problème ADSL Wanadoo, SMTP, avec un réseau NATé
Salut à *
Voici la situation :
- Une connexion ADSL Netissimo 1 avec pppoe qui fonctionne
- Un routeur filtrant (Debian 2.2) avec noyau 2.2.19, rp-pppoe 1.7,
fonctionne très bien.
- Un réseau en 192.168.0.x derrière, avec du NAT.
- Sur le routeur filtrant, j'ai aussi mis un Squid (proxy web) et un
Bind (comme cache DNS).
La navigation web fonctionne à partir de toutes les machines, en passant
par le proxy ou non.
Le POP3 pour récupérer le mail fonctionne.
Ce qui ne marche pas, c'est l'envoi de courrier en SMTP vers un
domaine différent, que l'on envoie le mail d'une machine interne où du
routeur (qui possède directement l'IP de la connexion ADSL).
Le problème vient -- d'après Wanadoo -- du fait que les connexions ne
sont pas reconnues comme venant de leur réseau.
A titre d'exemple, sur http://wanadoo.fr/, les abonnés ont droit à un
"bonjour toto", et là j'ai un "bonjour"... Que je demande la page à
partir du réseau interne (donc avec une IP traduite) ou directement à
partir du routeur.
Je me demandais si les connexions sortantes du routeur n'étaient pas
traduites elle-même (ce qui est inutile), mais il semble que non (test
ssh port 919->22 d'une machine extérieure, mêmes ports à l'arrivée)
Voici ce que me dit le serveur de messagerie de wanadoo :
--- DEBUT DU TEST ---
charles@routeur:/var/spool$ telnet smtp.wanadoo.fr 25
Trying 193.252.19.163...
Connected to smtp.wanadoo.fr.
Escape character is '^]'.
220 adansonia.wanadoo.fr ESMTP Service (NPlex 2.1.121) ready
helo test
250 adansonia.wanadoo.fr
mail from: <toto@wanadoo.fr>
250 MAIL FROM:<toto@wanadoo.fr> OK
rcpt to: <charles.goyard@laposte.net>
553 RCPT <charles.goyard@laposte.net> ERROR. Relaying not allowed
rcpt to: <toto@wanadoo.fr>
250 RCPT <toto@wanadoo.fr> OK
data
354 Start mail input; end with <CRLF>.<CRLF>
test
.
250 Mail accepted
quit
221 adansonia.wanadoo.fr Service closing transmission channel
Connection closed by foreign host.
charles@routeur:/var/spool$
--- FIN DU TEST ---
Il s'agit à priori d'un problème d'IP.
Voici les règles IPChains que j'utilise (au passage, si vous
connaîssez un truc plus sûr pour le FTP sans se mettre en mode passif,
ça m'interesse.)
Notes :
IP du routeur sur eth0 : 192.168.0.1
IP du routeur sur eth1 : 10.0.0.10
--- DEBUT IPCHAINS ---
#!/bin/sh
PATH=/sbin
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# effacer les chaines
ipchains -F
ipchains --policy forward DENY
ipchains --policy input ACCEPT
ipchains --policy output ACCEPT
# faire de la traduction d'adresse sur tout ce qui va de eth0 vers
# ppp0
ipchains -A forward -j MASQ --source 192.168.0.0/24
# chaine infilt, pour vérifier ce qui vient de ppp0
ipchains -X infilt
ipchains -N infilt
# contre le spoofing
ipchains -A infilt -s 192.168.0.0/24 -l -j DENY
# accepter les pings
ipchains -A infilt -j ACCEPT -p icmp
# accepter le ssh depuis l'extérieur
ipchains -A infilt -j ACCEPT -p tcp --destination-port 22
# pour le ftp-data, pas terrible
ipchains -A infilt -j ACCEPT -p tcp --source-port 20 \
--destination-port ! 0:1023
# refuser les débuts de connexion
ipchains -A infilt -j DENY -p tcp --syn
# joindre la chaîne infilt sur l'input
ipchains -A input -i ppp0 -j infilt
--- FIN IPCHAINS ---
Une configuration comme celle-ci convient-elle ?
Comment se fait-il que wanadoo ne reconnaisse pas sa propre IP ?
S'il manque des infos (logs, etc...), je peux compléter.
Au fait, ce qu'il faut pouvoir faire à partir du réseau interne :
- web, ftp, divers truc d'update genre windows update, et surtout
messagerie.
Le web 100% ok, FTP peut mieux faire (un proxy FTP ?), messagerie bof
bof...
Il est possible d'installer un sendmail ou autre sur le routeur, mais
ce n'est pas souhaité (trop de supervision)
Merci.
--
Charles
Reply to: