dmz to dmz

par **bebnt** » 01 Déc 2003 11:10

Hello J'ai un problème <IMG SRC="images/smiles/icon_wink.gif"> Je possède une machine ipcop avec 3 interface... (une internet, une lan et une dmz) ! Dans ma dmz j'ai deux serveurs mails, les deux ayant une ip et un dns publique différent ! Tout marche très bien sauf quand les deux serveurs veulent communiquer entre eux ! Si le premier serveur essaie datteindre le deuxième serveur, il resoud le mx qui lui donne lip publique du deuxième serveur ! Et visiblement ipcop n'arrivent pas a faire le liens et a renvoyer sur lip local... Depuis linterface lan ou internet ou arrive très bien a atteindre les serveurs mails avec leur ip publique, mais dès quon essaie datteindre un serveur dmz depuis la dmz avec lip publique ca ne marche plus <IMG SRC="images/smiles/icon_smile.gif"> Je sais pas si jai été asser clair lol mais si quelqun peut maider merci davance <IMG SRC="images/smiles/icon_wink.gif">

par **yannva** » 01 Déc 2003 11:12

Salut, Le plus simple sera de renseigner les ip privés de tes serveurs dans leurs fichiers "host" respectifs afin que ceux ci ne sortent pas de la dmz pour communiquer. A + Yann

par **bebnt** » 01 Déc 2003 11:28

jai essayé ca juste avant <IMG SRC="images/smiles/icon_smile.gif"> mais visiblement le serveur mail (postfix) ne prends pas en compte le fichier hosts... Le ping me sort bien lip local dmz... mais quand je regarde dans la queu postfix le mail ne part pas et me fait une erreur de connection avec lip publique !

par **yannva** » 01 Déc 2003 12:29

et si tu donnes à ton serveur de mail l'ip à atteindre et non le nom de domaine il se passe quoi ? A + Yann _________________ "Tout s'arrange,...... même mal !"

par **bebnt** » 01 Déc 2003 12:40

Vu que ca se trouve dans le mx ca fait que je devrai changer dans tout les mx donc c un peu long.. mais jai tester avec du telnet sur le port smtp avec lip direct... et ca marche pas... en faite si je ping lip publique du deuxième il reponds mais visiblement c ipcop lui meme qui me fait une reponse et non le deuxième serveur que jessaie datteindre ! Donc quand je fait un telnet sur le deuxième serveur avec ip ou dns publique sur le port smtp ca foire ! Par contre avec lip local ca marche nickel, et depuis lexterieur aussi...

par **yannva** » 01 Déc 2003 12:46

Si d'une machine du réseau orange tu cherches à atteindre une autre machine de ce réseau tu dois utiliser son ip privée sinon ipcop va voir cela comme de l'ip spoofing si ma mémoire est bonne. En espèrant que cela te donne une piste. A + Yann

par **bebnt** » 01 Déc 2003 13:07

oui mais le blem c que mes serveurs dns retourne forcement lip publique pour que les serveurs de mail puissent latteindre en externe... donc je pense que la seul solution c davoir un dns interne qui me donne les ip interne... a moin que qqn puissant me dire comment faire dans ipcop ou autre ???

par **tomtom** » 01 Déc 2003 13:17

Tu peux tenter un petit grugeage : sur ipcop, rajoute une règle qui renvie les paquets à destination de l'ip publique du mail server vers son ip privée, si ce paquet arrive par l'intrface orange. Ce qui nous donne à peu près : iptables -t nat -I PREROUTING -i interface_orange -d @publique_serveur -j DNAT --to @privee_serveur Tu peux essayer de taper cette commande dans une ligne de commande et faire tes tests.. SI ca fonctionne, il faudra mettre cette règle au bon endroit dans le rc.firewall ou autre.... N.B il faudra probablement une seconde règle pour le second serveur. Ceci t'affranchit de bricoler les dns. Sinon, bind permet de repondre différemment aux requetes suivant l'ip d'origine. C'est probablement une solution plus propre à mettre en place, mais aussi plus ardue. t.

par **bebnt** » 01 Déc 2003 14:15

Ok merci je vais tester tout ca...

par **bebnt** » 01 Déc 2003 14:39

alors jai testé il me fait une erreur : iptables -t nat -I PREROUTING -i eth1 -d @213.*.*.* -j DNAT --to @192.*.*.* iptables v1.2.7a: Bad IP address `@192.*.*.*' (Jai bien sur remplacer lip correct par des étoiles pour le post ici... ) Sinon lhistoire du dns ta pas un exemple ou un site ou c expliqué comment anaylser dou viens la requete ca serai aussi très pratique ??? merci

par **tomtom** » 01 Déc 2003 15:14

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-12-01 13:39, bebnt a écrit: alors jai testé il me fait une erreur : iptables -t nat -I PREROUTING -i eth1 -d @213.*.*.* -j DNAT --to @192.*.*.* iptables v1.2.7a: Bad IP address `@192.*.*.*' </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Il ne faut pas mettre les @, c'etait pour dire "adresse" <IMG SRC="images/smiles/icon_wink.gif"> <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Sinon lhistoire du dns ta pas un exemple ou un site ou c expliqué comment anaylser dou viens la requete ca serai aussi très pratique ??? merci </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Ben c'est expliqué dans la doc de bind. Il faut faire des acces-list, en fait des zones distinctes pour les différentes acces-lists... J'ai aidé un membre à faire ça il y a quelques temps, je n'ai plus toute la conf en tete mais je me souviens que la doc etait assez claire. t.

par **bebnt** » 01 Déc 2003 15:27

ouai jai vu après avoir tester que sans les @ il ne fesait pas derreur <IMG SRC="images/smiles/icon_wink.gif"> mais visiblement ca marche pas... il suffit dexecuter cette commande sur le firewall et ca devrai marcher ? bizzare.. et ok pour la doc sur bind vais regarder tout ca merci....

par **tomtom** » 01 Déc 2003 15:50

Hum, oui, attends, il faut ajouter une autre règle aussi : iptables -I FORWARD -i interface_orange -d @orange/masque_orange -j ACCEPT t.

par **bebnt** » 01 Déc 2003 16:05

par orange tentends quoi lip du premier serveur ? genre iptables -I FORWARD -i eth1 -d 192.*.*.*/255.255.255.0 -j ACCEPT

par **tomtom** » 01 Déc 2003 16:11

en fait, ce n'est pas le masque qu'il faut faut mettre mais sa longueur. Ex : 192.168.1.0/24 l'adresse importe peu (serveur 1 ou 2) puisque le masque indique d'autoriser pour tout le réseau. t.

dmz to dmz

Qui est en ligne ?