Posté(e) le 25 mai 201015 a Bonjour, J'ai actuellement un serveur de mail à ma boîte avec une passerelle sous debian avec iptable. J'envisage d'ajouter un deuxième serveur mail, j'ai 2 ip publiques mais je n'arrive pas a configurer iptable pour ça. Quelqu'un aurai une piste un exemple?? Merci Nicolas
Posté(e) le 26 mai 201015 a Auteur personne??? parce-que vraiment je n'avance pas... j'ai essayer pas mal de chose (sans trop comprendre j'avoue) mais sans résultat...
Posté(e) le 26 mai 201015 a rediriger n'importe quel mail des deux publiques sur les deux serveurs (deux machines differentes, j'imagine) ? j'ai zieutte pas mal de doc, je ne trouve pas de reference a moins d'utiliser du multicast ? mais, ta question n'est pas forcement tres claire (pour les noob de postfix&co, comme moi) comment marchent tes deux serveurs mail ? tu veux bien dupliquer l'entrant (ca aurait peut-etre merite d'etre poste dans reseaux)
Posté(e) le 27 mai 201015 a il faut être un vrai barbu pour taper les règles à la mano je ne sais aps ce que tu as au niveau config, avec avec un frontend comme shorewall par exemple, tout devient beaucoup plus simple pour créér lees règles http://www.shorewall.net/ ensuite si tu veut un exemple d efichier de config : ici ensuite ça doit se résumé à 2 pauvre ligne du style SMTP/DNAT net:ip_public1 dmz:10.10.10.1SMTP/ACCEPT net:ip_public1 dmz:10.10.10.1 SMTP/DNAT net:ip_public2 dmz:10.10.10.2 SMTP/ACCEPT net:ip_public2 dmz:10.10.10.2 c'est beaucoup pluis simple ensuite tu dois pouvoir créé les régles sur un autre pc avec shorewall et transférer les règles iptables
Posté(e) le 28 mai 201015 a Auteur Non c'est deux serveur de mail bien distinct avec un domain chacun et donc je voudrai qu'ils aient chacun leur IP public. rediriger n'importe quel mail des deux publiques sur les deux serveurs (deux machines differentes, j'imagine) ?j'ai zieutte pas mal de doc, je ne trouve pas de reference a moins d'utiliser du multicast ? mais, ta question n'est pas forcement tres claire (pour les noob de postfix&co, comme moi) comment marchent tes deux serveurs mail ? tu veux bien dupliquer l'entrant (ca aurait peut-etre merite d'etre poste dans reseaux) Pour Shorewall j'y ai déjà regardé il faudrait que je m'y penche un peu plus car ..... au moment de monter ma passerelle j'y ai trouvé plus simple de le faire avec iptable... il faut être un vrai barbu pour taper les règles à la mano je ne sais aps ce que tu as au niveau config, avec avec un frontend comme shorewall par exemple, tout devient beaucoup plus simple pour créér lees règles http://www.shorewall.net/ ensuite si tu veut un exemple d efichier de config : ici ensuite ça doit se résumé à 2 pauvre ligne du style SMTP/DNAT net:ip_public1 dmz:10.10.10.1SMTP/ACCEPT net:ip_public1 dmz:10.10.10.1 SMTP/DNAT net:ip_public2 dmz:10.10.10.2 SMTP/ACCEPT net:ip_public2 dmz:10.10.10.2 c'est beaucoup pluis simple ensuite tu dois pouvoir créé les régles sur un autre pc avec shorewall et transférer les règles iptables
Posté(e) le 29 mai 201015 a Je ne comprends rien :), tu as un serveur mail par machine? les deux sur la même machine? les ip publiques sont sur les interfaces de quelles machines ? précise un peu ton problème
Posté(e) le 30 mai 201015 a Non c'est deux serveur de mail bien distinct avec un domain chacun et donc je voudrai qu'ils aient chacun leur IP public. Salut, je ne suis pas sûr non plus que ta demandes soit bien claire, mais avec cette précision je pense pouvoir te donner une piste. Premièrement, il y a deux types de serveur mail : SMTP (pour les envoies, port 25), POP (pour la récupération, port 110) ou encore IMAP (toujours pour la réception, port 143). Il existe aussi des serveurs propriétaires comme celui de m$. Si tu as deux serveurs mails hébergés dans ta boite, je pense que tu fais office d'envoi et réception. Donc déjà : ouverture des ports 25 d'internet vers ton entreprise pour les deux ip publiques. De même, il faut configurer la possiblité aux postes internes à ouvrir le port 25 vers au moins l'un des deux serveurs (je suppose que c'est déjà fait). Ensuite, il faut que tes postes internes soient capables d'aller récupérer les mails. Par exemple, ouverture du port 110 des postes internes vers tes serveurs mail. Pour finir, vu que tu as deux domaines, il est indispensables que les serveurs mails d'internet soient capables de différencier tes deux serveurs par rapport au domaine que tu leur attribut. Il faut donc modifier les entrées DNS pour les IP publiques de ton entreprises en ajout un champ MX pour le nouveau domaine. En espérant que ces pistes d'aide à avancer. bon courage, @+
Posté(e) le 30 mai 201015 a Tu sais que tu peux attribuer plusieurs domaines sur un même serveur de mails? Enfin, tu peux paramêtrer le SMTP1 pour que quand ce soit @domain2, il redirige sur le second serveur :) et vice versa.
Posté(e) le 30 mai 201015 a Moi non plus, je n'ai rien compris. Résumons ce que tu as : - 2 IPs publiques : appelons les 1.1.1.1 et 1.1.1.2 - Deux serveurs : une machine 1 et une machine B Et tu veux faire quoi au juste ???
Posté(e) le 31 mai 201015 a Auteur Oui c'est ça et je veux que lorsque que l'on arrive sur l'ip 1.1.1.1:25 on soit dirigé vers la machine 1 et quand on arrive sur 1.1.1.2:25 vers la machine 2 Moi non plus, je n'ai rien compris. Résumons ce que tu as : - 2 IPs publiques : appelons les 1.1.1.1 et 1.1.1.2 - Deux serveurs : une machine 1 et une machine B Et tu veux faire quoi au juste ??? Oui c'est ça et je veux que lorsque que l'on arrive sur l'ip 1.1.1.1:25 on soit dirigé vers la machine 1 et quand on arrive sur 1.1.1.2:25 vers la machine 2 Tu sais que tu peux attribuer plusieurs domaines sur un même serveur de mails?Enfin, tu peux paramêtrer le SMTP1 pour que quand ce soit @domain2, il redirige sur le second serveur :) et vice versa. Et oui je sais mais en fait j'ai un serveur mail sous osx et le deuxième sera zimbra sur une debian.
Posté(e) le 31 mai 201015 a #eval IF_IN1=eth0 IF_IN2=eth1 IF_OUT=eth2 MAIL1=10.42.42.42 MAIL2=10.42.42.43 iptables -t nat -A PREROUTING -j DNAT -i $IF_IN1 -p tcp --dport 25 --to-destination $MAIL1:25 iptables -t nat -A POSTROUTING -j MASQUERADE -o $IF_OUT -p tcp --dport 25 -d $MAIL1 iptables -t nat -A PREROUTING -j DNAT -i $IF_IN2 -p tcp --dport 25 --to-destination $MAIL2:25 iptables -t nat -A POSTROUTING -j MASQUERADE -o $IF_OUT -p tcp --dport 25 -d $MAIL2 $RC_DIR/iptables save et tu touches plus :)
Posté(e) le 1 juin 201015 a Auteur Bon je vais reprendre alors... J'ai une passerelle sous debian avec eth0 pour le reseau local eth eth1 sur internet (avec 2 adresse ip publique) actuellement un serveur mail (avec smtp imap pop....) sous OSX Serveur pour les mails de la boîte. Et je souhaite ajouter un deuxième serveur de mail sous zimbra et donc ce sera une machine disticnte (d'ailleur 2 machine sous debian avec Heartbeat et DRBD... mais ce n'est pas le sujet!!). J'ai 2 domaine un qui pointe vers l'ip publique 1 et l'autre vers l'ip publique 2 et je voudrai que ce qui arrive sur l'ip1 soit dirigé vers le serveur 1 et ce qui arrive vers l'ip2 soit dirigé vers le serveur 2
Posté(e) le 1 juin 201015 a Auteur Mais dans sa réponse il y a 2 interface IN eth0 et eth1 moi je n'en ai qu'une pour les 2 adresses. Mephisto t'a fourni la configuration IPTables à utiliser :)
Posté(e) le 1 juin 201015 a La même interface avec deux adresse ip différentes ? Dans ce cas, l'interface est dupliquée par aliasing. Tu devrais donc avoir un eth0:0 et un eth0:1 correspondant aux deux ip. Du coup, les règles de Mephisto peuvent s'appliquer
Posté(e) le 2 juin 201015 a Auteur J'ai bien essayé mais ça ne passe pas actuellement pour le serveur de mail que j'ai, j'ai ces 2 règles pour le smtp iptables -A FORWARD -p tcp -i eth1 --destination-port 25 \ --destination 192.168.0.251 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 25 \ -j DNAT --to-destination 192.168.0.251:25 et aussi avec eth1:2, j'ai ce message : Process FORWARD chain ... Warning: weird character in interface `eth1:2' (No aliases, :, ! or *). Process OUTPUT chain ... Load rules for nat table ... Warning: weird character in interface `eth1:2' (No aliases, :, ! or *). et si j'ajoutes les même règles avec eth1:2 et en destination de l'autre serveur, les connexion se font toujours sur le premier serveur. Mais bon je penses que je vais refaire le script entièrement (il avait été fait avec un générateur de script) ou passé comme conseillé plus haut pas shorewall... La même interface avec deux adresse ip différentes ? Dans ce cas, l'interface est dupliquée par aliasing. Tu devrais donc avoir un eth0:0 et un eth0:1 correspondant aux deux ip. Du coup, les règles de Mephisto peuvent s'appliquer
Posté(e) le 2 juin 201015 a quels sont les noms de tes interfaces (toutes tes interfaces, y compris les alias) ?
