May 25, 201015 yr Bonjour, J'ai actuellement un serveur de mail à ma boîte avec une passerelle sous debian avec iptable. J'envisage d'ajouter un deuxième serveur mail, j'ai 2 ip publiques mais je n'arrive pas a configurer iptable pour ça. Quelqu'un aurai une piste un exemple?? Merci Nicolas
May 26, 201015 yr Author personne??? parce-que vraiment je n'avance pas... j'ai essayer pas mal de chose (sans trop comprendre j'avoue) mais sans résultat...
May 26, 201015 yr rediriger n'importe quel mail des deux publiques sur les deux serveurs (deux machines differentes, j'imagine) ? j'ai zieutte pas mal de doc, je ne trouve pas de reference a moins d'utiliser du multicast ? mais, ta question n'est pas forcement tres claire (pour les noob de postfix&co, comme moi) comment marchent tes deux serveurs mail ? tu veux bien dupliquer l'entrant (ca aurait peut-etre merite d'etre poste dans reseaux)
May 27, 201015 yr il faut être un vrai barbu pour taper les règles à la mano je ne sais aps ce que tu as au niveau config, avec avec un frontend comme shorewall par exemple, tout devient beaucoup plus simple pour créér lees règles http://www.shorewall.net/ ensuite si tu veut un exemple d efichier de config : ici ensuite ça doit se résumé à 2 pauvre ligne du style SMTP/DNAT net:ip_public1 dmz:10.10.10.1SMTP/ACCEPT net:ip_public1 dmz:10.10.10.1 SMTP/DNAT net:ip_public2 dmz:10.10.10.2 SMTP/ACCEPT net:ip_public2 dmz:10.10.10.2 c'est beaucoup pluis simple ensuite tu dois pouvoir créé les régles sur un autre pc avec shorewall et transférer les règles iptables
May 28, 201015 yr Author Non c'est deux serveur de mail bien distinct avec un domain chacun et donc je voudrai qu'ils aient chacun leur IP public. rediriger n'importe quel mail des deux publiques sur les deux serveurs (deux machines differentes, j'imagine) ?j'ai zieutte pas mal de doc, je ne trouve pas de reference a moins d'utiliser du multicast ? mais, ta question n'est pas forcement tres claire (pour les noob de postfix&co, comme moi) comment marchent tes deux serveurs mail ? tu veux bien dupliquer l'entrant (ca aurait peut-etre merite d'etre poste dans reseaux) Pour Shorewall j'y ai déjà regardé il faudrait que je m'y penche un peu plus car ..... au moment de monter ma passerelle j'y ai trouvé plus simple de le faire avec iptable... il faut être un vrai barbu pour taper les règles à la mano je ne sais aps ce que tu as au niveau config, avec avec un frontend comme shorewall par exemple, tout devient beaucoup plus simple pour créér lees règles http://www.shorewall.net/ ensuite si tu veut un exemple d efichier de config : ici ensuite ça doit se résumé à 2 pauvre ligne du style SMTP/DNAT net:ip_public1 dmz:10.10.10.1SMTP/ACCEPT net:ip_public1 dmz:10.10.10.1 SMTP/DNAT net:ip_public2 dmz:10.10.10.2 SMTP/ACCEPT net:ip_public2 dmz:10.10.10.2 c'est beaucoup pluis simple ensuite tu dois pouvoir créé les régles sur un autre pc avec shorewall et transférer les règles iptables
May 29, 201015 yr Je ne comprends rien :), tu as un serveur mail par machine? les deux sur la même machine? les ip publiques sont sur les interfaces de quelles machines ? précise un peu ton problème
May 30, 201015 yr Non c'est deux serveur de mail bien distinct avec un domain chacun et donc je voudrai qu'ils aient chacun leur IP public. Salut, je ne suis pas sûr non plus que ta demandes soit bien claire, mais avec cette précision je pense pouvoir te donner une piste. Premièrement, il y a deux types de serveur mail : SMTP (pour les envoies, port 25), POP (pour la récupération, port 110) ou encore IMAP (toujours pour la réception, port 143). Il existe aussi des serveurs propriétaires comme celui de m$. Si tu as deux serveurs mails hébergés dans ta boite, je pense que tu fais office d'envoi et réception. Donc déjà : ouverture des ports 25 d'internet vers ton entreprise pour les deux ip publiques. De même, il faut configurer la possiblité aux postes internes à ouvrir le port 25 vers au moins l'un des deux serveurs (je suppose que c'est déjà fait). Ensuite, il faut que tes postes internes soient capables d'aller récupérer les mails. Par exemple, ouverture du port 110 des postes internes vers tes serveurs mail. Pour finir, vu que tu as deux domaines, il est indispensables que les serveurs mails d'internet soient capables de différencier tes deux serveurs par rapport au domaine que tu leur attribut. Il faut donc modifier les entrées DNS pour les IP publiques de ton entreprises en ajout un champ MX pour le nouveau domaine. En espérant que ces pistes d'aide à avancer. bon courage, @+
May 30, 201015 yr Tu sais que tu peux attribuer plusieurs domaines sur un même serveur de mails? Enfin, tu peux paramêtrer le SMTP1 pour que quand ce soit @domain2, il redirige sur le second serveur :) et vice versa.
May 30, 201015 yr Moi non plus, je n'ai rien compris. Résumons ce que tu as : - 2 IPs publiques : appelons les 1.1.1.1 et 1.1.1.2 - Deux serveurs : une machine 1 et une machine B Et tu veux faire quoi au juste ???
May 31, 201015 yr Author Oui c'est ça et je veux que lorsque que l'on arrive sur l'ip 1.1.1.1:25 on soit dirigé vers la machine 1 et quand on arrive sur 1.1.1.2:25 vers la machine 2 Moi non plus, je n'ai rien compris. Résumons ce que tu as : - 2 IPs publiques : appelons les 1.1.1.1 et 1.1.1.2 - Deux serveurs : une machine 1 et une machine B Et tu veux faire quoi au juste ??? Oui c'est ça et je veux que lorsque que l'on arrive sur l'ip 1.1.1.1:25 on soit dirigé vers la machine 1 et quand on arrive sur 1.1.1.2:25 vers la machine 2 Tu sais que tu peux attribuer plusieurs domaines sur un même serveur de mails?Enfin, tu peux paramêtrer le SMTP1 pour que quand ce soit @domain2, il redirige sur le second serveur :) et vice versa. Et oui je sais mais en fait j'ai un serveur mail sous osx et le deuxième sera zimbra sur une debian.
May 31, 201015 yr #eval IF_IN1=eth0 IF_IN2=eth1 IF_OUT=eth2 MAIL1=10.42.42.42 MAIL2=10.42.42.43 iptables -t nat -A PREROUTING -j DNAT -i $IF_IN1 -p tcp --dport 25 --to-destination $MAIL1:25 iptables -t nat -A POSTROUTING -j MASQUERADE -o $IF_OUT -p tcp --dport 25 -d $MAIL1 iptables -t nat -A PREROUTING -j DNAT -i $IF_IN2 -p tcp --dport 25 --to-destination $MAIL2:25 iptables -t nat -A POSTROUTING -j MASQUERADE -o $IF_OUT -p tcp --dport 25 -d $MAIL2 $RC_DIR/iptables save et tu touches plus :)
June 1, 201015 yr Author Bon je vais reprendre alors... J'ai une passerelle sous debian avec eth0 pour le reseau local eth eth1 sur internet (avec 2 adresse ip publique) actuellement un serveur mail (avec smtp imap pop....) sous OSX Serveur pour les mails de la boîte. Et je souhaite ajouter un deuxième serveur de mail sous zimbra et donc ce sera une machine disticnte (d'ailleur 2 machine sous debian avec Heartbeat et DRBD... mais ce n'est pas le sujet!!). J'ai 2 domaine un qui pointe vers l'ip publique 1 et l'autre vers l'ip publique 2 et je voudrai que ce qui arrive sur l'ip1 soit dirigé vers le serveur 1 et ce qui arrive vers l'ip2 soit dirigé vers le serveur 2
June 1, 201015 yr Author Mais dans sa réponse il y a 2 interface IN eth0 et eth1 moi je n'en ai qu'une pour les 2 adresses. Mephisto t'a fourni la configuration IPTables à utiliser :)
June 1, 201015 yr La même interface avec deux adresse ip différentes ? Dans ce cas, l'interface est dupliquée par aliasing. Tu devrais donc avoir un eth0:0 et un eth0:1 correspondant aux deux ip. Du coup, les règles de Mephisto peuvent s'appliquer
June 2, 201015 yr Author J'ai bien essayé mais ça ne passe pas actuellement pour le serveur de mail que j'ai, j'ai ces 2 règles pour le smtp iptables -A FORWARD -p tcp -i eth1 --destination-port 25 \ --destination 192.168.0.251 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 25 \ -j DNAT --to-destination 192.168.0.251:25 et aussi avec eth1:2, j'ai ce message : Process FORWARD chain ... Warning: weird character in interface `eth1:2' (No aliases, :, ! or *). Process OUTPUT chain ... Load rules for nat table ... Warning: weird character in interface `eth1:2' (No aliases, :, ! or *). et si j'ajoutes les même règles avec eth1:2 et en destination de l'autre serveur, les connexion se font toujours sur le premier serveur. Mais bon je penses que je vais refaire le script entièrement (il avait été fait avec un générateur de script) ou passé comme conseillé plus haut pas shorewall... La même interface avec deux adresse ip différentes ? Dans ce cas, l'interface est dupliquée par aliasing. Tu devrais donc avoir un eth0:0 et un eth0:1 correspondant aux deux ip. Du coup, les règles de Mephisto peuvent s'appliquer
June 2, 201015 yr quels sont les noms de tes interfaces (toutes tes interfaces, y compris les alias) ?
