Forum général.général Firewall et serveur mail

Posté par  .
Étiquettes : aucune
0
19
nov.
2005
Bonjour,

J'ai installé un serveur mail derrière un firewall que j'administre avec iptables.
J'ai une interface publique, adresse ip A(eth0), déclarée en MX sur un dns externe.
Avec iptables, j'ai redirigé les flux arrivant sur les ports 25 et 80 du firewall vers le serveur mail(adress IPprivée) mais apparement ce n'est pas suffisant.

Des connexions SMTP arrivent sur le serveur mais ce dernier ferme apparement les connexions.
De plus, quand mon serveur mail est directement connecté sur l'interface publique sans le firewall, tout marche parfaitement.
Avec le firewall, j'arrive à envoyé des maisl vers l'extérieur mais je n'arrive pas à en recevoir de l'exérieur.


Internet-------Firewall-----------Serveur Mail
eth0 eth1 IPprivée

eth0 adresse ip publique correspondant à l'enregistrement MX.


Questions:

Qu'est-ce qu'un relai SMTP?
Dois-je configurer mon firewall en tant que relai SMTP?
Quels configs dois-je faire pour recevoir des mails extérieurs sur mon serveur derrière le firewall?

Merci
  • # configuration svp du pare-feu et du serveur SMPT ?

    Posté par  . Évalué à 1.

    Comment est configuré ton serveur pare-feu ?
    Quel serveur SMPT utilises-tu et comment est-il configuré ?
    Que trouves-tu dans les fichiers de trace de ton serveur smpt ?
    Analyse les paquets avec tcpdump. Trouves-tu des différences lorsque ton serveur smpt est relié directement à internet ou lorsqu'il est derrière le pare-feu ?

    Un serveur smpt correctement configuré vérifie l'adresse du serveur smpt expéditeur. Si ton pare-feu fait suivre les paquets smpt avec comme adresse source son adresse, ton serveur smpt ne peut pas accepter les courriels expédiés d'internet.

    Un relais SMPT est un serveur smpt qui fait suivre le courrier.
    • [^] # Re: configuration svp du pare-feu et du serveur SMPT ?

      Posté par  . Évalué à 2.

      SMPT ou SMTP ???????
    • [^] # Re: configuration svp du pare-feu et du serveur SMPT ?

      Posté par  . Évalué à 1.

      J'utilise un serveur exchange 2003.
      Mon firewall fait du nat.
      Quanf je regarde es trames arrivant sur mon serveur exchange,
      je vois un dialogue SMTP qui a pour source l'interface de sortie de mon firewall
      • [^] # Re: configuration svp du pare-feu et du serveur SMPT ?

        Posté par  . Évalué à 1.

        >je vois un dialogue SMTP qui a pour source l'interface de sortie de mon firewall
        C'est probablement l'origine du problème.

        Comment réagit ton serveur SMTP si dans ton pare-feu, tu fais du DNAT (translation d'adresse sur l'adresse destination sans changer l'adresse source) sur les paquets smtp ?
        • [^] # Re: configuration svp du pare-feu et du serveur SMPT ?

          Posté par  . Évalué à 1.

          Depuis mon pare-feu, je n'arrive pas à faire un telnet du serveur smtp.
          J'ai une réponse du style:

          "escape caracter:^]
          Host closed connection
          "
          Ce que je ne comprends pas c'est que mon serveur SMTP fonctionne parfaitement sur l'interface publique et que j'arrive très bien à faire un telnet sur le port 25 lorsque celui-ci n'est pas derrière le firewall

          Voici le script qur j'utilise:

          #!/bin/sh
          # script /etc/firewall.sh
          echo 1 > /proc/sys/net/ipv4/ip_forward
          echo "Activation du forwarding :[OK]\n"
          if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
          then
          for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
          do
          echo 1 > $filtre
          done
          fi
          echo "Annulation du spoofing:[OK]\n"
          echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
          echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
          echo "[Desactivation de icmp]:[OK] \n"



          modprobe ip_tables
          modprobe iptable_filter
          modprobe iptable_nat

          echo "Chargement des modules:[OK]\n"



          iptables -F
          iptables -X
          echo "Règles videes:[OK]\n"

          iptables -N LOG_DROP


          iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
          iptables -A LOG_DROP -j DROP


          iptables -N LOG_ACCEPT
          iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
          iptables -A LOG_ACCEPT -j ACCEPT

          echo "Chaine de logs crées:[OK]\n"

          iptables -P INPUT DROP
          iptables -P OUTPUT DROP
          iptables -P FORWARD DROP
          echo "Politique par défaut:[OK]\n"

          iptables -A INPUT -i lo -j ACCEPT
          iptables -A OUTPUT -o lo -j ACCEPT
          echo "Règles d'initialisation :[OK]\n"


          iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT

          iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT

          iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT

          iptables -A INPUT -i eth0 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT

          iptables -t nat -A PREROUTING -d xxx.yyy.zzz.ttt -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80

          iptables -t nat -A PREROUTING -d xxx.yyy.zzz.ttt -p tcp --dport 25 -j DNAT --to-destination 192.168.0.2:25



          iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
          iptables -A FORWARD -o eth1 -i eth0 -j ACCEPT


          iptables -A FORWARD -i eth0 -o eth1 -p tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT


          iptables -A FORWARD -o eth0 -i eth1 -p tcp --source-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT


          iptables -A FORWARD -i eth0 -o eth1 -p tcp --destination-port 25 -m state --state NEW,ESTABLISHED -j ACCEPT
          iptables -A FORWARD -o eth0 -i eth1 -p tcp --source-port 25 -m state --state ESTABLISHED -j ACCEPT


          iptables -A FORWARD -j LOG_DROP
          iptables -A INPUT -j LOG_DROP
          iptables -A OUTPUT -j LOG_DROP

          echo " [Firewall opérationnel] \n \n"
          • [^] # Re: configuration svp du pare-feu et du serveur SMPT ?

            Posté par  . Évalué à 1.

            Quand je lance un telnet sur le port 25 et que mon serveur smtp qui est d'ailleurs un serveur exchange, est derrière le firewall,

            il y a un connexion qui s'établit mais celle-ci tombe avant d'avoir le dialogue HELO qui commence.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.