Re: Problème de configuration firewall

Top Page

Reply to this message
Author: Olivier Desportes
Date:  
To: Olivier Allard-Jacquin, ML Guilde
Subject: Re: Problème de configuration firewall
C'est bon, j'ai pu corriger le problème entretemps. Je connais ces
subtilités de forwarding, mais là le problème était surtout d'arriver
à comprendre quelque chose à l'interface d'admin du firewall/routeur
qui est manifestement faite pour faire rentrer les sous dans les
services de hot line... Car rien d'aussi évident qu'une telle case à
cocher de disponible dans cette admin... Mais Ils m'ont pas eu ce coup
ci... :p

Le 23 août 2010 13:46, Olivier Allard-Jacquin <olivieraj@???> a écrit :
>    Bonjour,
>
> ----- "Olivier Desportes" <olivier.desportes@???> a écrit :
>
>> Bonjour
>>
>> Je sais que ce n'est pas lié directement à linux, mais c'est
>> néanmoins
>> de l'administration : je viens d'installer un nouveau
>> routeur/firewall
>> DFL-210 (dlink) pour remplacer le DFL-200 qui avait grillé pendant
>> les
>> vacances. L'interface d'administration n'a plus rien à voir avec le
>> précédent et n'a plus rien d'intuitif.
>> Mon souci est que maintenant, si j'ouvre le port 25 sur le routeur,
>> celui ci fait transiter les mails sur mon serveur de mail en
>> changeant
>> l'adresse émettrice : ce n'est plus le serveur initial qui est
>> identifié, mais l'adresse locale du routeur. Du coup, les adresses du
>> réseau local étant autorisées par le serveur mail, tous les mails
>> reçu
>> via le routeur sont expédiés ! Mon serveur mail devient relais ouvert
>> !
>>
>> Quelqu'un connait il ce problème ? Ou une idée pour le résoudre ? Je
>> précise que je n'ai pas touché la configuration du serveur mail entre
>> le moment ou il marchait sur l'ancien routeur et celui où il marchait
>> sur le nouveau (ma configuration mail est ok)
>
>   Lorsque tu crées ta règle de de "forwarding" pour le port 25, regardes si il n'y a pas une case à cocher de type "source NAT" ou "snat", ou quelque chose d'équivalent.
>
>   L'idée du "source NAT" (je te donne la page de netfilter à ce sujet, recherche "SNAT" http://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO-6.html ), c'est que le routeur modifie l'adresse IP source du paquet (ie: ici, l'expediteur du mail), pour la remplacer par l'adresse IP interne du routeur.
>
>   Il te faut donc désactiver le mécanisme de "snat".
>
>   A noter que pour netfilter / iptables de Linux, le mécanisme de "snat" n'est pas celui utilisé par défaut (ie: l'adresse IP source n'est pas modifié).
>
>   Cordialement,
>
>                                            Olivier
>
>