutes les informations utiles en ayant pris connaissance de ces recommandations :
http://forums.ixus.fr/viewtopic.php?t=38987&highlight=comment+++faire+aider

Sinon votre message d'erreur est en fait assez explicite : un timeout se produit donc pas de connexion à la machine indiquée. Pour le moment votre demande est si confuse qu'il n'est pas possible d'aller plus avant dans la résolution de votre problème.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jdh » 26 Mars 2008 12:04

Il est regrettable de ne pas avoir commencé par bien poser le problème.

Zimbra est un tout qui comporte son propre système antivirus/antispam (AV/AS). Il n'y a donc nul besoin d'ajouter/activer Copfilter sur le firewall. Il est généralement très mauvais d'ajouter 2 sécurités au lieu d'une.

Il y a un forum francophone sur Zimbra qui commence a être bien actif ...

(NB : il faut autoriser la machine Zimbra à accéder à Internet =tcp/80 sinon les premiers accès ressemblent à cela. Je dis cela d'expérience !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar mtill » 26 Mars 2008 13:01

OK, je reconnais m'être un peu précipité.

Sur l'interface orange d'IpCop, j'ai une Ubuntu 6.06 avec Zimbra (gardons à l'esprit que je suis toujours en phase de test).
Zimbra récupère les adresses POP3 en provenance de mon FAI. Et pour répondre à jdh, le système AV/AS de zimbra ne scanne pas les POP3 externes, c'est pourquoi je l'ai désactivé au profit de Copfilter sur IpCop.
Tant que le P3Scan est désactivé sur orange, zimbra récupère "instantanément" les mails. Dès que je l'active : time out.
Ce time out m'étonne puisque la connexion au compte pop ne devrait pas être ralentie, c'est plutôt l'arrivée des messages (quand il y en a) qui devrait prendre plus de temps à cause du scan.
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar ccnet » 26 Mars 2008 13:58

En l'état il reste toujours aussi nécessaire de lire http://forums.ixus.fr/viewtopic.php?t=38987&highlight=comment+++faire+aider

Zimbra récupère les adresses POP3 en provenance de mon FAI.

Zimbra récupère les messages, pas les adresses, rien ne vient de chez votre FAI, Fetchmail va chercher les messages. Ce court exemple montre à quel point tout ceci est confus.

Comme jdh avait raison il y a peu de citer Champollion, non pas Champollion mais Boileau :
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.


Pour le moment les informations techniques précises sont absentes et mon distributeur de marc de café n'est toujours pas livré ...
Dernière édition par ccnet le 26 Mars 2008 16:00, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar mtill » 26 Mars 2008 15:15

J'ai bien lu ces belles règles, et je n'ai peut-être pas les connaisances suffisantes pour utiliser les termes exacts. Ce n'est pas par manque de bonne volonté ou par "manque de respect".

Pourquoi je fréquente les forums ? J'ai envie d'apprendre et de comprendre. Donc j'ai beaucoup de respect pour les gens qui perdent leur temps à expliquer généreusement. Permettez-moi tout de même de m'étonner de vos réactions.

Pour vous prouver que j'essaye, voici mes derniers tests :
1. Avec p3scan sur orange désactivé, j'essaye "telnet pop.serveur.com 110"
Résultat : OK, je peux me connecter avec mon utilisateur et mon mot de passe
2. Avec p3scan sur orange activé (et c'est le seul changement) : "telnet pop.serveur.com 110"
Résultat : Trying 'adresse_IP_du_serveur_POP' puis 'Unable to connect to remote host: Connection timed out'
3. Avec p3scan toujours activé : "telnet pop.serveur.com 80"
Résultat : OK connecté

Je suppose donc que l'activation de p3scan ferme ou redirige le port 110, mais j'ignore de quelle manière. C'est sur ce point que j'aimerais avoir des explications.
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar ccnet » 26 Mars 2008 16:02

Pour le coup on commence à comprendre ce que vous faites et ce qui se passe. Il nous en manque encore.Comment est la configuration ipcop, des addons, des transferts de ports, l'adressage ??
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar mtill » 26 Mars 2008 16:54