Posté(e) le 2 juin 201015 a c'est en ip aliasing, ou en bonding ? dans le second cas, tu peux appeller tes interfaces bond* par contre, j'ai jamais fait d'aliasing...
Posté(e) le 3 juin 201015 a Auteur quels sont les noms de tes interfaces (toutes tes interfaces, y compris les alias) ? eth0 Link encap:Ethernet HWaddr 00:08:02:f7:8f:22 inet adr:192.168.0.253 Bcast:192.168.0.255 Masque:255.255.255.0 adr inet6: fe80::208:2ff:fef7:8f22/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:97890076 errors:214389 dropped:0 overruns:0 frame:616 TX packets:106537282 errors:0 dropped:0 overruns:0 carrier:0 collisions:9176751 lg file transmission:1000 RX bytes:833965319 (795.3 MiB) TX bytes:3611325423 (3.3 GiB) Interruption:18 eth1 Link encap:Ethernet HWaddr 00:08:a1:71:cb:d8 inet adr:x.x.x.25 Bcast:x.x.x.255 Masque:255.255.255.0 adr inet6: fe80::208:a1ff:fe71:cbd8/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:106520524 errors:0 dropped:0 overruns:0 frame:0 TX packets:89219484 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:3437141370 (3.2 GiB) TX bytes:4054900089 (3.7 GiB) Interruption:20 Adresse de base:0xd400 eth1:2 Link encap:Ethernet HWaddr 00:08:a1:71:cb:d8 inet adr:x.x.x.24 Bcast:x.x.x.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interruption:20 Adresse de base:0xd400 lo Link encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:Hôte UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:5373 errors:0 dropped:0 overruns:0 frame:0 TX packets:5373 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:829800 (810.3 KiB) TX bytes:829800 (810.3 KiB) c'est en ip aliasing, ou en bonding ?dans le second cas, tu peux appeller tes interfaces bond* par contre, j'ai jamais fait d'aliasing... Je suppose ip aliasing....
Posté(e) le 5 juin 201015 a Même @ mac, donc c'est de l'aliasing Et iptables n'aime pas les alias (mettre plutot l'IP de destination) Par exemple : https://forum.debian-fr.org/viewtopic.php?f...56&p=262027
Posté(e) le 5 juin 201015 a Auteur Si je comprend bien je n'i pas d'autre chose que d'ajouter une deuxième carte réseau pour differiencer mes 2 ip sources? Même @ mac, donc c'est de l'aliasingEt iptables n'aime pas les alias (mettre plutot l'IP de destination) Par exemple : https://forum.debian-fr.org/viewtopic.php?f...56&p=262027
Posté(e) le 5 juin 201015 a Quelques précisions : ext --- eth0:0 --- passerelle --- eth1 --- switch --- srv mail1 \ eth0:1 / \ srv mail2 Est ce que ta configuration ressemble à ça ? Ton but c'est de rediriger ce qui arrive sur eth0:0 port 25 vers srv mail1 25 et idem avec eth0:1 et srvmail2 ?
Posté(e) le 6 juin 201015 a Auteur Oui c'est exactement ça Quelques précisions : ext --- eth0:0 --- passerelle --- eth1 --- switch --- srv mail1 \ eth0:1 / \ srv mail2 Est ce que ta configuration ressemble à ça ? Ton but c'est de rediriger ce qui arrive sur eth0:0 port 25 vers srv mail1 25 et idem avec eth0:1 et srvmail2 ?
Posté(e) le 7 juillet 201015 a Ton problème est il résolu ? Je veux bien me pencher dessus si ca n'est pas bon.
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.