Probleme étrange sur port 443, 25 et 110

[svart]

En général, quand on a des problèmse étranges, c'est qu'on a fait une erreur quelque part. <BR> <BR>Voilà : j'ai ajouté https, la récupération des emails et l'envoi de ceux-ci, aux règles de MNF. <BR> <BR>Le mail sont récupérés et envoyés par un serveur (aujourd'hui sur le lan, demain sur la dmz). Bon. <BR> <BR>J'ajoute les règles suivantes au fichier /etc/shorewall/rules <BR> <BR>ACCEPT:info lan wan tcp 443 - <BR>ACCEPT:info lan:192.168.0.11 wan tcp 25 - (comme c'est centralisé, je limite l'accès mail à au serveur interne) <BR>ACCEPT:info lan:192.168.0.11 wan tcp 110 - <BR> <BR> <BR>Et là, curieusement, dans /var/log/messages, tout est accepté : <BR> <BR>[le port 443] <BR>Oct 1 18:50:38 firewall kernel: Shorewall:lan2wan:ACCEPT:IN=eth0 OUT=eth1 SRC=192.168.0.1 DST=193.110.152.241 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=27844 DF PROTO=TCP SPT=2084 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 <BR> <BR>[Le port 110] <BR>Oct 1 18:50:47 firewall kernel: Shorewall:lan2wan:ACCEPT:IN=eth0 OUT=eth1 SRC=192.168.0.11 DST=213.41.78.21 LEN=44 TOS=0x00 PREC=0x00 TTL=127 ID=61068 DF PROTO=TCP SPT=1094 DPT=110 WINDOW=8192 RES=0x00 SYN URGP=0 <BR> <BR>[le port 25] <BR>Oct 1 18:55:53 firewall kernel: Shorewall:lan2wan:ACCEPT:IN=eth0 OUT=eth1 SRC=192.168.0.11 DST=213.41.78.26 LEN=44 TOS=0x00 PREC=0x00 TTL=127 ID=52124 DF PROTO=TCP SPT=1102 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 <BR> <BR>Et même le port icmp 8, qui est accepté mais me revois un delai d'attente dépassé... <BR> <BR> <BR>Est-il possible que le fw laisse passer les paquets en sortie (c'est le cas, d'apres le log) mais ne les laissent pas revenir ? Dans ce cas, le client attend, et fini par avoir une erreur ? <BR> <BR>Etst-il possible que ce soit un problème du routeur de mon FAI ? (il est situé après eth1 et c'est lui qui me fait du SNAT poutr que j'ai une adresse publique sur Internet). J'ai en effet des retours sur eth1 de l'anciennce passerelle-routeur ! <BR>Pourtant, ça marchait avec moi tant que j'étais en test ! <BR> <BR>Ou bien je suis neuneu complètement ! <BR> <BR>je vais laissser passer la nuit, dès fois que ce soit une table ARP ou autre... Et puis après ? <BR> <BR>Simon <BR>

[svart]

J'ajoute ceci: un tcpdump sur l'interface eth1 fait apparait ceci <BR> <BR> arp who-has 192.168.0.11 tell 192.168.0.54 <BR> <BR>Or, 192.168.0.54 est l'ancienne passerelle de mon rédeau, remplacée par MNF. <BR> <BR>

[grosbedos]

la je comprend plus, <BR>tu dis que tu acceptes les ports 25,110,443 dans tes regles, et apres tu te plein que les paquets puissent passés?? <BR> <BR>quelles sont tes autres regles?? (tu accepte tout, tu drops tout?? etc..) <BR> <BR>pourquoi n'utilises tu pas l'interface d'administration?? <BR> <BR>et pour le ping, si y te repond delai d'attente dépassé, c'est que tu ne reponds pas au ping.. <BR> <BR>si tu l'a ouvert c'est strange, as tu bien renseigner le protocole icmp, et pas le port 8?? <BR> <BR>??

[svart]

La question est la suivante : puisque les ports 25 et 110 sont ouverts, pourquoi est-ce que je ne peux pas récupérer mes emails ? <BR> <BR>J'ai systématiquement un timeout.

[grosbedos]

donne nous TOUTES tes regles! <BR> <BR>le port 53 est-i ouvert d'un sens ou de l'autre?? <BR> <BR>qu'as tu mis en dns sur ton lan?? <BR> <BR>peut on resoudre les dns internet depuis ton lan??

[svart]

C'est bon, mon intuition était juste : le routeur de mon FAI routait sur une anciennce passerelle, donc les connexions étaient acceptée par le firewall, allait là où elles doivent aller, puis au retour, disparaissaient car dirigées vers une IP inexistante. <BR> <BR>Tout roule et fonctionne ! <BR> <BR>Suis prêt à aider les prochains, lol ! Maintenant que tout marche ici/