DMZ + serveur mail

par **nomat** » 26 Juin 2003 09:16

Voili voila ipcop 1.3 fix 1 + 2 config rouge orange + vert J'ai fait passer le serveur mail en orange, ça marche mais c'est extraordinnairement long pour s'y connecter. Y aurait t il un probleme d'identification ??? le serveur de mail ne peut relayer que mon domaine ou mon reseau local 192.168.0.0/24 et la DMZ 192.168.1.0/24 De plus sur mon serveur web j'ai des scripts qui en fonction de l'adresse ip des utilisateurs connectés personnalise l'affichage et les données. Cela ne marche plus non plus et je n'ai plus que des infos non personnalisées. Comment faire pour tout marche aussi bien que lorsque tout était dans la meme classe reseau. Merci d'avance

par **GozerX99** » 26 Juin 2003 10:23

Ton serveur de mail a peut-être besoin de faire des requêtes DNS pour identifier les adresses IP qui se connectent dessus.

par **nomat** » 26 Juin 2003 15:51

jen comprend pas bien ce que tu veux dire, faire une requete dns pour toute les adresses ip du type 192.168.0.* et les scipt php font pas de requetes ils veulent juste l'adresse ip du client. Je dirais plutot que ipcop laisse les requetes passer du green vers le orange mais pas l'inverse. Ce qui expliquerait que je peux voir les pages html de mon serveur mais que le serveur ne peut pas demander à mon poste client son ip, d'ailleur les .htaccess ne fonctionnent pas non plus avec une authorisation sur une plage d'adresses ip. Sur quel port un serveur demande t il à un client quel est son adresse ip ????????

par **nomat** » 26 Juin 2003 17:40

Alors mes trouvailles font que le port 113 (AUTH) doit être autorisé de la dmz vers le green et pour le php j'ai pas encore trouvé. Au passage y'a t'il moyen de definir une plage d'adresses ip dans la case "adresse IP de destination" dans le formulaire des regles de la dmz

par **nemesis** » 26 Juin 2003 17:44

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Je dirais plutot que ipcop laisse les requetes passer du green vers le orange mais pas l'inverse. Ce qui expliquerait que je peux voir les pages html de mon serveur mais que le serveur ne peut pas demander à mon poste client son ip, d'ailleur les .htaccess ne fonctionnent pas non plus avec une authorisation sur une plage d'adresses ip. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> hum il me semble que c'est le but de la zone orange de ne pas avoir d'acces au green ... ce qui m'étonne c'est qu'avec iptable tu sois obligé d'ouvrir un port... il me semblais ke kand la connex était init depuis le green après iptables se démerdait pour gérer les changement de port etc .... TomTom toi le pro de iptables tu confirme?

par **nomat** » 26 Juin 2003 18:10

Je suis tout a fait d'accord avec toi mais un serveur "local" qui met quasiment 60 secondes pour te répondre c'est franchement ennuyeux surtout qu'il lui arrive de mettre plus et du coup ça fait un time out donc pas de mail. En tout cas avec le 113 ouvert mon serveur remarche comme avant et repond sur le champs Sinon pas d'idee pour la saisie d'une plage ip dans les regles dmz ??????

par **tomtom** » 26 Juin 2003 21:07

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> hum il me semble que c'est le but de la zone orange de ne pas avoir d'acces au green ... ce qui m'étonne c'est qu'avec iptable tu sois obligé d'ouvrir un port... il me semblais ke kand la connex était init depuis le green après iptables se démerdait pour gérer les changement de port etc .... TomTom toi le pro de iptables tu confirme? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je confirme ce qur tu dis, mais dans ce cas la connex n'est pas etablie par le green. Le green etablit une connexion sur le port 110, et pour la verifier il ouvre lui même une connexion sur le port 113 (ident). IPtables pourrait gerer ca via un helper pop3 qui pourrait autoriser l'ouverture du 113 dans la foulée (un peu à la manière du ftp et de irc..) , mais il n'existe pas à ma connaissance.... T.

par **nomat** » 27 Juin 2003 07:56

Et y aurait t'il un moyen de faire cela à la main ou pas tomtom ????

par **tomtom** » 27 Juin 2003 08:41

Pas facilement..... En fait l'idée c'est de creer un conntrack personalisé... Genre : je vois passer un paquet srce : 192.168.1.3 sprt : 1500 dest : 192.168.2.5 dprt : 110 je cree bien sur l'entree inverse du conntrack pour laisser etablir la session TCP : srce : 192.168.2.5 sprt : 110 dest : 192.168.1.3 dprt : 1500 Expected... (state : ESTABLISHED) Mais il faut aussi créer une entrée pour ouvrir le port 113... srce : 192.168.2.5 sprt : xxxx dest : 192.168.1.3 dprt : 113 Expected...(state : RELATED) En clair, il faut se creer un petit module du meme genre que le "ip_conntrack_ftp" Cela ne doit pas etre tres difficile à developper en s'inspirant du ftp justement, vu que le principe est exactement le même..... Peut-etre qu'il existe deja d'ailleurs.... Ce que je ne pige pas, c'est pourquoi le serveur pop utilise ce port 113 ? les serveurs de mes FAI n'utilisent jamais ceci ?? C'est spécifique à ton serveur POP ? Tu ne pourrais pas modifier ça dans la conf ??? Sinon, pour le php, je ne comprends pas du tout..... L'adresse IP du client n'est pas masquée, et je ne vois pas pourquoi le serveur aurait besoin de demander cette adresse vu qu'elle est dans les paquets IP ??? Je n'ai pas du reste connaissance d'un moyen de "demander l'adresse IP" ?? T.

par **nomat** » 27 Juin 2003 11:42

Pour ce qui du serveur pop a priori l'auth n'est pas obligatoire puisque cela marche meme avec le port 113 fermé par contre le temps de réponse du serveur s'approche voir depasse les 60 secondes mais je ne sais pas pourquoi je vais aller regarder du coté du serveur pop et vous tiendrez au courrant si je trouve quelquechose. Sinon pour le php je n'ai rien de special, juste une variable d'environnement ($REMOTE_ADDR) qui retourne l'adresse ip mais depuis le passage du serveur du green à la dmz ça ne marche plus. D'ailleur j'avais un .htaccess pour gerer l'accés à certaine partie ecrit comme ceci : order deny,allow deny from all allow from 192.168.0.0/24 He bien il ne marche plus non plus, apache refuse systematiquement l'affichage des pages. Sinon personne ne m'a repondus quand au fait qu'il soit possible de saisir une plage d'adresse ip dans les regles de la dmz et comment cette saisie doit etre faite ??????

par **nomat** » 27 Juin 2003 11:55

Concernat apache, ce qui est d'autant plus bizzarre c'est que la plus petite des frames un petit menu de 100 pixel d'epaisseur sur la largeur de la page s'affiche. Par contre les autres cadres ne s'affiche pas mais comme on a le menu il quand meme possible de faire s'afficher des pages mais pas tous les cadres en meme temps. A priori je pense que c'est normal puisque le menu a été autorisé et que apache ne doit pas relire le fichier htaccess et se dit que c'est bon. Sinon quand tu dis (tomtom) que l'adresse ip et contenue dans les paquets je suis d'accord d'ailleur si on regarde les log du firewall il n'y a aucune tentative de connexion de la dmz vers le green donc aucune demande. Alors ne serait il pas possible que iptable efface ou ne transmette pas l'adresse ip de mon poste client au serveur ?????? Ce qui pourrait effectivement faire echouer le script php et le htaccess. Ah sinon j'utilise le proxy en mode transparent de ipcop serait il possible que ce soit lui le probleme ?????????

par **tomtom** » 27 Juin 2003 12:03

Ha ben oui c'est clair que c'est lui le problème pour apache... C'est le proxy qui fait les requetes http, donc avec l'adresse IP du orange de IPCop... De plus, ca explique aussi l'erreur pour le php...... C'est cette adresse que tu dois autoriser ( ca ne pose pas de problème puisque les gens qui arrivent du red n'utilisent pas le proxy). T.

par **nomat** » 27 Juin 2003 12:13

Bon Ok si j'autorise les ip ip du orange le .htaccess fonctionne mais par contre pour ce qui est du php ça ne marche pas puisque l'ip de squid n'est pas considérée comme un utilisateur. Alors ma nouvelle question est : Est il possible tout en guardant squid en mode transparent de ne pas l'utiliser pour les adresses locales ???????? Et ma saisie de plage ip dans les regles dmz pleeeeeeease

par **tomtom** » 27 Juin 2003 14:06

bien sur rien de plus simple ! Tu trouves la regle de prerouting de squid (je crois que c'est toi qui m'avait donné son emplacement une fois, elle n'est pas dans le rc.firewall). elle doit etre du genre : iptables -t nat -A PREROUTING -s @lan -p tcp --dport 80 -j REDIRECT --to-port 8080 (j'ai mis les ports au hasard <IMG SRC="images/smiles/icon_wink.gif"> ) Tu ajoutes simplement un test pour que ca ne parte pas sur le orange : iptables -t nat -A PREROUTING -s @lan -d ! @orange -p tcp --dport 80 -j REDIRECT --to-port 8080 Ca devrait suffire <IMG SRC="images/smiles/icon_smile.gif"> T.

par **tomtom** » 27 Juin 2003 14:09

AU fait pour la saisie de plages ip si je te reponds pas c'est bien sur parceque je n'ai jamais utilisé ipcop et que donc je ne connais pas d ereponse <IMG SRC="images/smiles/icon_wink.gif"> Tu peux pe essayer un "-" ou un ":" entre le num debut et le num fin..... T.

DMZ + serveur mail

Qui est en ligne ?