Forum Clubic

Iptable pour la forme

Bonsoir à tous,

Je m’interroge actuellement sur le fonctionnement de mon serveur mail oO En utilisant les parametres de connection SMTP et POP de l’exterieur de mon réseau (sur internet), j’arrive à envoyer des mails aux adresses mails internes à mon réseaux mais pas aux adresses exterieures oO

Je me demande donc si ca ne peut pas venir du parametrage de mon firewall, qu’en pensez vous ?

Ci-dessous les lignes concernées dans mon iptable.

iptables -A FORWARD -p tcp --dport 110 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

Merci et bonne soirée :wink:

PS : Les 00:00:00:00:00:00 sont bien sur remplacé par la bonne adresse mac =)

pour te répondre il va falloir donner quelques informations complémentaires :
1/ quel serveur smtp utilises-tu ?
2/ est-ce que ce serveur est installé sur la machine connectée au net ?

Alors le serveur smtp est Qmail et non la machine n’est pas directement reliée au web, il y a une machine différente pour le firewall derrière le routeur adsl. En fait la distribution du serveur de messagerie est SME-Server.

PS : Je voudrais aussi préciser que j’arrive bien à envoyer des mails à l’exterieur de l’interieur de mon réseau. Seul l’envoye de mail de l’exterieur vers l’exterieur ne fonctionne pas.

bin la tu fait juste la regle entrante avec ton paramétrage… utilise les fonctions stateful pour garder l’état :

iptables -A FORWARD -p tcp --dport 110 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

je connais pas qmail mais sur postfix on a la variable "mynetwork" qui est paramétré pour spécifier les réseaux autorisés a envoyer des mails

En gros avec stateful j’augmenterais la vitesse du firewall c’est un peu ca ?
Tu dis que ca parametre uniquement les regles entrantes là ? Si je veux parametrer les regles sortantes je met quoi ? :slight_smile:

Merci de votre aide :wink:

c’est normal et heureusement !
Si ton serveur pouvait faire ce que tu souhaites alors il faudrait le mettre en mode RELAY or c’est la porte ouverte aux spammeurs qui l’utiliseront pour pourrir la planete…
Et c’est toi qui aurait les problemes puisque les mails proviennent de ton serveur.

Non vraiment laisse le comme ca c’est tres bien.
Si tu veux pouvoir envoyer des mails depuis l’exterieur alors il faut que tu installes un webmail ou alors tu utilises ton compte pop normal pour recup tes mails et tu utilises le serveur smtp du fai que tu utilises a ce moment la (mais t’auras surement l’impossibilite d’envoyer des mails avec ton propre domaine…)

C’est vrai que maintenant que tu le dis ca parait mieux de pas pouvoir mais bon si le patron le demande … enfin je vais qd même lui soumettre le probleme ^_^"

Sinon quelqu’un connait-il un bon site sur les fonctions stateful ? Ca m’interesse assez mais je voudrais avoir plus d’info sur son fonctionnement, si ca marche bien avec mon iptable etc… Je crois que j’ai netfilter mais je suis pas sûr.

Tous les patrons le demandent un jour ou l’autre :smiley:
Avec moi, c’est un non categorique.

Car le jour ou un spammeur utilise ton serveur pour spammer la planete, tu te retrouves non seulement submerge au niveau bande passante (et ca peut durer des heures et des heures sans plus pouvoir rien faire sur le net) mais t’es aussi blackliste. Ce qui fait que tous les mails envoyes depuis ton serveur (et/ou ton domaine et/ou ton ip) seront refuses par 95% des autres serveurs web de la planete. Autrement dit, plus de mails ne sont recus par les destinataires pendant entre 2j et 15j suivant les listes auxquels ils sont abonnes.
Et lorsque tu ouvres ton serveur, il ne faut pas se poser la question “cela va t il arriver ?” mais “quand ca va arriver ?”. En general, il faut moins de 2 mois…
Il y a aussi un risque juridique extremement important. Si ton serveur a ete utilise pour envoyer des virus et que qqn a eu des degats avec alors la societe peut se retrouver attaquee penalement. C’est tres tres grave !

Il y a tout de meme des solutions : soit le webmail securise ou soit monter un vpn et ton parton envoie des mails une fois connecte au vpn ou soit mettre en place un acces smtp avec login/pass (mais c’est pas secure)

Serieusement, il ne faut pas accepter cette demande, c’est vraiment une tres grosse erreur de le faire… meme si c’est le patron… surtout si c’est le patron d’ailleurs car tu ne rendras service a personne.

j’approuve a 200%

le webmail est une solution super mais souvent les employés veulent pas lacher leurs outlook, dans ce cas, le VPN est super simple a mettre en oeuvre et bien pratique

Merci pour tous ces détails ca me permettra de bien argumenter le probleme :oui:
Je vais réfléchir au vpn mais je pense me diriger vers la solution webmail.

moi j’aime bien le webmail… pour une utilisation ponctuelle, c’est rapide a mettre en place et si il est bien fichu, c’est agreable a utiliser.
Neanmoins, le vpn peut etre utilise pour bien plus de choses que simplement envoyer des mails.
dg-switcher -> La mise en place d’un vpn n’est pas si facile… moi j’ai jamais vraiment trouve un client pour windows pour openvpn facile a utiliser… des solutions a me donner ?

euh…
vous êtes mignons mais… il est tout à fait possible de monter un serveur mail (smtpd) ouvert sans qu’il soit pour autant open relay. Je ne pense pas que qmail ne soit pas en mesure de faire ce que postfix fait. Maintenant si ton patron veut ce service, peut-être devra t-il faire appel à une personne compétente pour lui mettre en place ce qu’il demande. Après tout, admin système c’est un métier à part entière.

ouais avec une authentification smtp mais c’est loin d’etre secure…

un petit peu de lecture ?
consulte la traduction officielle de postfix pour te faire une idée des progrès réalisés depuis 10 ans.

le prob de securite ne vient pas du serveur mais du client…
outlook (qui est le plus repandu de loin… malheureusement) gere t il une auth sasl ?

il n’y a que toi qui parle d’authentification sasl
moi je te parle de postfix avec $mydestrination $local_recipient_maps (et un peu plus au dessus avec $virtual_alias_domains et $alias_virtual_maps)
Avec les deux premiers paramètres tu permets à ton serveur d’être accessible depuis le net.
A partir de la seuls les mails a destination du domaine local seront acceptés depuis l’exterieur.
Grace à local_recipient_maps tu fixe un fichier contenant les seuls utilisateurs concernés (au lieu de permettre /etc/passwd); grace a cela, tu evites le flood possible de la mailbox de root.

Donc pour faire court : OUI on peut laisser un postfix ouvert sur le monde exterieur sans pour autant être open-relay ET SANS JAMAIS AVOIR A PASSER PAR UNE AUTH SASL.

Plus sérieusement, la doc de xavier guimard est très bien fournie et relativement complète; si vous voulez monter un serveur mail sans mauvaise surprise lisez la. Ca ne sera pas une perte de temps.

avec le sourire et sans le ton "vousetestropbetes" ca marche bien aussi :slight_smile:

kp2 => www.openvpn.se :wink:

je parle pas de spamming sur tes utilisateurs locaux mais de spamming des boites mails externes… je vois pas en quoi tes params de conf permettent d’eviter un spammeur d’utiliser ton serveur pour envoyer des mails.

Dis moi si je me trompe mais si tu veux regler ce prob au niveau de postfix, il faut soit mettre en place une authentification smtp soit faire un filtrage au niveau de l’ip du client or un client en roaming a pas par definition une ip non attribuee donc le filtrage est caduque (ou presque, au mieux tu filtres sur un ensemble d’ip d’un fai complet - ce qui n’arrete pas un spammeur)

relis bien ce que j’ai mis plus haut: avec mydestination tu obtiens que les clients smtp ne puissent envoyer que vers les domaines cités. avec smtpd_client_restrictions et/ou mynetworks tu fixes ip ou domaines ayant l’autorisation d’emettre (relay).

Tu te trompes (voir ci-dessus et ce qui suit)

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
ici la ligne est lue de gauche à droite donc un client référencé dans mon reseau pourra emettre (permit_mynetworks) alors que les autres seront rejetés (reject_unauth_destination)
Par contre, si le client externe envoie a destination de mon reseau il sera accepté (d’ou le principe de local_recipient_maps évoqué dans mon précédent post).

edit: essaie de te procurer les linuxmag n°85 et 86; Xavier Guimard y a pondu deux excellents articles qui permettent de se faire une idée très précise des possibilités offertes par postfix.