Bonjour,
j'utilise SME en mode serveur dans une DMZ d'IPCOP.
J'ai 2 ip fixes la première 80.80.80.1 est l'ip publique de mon ipcop.
la seconde 80.80.80.2 est redirigé vers SME qui se charge de réceptionner et d'envoyer les mails.
Mon problème est que les messages sortant ne passe pas par l'ip 80.80.80.2 mais l'ip 80.80.80.1
et certains domaines me les rejettent car il ne sont pas émis a partir d'un MX connu.
Il y a t'il une solution pour forcer SME à passer par le 80.80.80.2 ?
merci
Fred
SME derriere IPCOP
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
SME derriere IPCOP
par fmonceau » 03 Nov 2009 22:50
- fmonceau
- Matelot
- Messages: 4
- Inscrit le: 26 Mai 2006 17:18
- Localisation: 68, Colmar
par Franck78 » 03 Nov 2009 22:57
Salut,
A part ré-écrire les règles IPTables, il n'y a rien à faire avec IPCop/GUI. Problème connu depuis très longtemps, personne n'a accepté les patches proposés (qui devraient trainer sur une mailinglist ou sourceforge).
A part ré-écrire les règles IPTables, il n'y a rien à faire avec IPCop/GUI. Problème connu depuis très longtemps, personne n'a accepté les patches proposés (qui devraient trainer sur une mailinglist ou sourceforge).
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par jdh » 04 Nov 2009 00:01
Le problème est connu, en effet.
On peut appeller cela "SNAT" ou "1-to-1 nat". Et ipcop est conçu pour une seule adresse ip publique (d'ailleurs largement suffisante pour faire cela !).
Il n'y a aucune obligation à avoir 2 adresses ip publiques pour des serveurs internes différents (et des services différents bien sur) : 1 seule adresse peut tout à fait suffire !
La déception c'est qu'iptables est tout à fait capable de traiter cela (cf Shorewall par exemple). Mais l'interface d'ipcop bride ce genre de chose. Et il ne serait pas optimal de modifier à la main le script rc.firewall : à la moindre mise à jour, il faudrait remettre les correctifs !
(pfSense sait répondre à cette problématique ...)
On peut appeller cela "SNAT" ou "1-to-1 nat". Et ipcop est conçu pour une seule adresse ip publique (d'ailleurs largement suffisante pour faire cela !).
Il n'y a aucune obligation à avoir 2 adresses ip publiques pour des serveurs internes différents (et des services différents bien sur) : 1 seule adresse peut tout à fait suffire !
La déception c'est qu'iptables est tout à fait capable de traiter cela (cf Shorewall par exemple). Mais l'interface d'ipcop bride ce genre de chose. Et il ne serait pas optimal de modifier à la main le script rc.firewall : à la moindre mise à jour, il faudrait remettre les correctifs !
(pfSense sait répondre à cette problématique ...)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par fmonceau » 04 Nov 2009 11:38
merci à vous 2, vous m'avez orienté dans mes recherches
2 solutions trouvés :
la première :
http://forums.ixus.fr/viewtopic.php?t=4 ... light=snat
fonctionne mais risque de sauter lors d'une mise à jour
la seconde :
l'addons SNATGUI, à tester
Fred
2 solutions trouvés :
la première :
http://forums.ixus.fr/viewtopic.php?t=4 ... light=snat
fonctionne mais risque de sauter lors d'une mise à jour
la seconde :
l'addons SNATGUI, à tester
Fred
- fmonceau
- Matelot
- Messages: 4
- Inscrit le: 26 Mai 2006 17:18
- Localisation: 68, Colmar
par ccnet » 04 Nov 2009 12:05
Ayant indiqué la solution 1 à plusieurs reprises, je confirme qu'elle n'est pas optimale compte tenu de la contrainte qu'elle représente en cas de mise à jour et pour l'administration courante puisque ce paramétrage ne se voit pas dans l'interface standard d'ipcop.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par remi » 04 Nov 2009 12:39
Salut,
Qu'est ce qui t'empêche de tout rediriger vers une seule adresse IP et d'utiliser du port forwarding classique.
Rémi
Qu'est ce qui t'empêche de tout rediriger vers une seule adresse IP et d'utiliser du port forwarding classique.
Rémi
Art de vivre : Mourir pour mourir, que cela soit entre le $%#&! des femmes et le $%#&! des bouteilles !
-
remi - AdminIxus
- Messages: 3218
- Inscrit le: 22 Avr 2002 00:00
- Localisation: Lyon
par Franck78 » 04 Nov 2009 23:58
ccnet a écrit: je confirme qu'elle n'est pas optimale compte tenu de la contrainte qu'elle représente en cas de mise à jour et pour l'administration courante puisque ce paramétrage ne se voit pas dans l'interface standard d'ipcop.
d'un autre coté, le grand nombre de mises à jours actuelles d'IPCop 1.4 fait que l'inconvénient est plus que négligeable.
Il faut juste tenir un cahier des modifs manuelles apportées et comprendre pourquoi (ou comment) elles sont présentes. Le cas est similaire aux addons plus ou moins touchés par une mise à jour.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par jibe » 07 Nov 2009 01:37
Salut,
Pas sûr d'avoir bien tout compris, et je n'ai probablement pas tous les éléments (autres services de SME ? ...), mais en regardant rapidement, je me demande pourquoi vouloir faire passer 80.80.80.2 par IpCop ? La SME en direct sur cette adresse, et Ipcop sur l'autre adresse me parait plus simple, non ?
Pas sûr d'avoir bien tout compris, et je n'ai probablement pas tous les éléments (autres services de SME ? ...), mais en regardant rapidement, je me demande pourquoi vouloir faire passer 80.80.80.2 par IpCop ? La SME en direct sur cette adresse, et Ipcop sur l'autre adresse me parait plus simple, non ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
-
jibe - Amiral
- Messages: 4366
- Inscrit le: 17 Oct 2003 00:00
- Localisation: Haute Savoie
9 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité