Problème de serveur de mail

[Minuteman]

Bon, à mon tour d'avoir un problème...c'est peut-être pas le forum optimal pour poster ça mais on sait jamais

J'ai chez moi la config réseau suivante:

Internet
.
.
.
Firewall IPcop
.
.
.
Serveur de mail 1 et Serveur de mail 2

Quelques infos sur les IP:
Firewall WAN: 213.221.10.20 (au bol)
Firewall DMZ: 192.168.1.1
Serveur mail 1 privé: 192.168.1.100
Serveur mail 2 privé: 192.168.1.200

Sur le firewall, les serveurs de mail ont aussi une IP publique qui sont
Serveur mail 1 public: 213.221.10.100 forwardé sur 192.168.1.100
Serveur mail 2 public: 213.221.10.200 forwardé sur 192.168.1.200

Jusqu'à ce point, les deux serveurs de mail fonctionnent très bien: ils peuvent envoyer des mails et en recevoir du monde entier sans problème, gentils serveurs :sarcastic:

MAIS j'ai un problème à la con: aucun mail ne passe entre eux. C'est à dire que les utilisateurs situés sur le premier serveur ne peuvent envoyer aucun mail à un utilisateur se trouvant sur le deuxième serveur. Erreur: connection timeout.

Visiblement il s'agit d'un problème de routage (je suppose) au niveau du firewall...

Quelqu'un a une idée lumineuse?

[fennec]

tu n'as pas plus de logs ?
c'est quoi tes serveur de mail ? t'es sous linux ?

C'est peut être un problème de relaying ? si t'es sous linux regarde POP-before-SMTP, ça peut être t'aider. J'ai pas super bien compris ce que c'est mais c'est facile a installer/virer. J'ai ça qui est installé sur mon serveur.

as tu des nom de domaine attribué a tes serveurs ? si oui en local (pour chaque serveur de mail) essaye de configurer dans etc/hosts:

192.168.1.100 mail1.domaine.com
192.168.1.200 mail2.domaine.com

comme ça peut être que ça passera pas par le firewall. Je pense que les deux serveurs de mail se connaissent l'un et l'autres QUE par leur IP publiques, peut être que IPCOP les bloques ou qu'il faudrait des règles différentes pour les authoriser a se relayer.

bonne chance

[Lissyx]

t'as essayer de voir déjà si t'arrives à les pingers entre eux?

[Minuteman]

Ouais, tout est sous linux.
Ce n'est pas un problème de relaying, les serveurs n'arrivent tout simplement pas à se contacter. Ton pop-before-smtp ça sert uniquement à s'authentifier par POP sur le serveur pour ensuite pouvoir utiliser le SMTP, ça n'a rien à voir.

Je peux les pinger entre eux, mais pas faire de traceroute, bizarre non?

[javabean34]

t'es allé voir sur Ixus ?

[Minuteman]

Pas encore, je veux d'abord chercher un peu.

[Lissyx]

t'as bien vérifier que y'ai pas de règles iptables/ipchains qui traine?

et aussi, t'as bien vérifier la config IP ?

[fennec]

tu as essaye de configurer dans etc/hosts ?

192.168.1.100 mail1.domaine.com
192.168.1.200 mail2.domaine.com

[Minuteman]

C'est surement une règle iptables du firewall oui, je vais jeter un coup d'oeil à ça.

fennec sec: le hosts marche bien si j'attaque le serveur de mail 2 directement en telnet, mais par contre si j'utilise Postfix depuis le serveur 1, il essaie toujours d'envoyer le mail sur l'adresse publique malgré l'entrée dans le hosts. C'est dû au fait que Postfix envoie le mail au serveur MX spécifié dans le DNS, qu ise trouve être l'adresse publique.

Bref, je vous tiens au courant dès que j'ai résolu ça, The_Mad m'a donné une bonne piste aussi.

J'ai intercepté ça dans le firewall pendant l'envoi d'un mail:

Requête: 192.168.1.200:33284 213.221.x.x:25
Réponse: 192.168.1.100:25 192.168.1.200:33284 [UNREPLIED]

Ce qui est tout à fait correct à part le vilain Unreplied

[fennec]

Je pense que c'est le forwarding qui pose problème. Mail2 reçoit une connection de l'ip publique mais celle-ci se poursuit en local. Il faudrait se démerder pour que le dns donne l'ip locale, en fait a l'intérieur du réseau les serveur n'ont pas besoin de connaitre l'ip publique.

As-tu ton propre dns ?

[Peewee]

[doublon]

[Peewee]

Ni sendmail, ni postfix n'utilise /etc/hosts (sauf au démarage des services pour la résolution IP->Nom des interfaces réseaux locales.)

Et ipforwarding=1 ca peut te servir

[Minuteman]

fennec: oui, ça amrche si je déclare un MX avec une adresse privée dans le DNS, mais c'est pas top niveau sécurité

Peewee: c'est pas si simple que ça, c'est un firewall avec 3 zones distinctes qui ont chacune des règles de communication spécifiques entre elles .p

[fennec]

fennec: oui, ça amrche si je déclare un MX avec une adresse privée dans le DNS, mais c'est pas top niveau sécurité

bhen je vois pas pourquoi c'est pas top? (mais je suis pas un star de la sécuritée non plus)
ton DNS ne te sert qu'a l'intérieur du réseau, donc c'est normal que pour lui mail.truc.com soit résolu en une IP locale. au niveau de la securité, si tu te fait spoofer une de tes IP publique, on pourra pas te piquer tes mail (si le firewall y a survécu).

[Minuteman]

Non, ce que je voulais dire c'est que la j'ai un DNS publique qui contient 2 entrées MX pour mon domaine, une publiqe et une privée. Donc n'importe qui peut savoir les IP que j'utilise sur mon réseau privé. Bref, ça marche mais c'est de tte façon pas la solution, je vais voir au niveau de iptables sur le firewall.

[fennec]

Non, ce que je voulais dire c'est que la j'ai un DNS publique qui contient 2 entrées MX pour mon domaine, une publiqe et une privée. Donc n'importe qui peut savoir les IP que j'utilise sur mon réseau privé. Bref, ça marche mais c'est de tte façon pas la solution, je vais voir au niveau de iptables sur le firewall.

:jap:

[Minuteman]

Bon, visiblement selon les infos que j'ai pu trouver c'est le firewall qui considère ce que je veux faire comme du spoofing donc il bloque. Les recherches continueront quand j'aurai le temps

[Minuteman]

Bon, le solution finale qui marche ça a été de mettre un DNS interne sur le LAN.

[javabean34]

avec un fwd sur l'extérieur ?

[Minuteman]

Oui, juste les domaines locaux qui posent problème sont gérés par ce serveur.