2 serveurs mails et 2 IP Publiques

[niocs]

Bonjour,

J'ai actuellement un serveur de mail à ma boîte avec une passerelle sous debian avec iptable.

J'envisage d'ajouter un deuxième serveur mail, j'ai 2 ip publiques mais je n'arrive pas a configurer iptable pour ça.

Quelqu'un aurai une piste un exemple??

Merci

Nicolas

[niocs]

personne??? parce-que vraiment je n'avance pas... j'ai essayer pas mal de chose (sans trop comprendre j'avoue) mais sans résultat...

[Mephisto]

rediriger n'importe quel mail des deux publiques sur les deux serveurs (deux machines differentes, j'imagine) ?

j'ai zieutte pas mal de doc, je ne trouve pas de reference

a moins d'utiliser du multicast ?

mais, ta question n'est pas forcement tres claire (pour les noob de postfix&co, comme moi)

comment marchent tes deux serveurs mail ?

tu veux bien dupliquer l'entrant

(ca aurait peut-etre merite d'etre poste dans reseaux)

[Dark26]

il faut être un vrai barbu pour taper les règles à la mano

je ne sais aps ce que tu as au niveau config, avec avec un frontend comme shorewall par exemple, tout devient beaucoup plus simple pour créér lees règles

http://www.shorewall.net/

ensuite si tu veut un exemple d efichier de config : ici

ensuite ça doit se résumé à 2 pauvre ligne du style

SMTP/DNAT net:ip_public1 dmz:10.10.10.1

SMTP/ACCEPT net:ip_public1 dmz:10.10.10.1

SMTP/DNAT net:ip_public2 dmz:10.10.10.2

SMTP/ACCEPT net:ip_public2 dmz:10.10.10.2

c'est beaucoup pluis simple

ensuite tu dois pouvoir créé les régles sur un autre pc avec shorewall et transférer les règles iptables

[niocs]

Non c'est deux serveur de mail bien distinct avec un domain chacun et donc je voudrai qu'ils aient chacun leur IP public.

rediriger n'importe quel mail des deux publiques sur les deux serveurs (deux machines differentes, j'imagine) ?

j'ai zieutte pas mal de doc, je ne trouve pas de reference

a moins d'utiliser du multicast ?

mais, ta question n'est pas forcement tres claire (pour les noob de postfix&co, comme moi)

comment marchent tes deux serveurs mail ?

tu veux bien dupliquer l'entrant

(ca aurait peut-etre merite d'etre poste dans reseaux)

Pour Shorewall j'y ai déjà regardé il faudrait que je m'y penche un peu plus car ..... au moment de monter ma passerelle j'y ai trouvé plus simple de le faire avec iptable...

il faut être un vrai barbu pour taper les règles à la mano

je ne sais aps ce que tu as au niveau config, avec avec un frontend comme shorewall par exemple, tout devient beaucoup plus simple pour créér lees règles

http://www.shorewall.net/

ensuite si tu veut un exemple d efichier de config : ici

ensuite ça doit se résumé à 2 pauvre ligne du style

SMTP/DNAT net:ip_public1 dmz:10.10.10.1

SMTP/ACCEPT net:ip_public1 dmz:10.10.10.1

SMTP/DNAT net:ip_public2 dmz:10.10.10.2

SMTP/ACCEPT net:ip_public2 dmz:10.10.10.2

c'est beaucoup pluis simple

ensuite tu dois pouvoir créé les régles sur un autre pc avec shorewall et transférer les règles iptables

[Bashy]

Je ne comprends rien :), tu as un serveur mail par machine? les deux sur la même machine? les ip publiques sont sur les interfaces de quelles machines ? précise un peu ton problème

[PyKaBoo]

Non c'est deux serveur de mail bien distinct avec un domain chacun et donc je voudrai qu'ils aient chacun leur IP public.

Salut, je ne suis pas sûr non plus que ta demandes soit bien claire, mais avec cette précision je pense pouvoir te donner une piste.

Premièrement, il y a deux types de serveur mail : SMTP (pour les envoies, port 25), POP (pour la récupération, port 110) ou encore IMAP (toujours pour la réception, port 143). Il existe aussi des serveurs propriétaires comme celui de m$.

Si tu as deux serveurs mails hébergés dans ta boite, je pense que tu fais office d'envoi et réception. Donc déjà : ouverture des ports 25 d'internet vers ton entreprise pour les deux ip publiques. De même, il faut configurer la possiblité aux postes internes à ouvrir le port 25 vers au moins l'un des deux serveurs (je suppose que c'est déjà fait).