Configuration IpCop 1.4.18 avec 3 interfaces : RED, GREEN et ORANGE

Services :
OpenVPN Server En fonction
RPV Arrêté
Serveur CRON En fonction
Serveur DHCP Arrêté
Serveur DNS mandataire (proxy DNS) En fonction
Serveur NTP Arrêté
Serveur Web En fonction
Serveur d'accès à distance sécurisé (SSH) En fonction
Serveur d'enregistrement de journaux En fonction
Serveur d'enregistrement des journaux du noyau En fonction
Serveur mandataire (proxy) Arrêté
Système de détection d'intrusions (GREEN) Arrêté
Système de détection d'intrusions (ORANGE) Arrêté
Système de détection d'intrusions (RED) Arrêté

Addons installés : OpenVPN Zerina-0.9.5b et Copfilter 0.84beta2

Transfert de port : 1 seul pour accéder à mon webmail zimbra (situé dans la zone orange) depuis le net
TCP DEFAULT IP : 443(HTTPS) => IPzimbra : 443(HTTPS)

Accès externes : aucune règle

Accès à la DMZ : aucune règle

Content de voir que je m'exprime mieux apparemment. :D
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar ccnet » 26 Mars 2008 21:47

Avez vous regardé ici : http://p3scan.sourceforge.net/
Je pense qu'il y a quelques explications utiles à la compréhension de votre problème.
Dernière édition par ccnet le 28 Mars 2008 15:57, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar mtill » 27 Mars 2008 11:15

Si je comprends bien, voilà ce qui se passe quand j'essaye de me connecter pour récupérer les messages :
la demande émanant de mon client en zone ORANGE arrive sur ipcop sur le port 110
ipcop redirige le port 110 sur le 8110 pour permettre à p3scan de scanner
normalement, après avoir scanné, p3scan devrait relayer la demande en repassant sur le port 110 (puisque p3scan est un "full-transparent proxy-server").

Pourtant, ce n'est pas le cas puisque je reçois un "connection timed out".
Est-ce la demande qui n'arrive pas au serveur, ou la réponse qui me revient dans un délai trop long ? Y a-t-il un moyen de vérifier cela ? Cela me permettrait de savoir si le problème se trouve en sortie ou en entrée.
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar mtill » 28 Mars 2008 12:53

Je sèche toujours ...
Pouvez-vous me dire si le test ci-dessous est pertinent ?

p3scan désactivé su ORANGE
depuis cette zone orange : traceroute -p 110 <serveur distant>

p3scan activé sur ORANGE
même test et j'obtiens un résultat en tous points identiques.

Puis-je en conclure que mon problème se trouve au niveau de la réponse du serveur ?
mtill
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 29 Juin 2006 11:36
Localisation: Liège, Belgique

Messagepar ccnet » 28 Mars 2008 16:16

j'obtiens un résultat en tous points identiques.

Que voulez vous qu'on vous réponde ... nous ne savons quel résultat vous obtenez, vous ne le dites pas.

ipcop redirige le port 110 sur le 8110 pour permettre à p3scan de scanner
normalement, après avoir scanné, p3scan devrait relayer la demande

Je pense que l'ordre des opérations est mal compris. Le mail est très probablement scanné après récupération par copfilter.
Est-ce la demande qui n'arrive pas au serveur,

Il faut regarder les logs pour vérifier dans l'ordre si 1. Copfilter traite la demande du client pop3, puis si 2. Copfilter se connecte au serveur pop3 depuis lequel télécharger les mails.

Avez vous pris le temps de lire et de comprendre cette documentation (je ne vais le faire à votre place) :
http://members.inode.at/m.madlener/copfilter/README.pdf ? Elle contient une partie quick start qu'il semble opportun de suivre.

Votre configuration n'est probablement pas correcte. Ce n'est pas étonnant puisque jusque là tout est un peu brouillon. Je doute qu'il y ai un bug majeur dans Copfilter.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron