Discussion :

[moon06]

Bonjour tout le monde

J'ai commencé il y a (déjà !) quelques jours à installer une passerelle Linux pour mon réseau local et l'accès à Internet, correspondant au schéma ci-dessous :



La passerelle tourne sous Fedora Core 3, noyau 2.6.9.

Voici le script que j'utilise pour mettre en place les règles Iptables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
#!/bin/sh
 
IFACE_INTERNET = "eth1" # Interface connectée à Internet
IP_INTERNET = "82.228.123.123"
 
IFACE_LOCALE = "eth0" # Interface connectée au LAN
IP_LOCALE = "192.168.1.1" # IP Passerelle
RESEAU_LOCAL = "192.168.1.0/24"
 
SERVEUR_MAIL = "192.168.1.5"
SERVEUR_HTTP = "192.168.1.5"
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
### Par défaut on refuse tout ###
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
 
### Accepte tout ce qui concerne l'interface loopback ###
/sbin/iptables -A INPUT -i lo -j ACCEPT
 
### On accepte tout sur l'interface du réseau interne ###
/sbin/iptables -A FORWARD -i $IFACE_LOCALE -j ACCEPT
/sbin/iptables -A FORWARD -o $IFACE_LOCALE -j ACCEPT
 
### On accepte ce qui va vers l'exterieur ###
/sbin/iptables -A OUTPUT -o $IFACE_INTERNET -j ACCEPT
 
### On accepte de forwarder vers l'exterieur ###
/sbin/iptables -A FORWARD -o $IFACE_INTERNET -j ACCEPT
 
### On ouvre certains ports ###
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
 
### Redirection de ports ###
/sbin/iptables -t nat -A PREROUTING -d $IP_INTERNET -p tcp --dport 80 -j DNAT --to-destination $SERVEUR_HTTP:80
/sbin/iptables -t nat -A PREROUTING -d $IP_INTERNET -p tcp --dport 25 -j DNAT --to-destination $SERVEUR_MAIL:25
/sbin/iptables -t nat -A PREROUTING -d $IP_INTERNET -p tcp --dport 110 -j DNAT --to-destination $SERVEUR_MAIL:110
 
### Masquerade ###
/sbin/iptables -t nat -A POSTROUTING -o $IFACE_INTERNET -j MASQUERADE

(aussi disponible sur http://pastebin.com/323950 pour la coloration et numérotation des lignes)


Le problème

Oui c'était trop beau, tout ne peut pas marcher du premier coup ... ma machine 192.168.1.5 fait tourner un serveur SMTP et un serveur POP.

Le serveur SMTP gère actuellement un domaine exemple.net et un seul compte est en place, postmaster@exemple.net.

Le fichier /etc/tcp.smtp contient une ligne :

127.:ALLOW,RELAYCLIENT=""

Le fichier rcpthosts contient une entrée :

exemple.net

Donc, en bref je peux :

- Envoyer des mails depuis l'extérieur via un SMTP quelconque vers postmaster@exemple.net et les relever à distance en POP
- Envoyer des mails depuis l'extérieur via le SMTP que je fais tourner, vers postmaster@aliosphere.net et les relever à distance avec POP
- Envoyer des mails depuis la machine (commande mail) vers l'extérieur (adresse quelconque)

Mais je ne peux PAS :

- Envoyer des mails depuis l'extérieur via le SMTP que je fais tourner, vers l'extérieur (une adresse mail quelconque, @free.fr ou @gmail.com par ex.)

______

Ce que je voudrais savoir c'est déjà si ma configuration iptables est cohérente (les règles) pour l'utilisation précitée, mais aussi d'où pourrait provenir le problème ...


Merci à tous de votre aide par avance !

[af_airone]

c'est tres joliment fait ton post mais tu oublies peut etre le principal

c est quoi comme type de serveur smtp(postfix??)
le fichier de configuration lié a ce serveur

sinon j ai vu que tu avais une freebox peut etre pourrais tu te faire relayer par le smtp de free.

[moon06]

Qu'entends-tu par se faire relayer par le SMTP de Free ?

Le serveur de mail que j'utilise est Qmail .. mais j'ai essayé avec Postfix et le problème est le même !

[af_airone]

ben normalement si tu es client d un fai
tu dois avoir un compte smtp et un mot de passe lié a ce compte qui eprmette de t autentifier sur leur passerelle smtp

ce qui fait qu apres en configurant proprement ton client messagerie tu peux utiliser leur smtp pour envoyer tes messages,sans avoir toi le service, ce qui est pas mal car le démon sendmail est considéré comme une faille de sécurité pour le SANS donc si tu as un audit de sécurité , autant avoir un minimum de poste sur lequel tourne le service ^^.

Par contre pour éviter les abus ,les fai limitent le nombre de connexion donc pour un petit parc ca va mais je conseille pas pour une boite.

pour plus de renseignement recherche SMTP AUTH..

[moon06]

c'est bon, en fait le problème venait de moi : je n'avais pas coché dans mon client mail (Outlook) qu'il fallait m'authentifier sur le serveur SMTP (avec les mêmes id/pass que le compte POP) !

là ça marche nickel merci