Ensuite, il faut que tes postes internes soient capables d'aller récupérer les mails. Par exemple, ouverture du port 110 des postes internes vers tes serveurs mail.

Pour finir, vu que tu as deux domaines, il est indispensables que les serveurs mails d'internet soient capables de différencier tes deux serveurs par rapport au domaine que tu leur attribut. Il faut donc modifier les entrées DNS pour les IP publiques de ton entreprises en ajout un champ MX pour le nouveau domaine.

En espérant que ces pistes d'aide à avancer.

bon courage, @+

[patos]

Tu sais que tu peux attribuer plusieurs domaines sur un même serveur de mails?

Enfin, tu peux paramêtrer le SMTP1 pour que quand ce soit @domain2, il redirige sur le second serveur :) et vice versa.

[lorinc]

Moi non plus, je n'ai rien compris. Résumons ce que tu as :

- 2 IPs publiques : appelons les 1.1.1.1 et 1.1.1.2

- Deux serveurs : une machine 1 et une machine B

Et tu veux faire quoi au juste ???

[niocs]

Oui c'est ça et je veux que lorsque que l'on arrive sur l'ip 1.1.1.1:25 on soit dirigé vers la machine 1 et quand on arrive sur 1.1.1.2:25 vers la machine 2

Moi non plus, je n'ai rien compris. Résumons ce que tu as :

- 2 IPs publiques : appelons les 1.1.1.1 et 1.1.1.2

- Deux serveurs : une machine 1 et une machine B

Et tu veux faire quoi au juste ???

Oui c'est ça et je veux que lorsque que l'on arrive sur l'ip 1.1.1.1:25 on soit dirigé vers la machine 1 et quand on arrive sur 1.1.1.2:25 vers la machine 2

Tu sais que tu peux attribuer plusieurs domaines sur un même serveur de mails?

Enfin, tu peux paramêtrer le SMTP1 pour que quand ce soit @domain2, il redirige sur le second serveur :) et vice versa.

Et oui je sais mais en fait j'ai un serveur mail sous osx et le deuxième sera zimbra sur une debian.

[Mephisto]

#eval IF_IN1=eth0 IF_IN2=eth1 IF_OUT=eth2 MAIL1=10.42.42.42 MAIL2=10.42.42.43
iptables -t nat -A PREROUTING  -j DNAT	   -i $IF_IN1 -p tcp --dport 25   --to-destination $MAIL1:25
iptables -t nat -A POSTROUTING -j MASQUERADE -o $IF_OUT -p tcp --dport 25   -d $MAIL1
iptables -t nat -A PREROUTING  -j DNAT	   -i $IF_IN2 -p tcp --dport 25   --to-destination $MAIL2:25
iptables -t nat -A POSTROUTING -j MASQUERADE -o $IF_OUT -p tcp --dport 25   -d $MAIL2

$RC_DIR/iptables save et tu touches plus :)

[niocs]

Bon je vais reprendre alors...

J'ai une passerelle sous debian avec eth0 pour le reseau local eth eth1 sur internet (avec 2 adresse ip publique)

actuellement un serveur mail (avec smtp imap pop....) sous OSX Serveur pour les mails de la boîte.

Et je souhaite ajouter un deuxième serveur de mail sous zimbra et donc ce sera une machine disticnte (d'ailleur 2 machine sous debian avec Heartbeat et DRBD... mais ce n'est pas le sujet!!).

J'ai 2 domaine un qui pointe vers l'ip publique 1 et l'autre vers l'ip publique 2 et je voudrai que ce qui arrive sur l'ip1 soit dirigé vers le serveur 1 et ce qui arrive vers l'ip2 soit dirigé vers le serveur 2

[patos]

Mephisto t'a fourni la configuration IPTables à utiliser :)

[niocs]

Mais dans sa réponse il y a 2 interface IN eth0 et eth1 moi je n'en ai qu'une pour les 2 adresses.

Mephisto t'a fourni la configuration IPTables à utiliser :)

[lorinc]

La même interface avec deux adresse ip différentes ? Dans ce cas, l'interface est dupliquée par aliasing. Tu devrais donc avoir un eth0:0 et un eth0:1 correspondant aux deux ip. Du coup, les règles de Mephisto peuvent s'appliquer

[niocs]

J'ai bien essayé mais ça ne passe pas actuellement pour le serveur de mail que j'ai, j'ai ces 2 règles pour le smtp

iptables -A FORWARD -p tcp -i eth1 --destination-port 25 \

--destination 192.168.0.251 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 25 \

-j DNAT --to-destination 192.168.0.251:25

et aussi avec eth1:2, j'ai ce message :

Process FORWARD chain ...