June 2, 201015 yr c'est en ip aliasing, ou en bonding ? dans le second cas, tu peux appeller tes interfaces bond* par contre, j'ai jamais fait d'aliasing...
June 3, 201015 yr Author quels sont les noms de tes interfaces (toutes tes interfaces, y compris les alias) ? eth0 Link encap:Ethernet HWaddr 00:08:02:f7:8f:22 inet adr:192.168.0.253 Bcast:192.168.0.255 Masque:255.255.255.0 adr inet6: fe80::208:2ff:fef7:8f22/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:97890076 errors:214389 dropped:0 overruns:0 frame:616 TX packets:106537282 errors:0 dropped:0 overruns:0 carrier:0 collisions:9176751 lg file transmission:1000 RX bytes:833965319 (795.3 MiB) TX bytes:3611325423 (3.3 GiB) Interruption:18 eth1 Link encap:Ethernet HWaddr 00:08:a1:71:cb:d8 inet adr:x.x.x.25 Bcast:x.x.x.255 Masque:255.255.255.0 adr inet6: fe80::208:a1ff:fe71:cbd8/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:106520524 errors:0 dropped:0 overruns:0 frame:0 TX packets:89219484 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:3437141370 (3.2 GiB) TX bytes:4054900089 (3.7 GiB) Interruption:20 Adresse de base:0xd400 eth1:2 Link encap:Ethernet HWaddr 00:08:a1:71:cb:d8 inet adr:x.x.x.24 Bcast:x.x.x.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interruption:20 Adresse de base:0xd400 lo Link encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:Hôte UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:5373 errors:0 dropped:0 overruns:0 frame:0 TX packets:5373 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:829800 (810.3 KiB) TX bytes:829800 (810.3 KiB) c'est en ip aliasing, ou en bonding ?dans le second cas, tu peux appeller tes interfaces bond* par contre, j'ai jamais fait d'aliasing... Je suppose ip aliasing....
June 5, 201015 yr Même @ mac, donc c'est de l'aliasing Et iptables n'aime pas les alias (mettre plutot l'IP de destination) Par exemple : https://forum.debian-fr.org/viewtopic.php?f...56&p=262027
June 5, 201015 yr Author Si je comprend bien je n'i pas d'autre chose que d'ajouter une deuxième carte réseau pour differiencer mes 2 ip sources? Même @ mac, donc c'est de l'aliasingEt iptables n'aime pas les alias (mettre plutot l'IP de destination) Par exemple : https://forum.debian-fr.org/viewtopic.php?f...56&p=262027
June 5, 201015 yr Quelques précisions : ext --- eth0:0 --- passerelle --- eth1 --- switch --- srv mail1 \ eth0:1 / \ srv mail2 Est ce que ta configuration ressemble à ça ? Ton but c'est de rediriger ce qui arrive sur eth0:0 port 25 vers srv mail1 25 et idem avec eth0:1 et srvmail2 ?
June 6, 201015 yr Author Oui c'est exactement ça Quelques précisions : ext --- eth0:0 --- passerelle --- eth1 --- switch --- srv mail1 \ eth0:1 / \ srv mail2 Est ce que ta configuration ressemble à ça ? Ton but c'est de rediriger ce qui arrive sur eth0:0 port 25 vers srv mail1 25 et idem avec eth0:1 et srvmail2 ?
Archived
This topic is now archived and is closed to further replies.