Warning: weird character in interface `eth1:2' (No aliases, :, ! or *).

Process OUTPUT chain ...

Load rules for nat table ...

Warning: weird character in interface `eth1:2' (No aliases, :, ! or *).

et si j'ajoutes les même règles avec eth1:2 et en destination de l'autre serveur, les connexion se font toujours sur le premier serveur.

Mais bon je penses que je vais refaire le script entièrement (il avait été fait avec un générateur de script) ou passé comme conseillé plus haut pas shorewall...

La même interface avec deux adresse ip différentes ? Dans ce cas, l'interface est dupliquée par aliasing. Tu devrais donc avoir un eth0:0 et un eth0:1 correspondant aux deux ip. Du coup, les règles de Mephisto peuvent s'appliquer

[lorinc]

quels sont les noms de tes interfaces (toutes tes interfaces, y compris les alias) ?

[Mephisto]

c'est en ip aliasing, ou en bonding ?

dans le second cas, tu peux appeller tes interfaces bond*

par contre, j'ai jamais fait d'aliasing...

[niocs]

quels sont les noms de tes interfaces (toutes tes interfaces, y compris les alias) ?

eth0 Link encap:Ethernet HWaddr 00:08:02:f7:8f:22

inet adr:192.168.0.253 Bcast:192.168.0.255 Masque:255.255.255.0

adr inet6: fe80::208:2ff:fef7:8f22/64 Scope:Lien

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:97890076 errors:214389 dropped:0 overruns:0 frame:616

TX packets:106537282 errors:0 dropped:0 overruns:0 carrier:0

collisions:9176751 lg file transmission:1000

RX bytes:833965319 (795.3 MiB) TX bytes:3611325423 (3.3 GiB)

Interruption:18

eth1 Link encap:Ethernet HWaddr 00:08:a1:71:cb:d8

inet adr:x.x.x.25 Bcast:x.x.x.255 Masque:255.255.255.0

adr inet6: fe80::208:a1ff:fe71:cbd8/64 Scope:Lien

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:106520524 errors:0 dropped:0 overruns:0 frame:0

TX packets:89219484 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 lg file transmission:1000

RX bytes:3437141370 (3.2 GiB) TX bytes:4054900089 (3.7 GiB)

Interruption:20 Adresse de base:0xd400

eth1:2 Link encap:Ethernet HWaddr 00:08:a1:71:cb:d8

inet adr:x.x.x.24 Bcast:x.x.x.255 Masque:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Interruption:20 Adresse de base:0xd400

lo Link encap:Boucle locale

inet adr:127.0.0.1 Masque:255.0.0.0

adr inet6: ::1/128 Scope:Hôte

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:5373 errors:0 dropped:0 overruns:0 frame:0

TX packets:5373 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 lg file transmission:0

RX bytes:829800 (810.3 KiB) TX bytes:829800 (810.3 KiB)

c'est en ip aliasing, ou en bonding ?

dans le second cas, tu peux appeller tes interfaces bond*

par contre, j'ai jamais fait d'aliasing...

Je suppose ip aliasing....

[bill_baroud]

Même @ mac, donc c'est de l'aliasing

Et iptables n'aime pas les alias (mettre plutot l'IP de destination)

Par exemple : https://forum.debian-fr.org/viewtopic.php?f...56&p=262027

[niocs]

Si je comprend bien je n'i pas d'autre chose que d'ajouter une deuxième carte réseau pour differiencer mes 2 ip sources?

Même @ mac, donc c'est de l'aliasing

Et iptables n'aime pas les alias (mettre plutot l'IP de destination)

Par exemple : https://forum.debian-fr.org/viewtopic.php?f...56&p=262027

[bill_baroud]

Quelques précisions :

ext --- eth0:0 --- passerelle --- eth1 --- switch --- srv mail1
 \  eth0:1  /								  \  srv mail2

Est ce que ta configuration ressemble à ça ?

Ton but c'est de rediriger ce qui arrive sur eth0:0 port 25 vers srv mail1 25 et idem avec eth0:1 et srvmail2 ?

[niocs]

Oui c'est exactement ça

Quelques précisions :

ext --- eth0:0 --- passerelle --- eth1 --- switch --- srv mail1
 \  eth0:1  /								  \  srv mail2

Est ce que ta configuration ressemble à ça ?

Ton but c'est de rediriger ce qui arrive sur eth0:0 port 25 vers srv mail1 25 et idem avec eth0:1 et srvmail2 ?

[doktoil makresh]

Ton problème est il résolu ? Je veux bien me pencher dessus si ca n'est pas bon.