Précédent
- 1
- 2
OK, je vais dans un premier temps vous décrire la config de mon modem/routeur et de mes machines pour savoir si les ports sont ouverts ou fermés en effectuant des tests qui je l'espère sont viables grâce à la commande 'nmap' :
Rappels sur mon LAN :
- l'adresse du modem/routeur 192.168.1.1
- l'adresse de mon serveur DNS, HTTPd 192.168.1.2
- l'adresse de mon serveur de Mail (Postfix) 192.168.1.4
Les adresses SUA/NAT sur mon modem/routeur (192.168.1.1) sont configurées de la manière suivante :
- port: 110 adresse: 192.168.1.4
- port: 25 adresse: 192.168.1.4
- port: 80 adresse: 192.168.1.2
- port: 21 adresse: 192.168.1.2
...
cette configuration est conforme au mode d'emploi du modem/routeur Zyxel (sauf erreur de ma part)
J'applique un test sur les ports 110,25,80,21 et sur chaque adresse en commençant par le modem/routeur.
TEST sur 192.168.1.1 :
/***
[root@linux03 root]# nmap -v -p 110,25,80,21 192.168.1.1
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-05-10 14:14 CEST
Host 192.168.1.1 appears to be up ... good.
Initiating SYN Stealth Scan against 192.168.1.1 at 14:14
Adding open port 80/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 0 seconds to scan 4 ports.
Interesting ports on 192.168.1.1:
PORT STATE SERVICE
21/tcp open ftp
25/tcp closed smtp
80/tcp open http
110/tcp closed pop3
MAC Address: **:**:**:**:**:** (Zyxel Communication)
Nmap run completed -- 1 IP address (1 host up) scanned in 1.146 seconds
***/
:(
TEST sur 192.168.1.2 :
/***
[root@linux03 root]# nmap -v -p 110,25,80,21 192.168.1.2
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-05-10 14:24 CEST
Host linux01 (192.168.1.2) appears to be up ... good.
Initiating SYN Stealth Scan against linux01 (192.168.1.2) at 14:24
Adding open port 21/tcp
Adding open port 80/tcp
The SYN Stealth Scan took 0 seconds to scan 4 ports.
Interesting ports on linux01 (192.168.1.2):
PORT STATE SERVICE
21/tcp open ftp
25/tcp closed smtp
80/tcp open http
110/tcp closed pop3
MAC Address: **:**:**:**:**:** (Hsing TECH. Enterprise CO.)
Nmap run completed -- 1 IP address (1 host up) scanned in 1.323 seconds
***/
TEST sur 192.168.1.4 :
/***
[root@linux03 root]# nmap -v -p 110,25,80,21 192.168.1.4
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-05-10 14:28 CEST
Host linux03 (192.168.1.4) appears to be up ... good.
Initiating SYN Stealth Scan against linux03 (192.168.1.4) at 14:28
Adding open port 25/tcp
Adding open port 110/tcp
Adding open port 80/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 0 seconds to scan 4 ports.
Interesting ports on linux03 (192.168.1.4):
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
Nmap run completed -- 1 IP address (1 host up) scanned in 0.464 seconds
***/
:)
On peut constater que les ports 25 et 110 sont seulement ouverts sur 192.168.1.4 c'est à dire sur le serveur de Mail Postfix. Mais en ce qui concerne le modem/routeur 192.168.1.1 ils sont fermés.
S'il y a blocage sur les ports 25 et 110 au niveau de mon modem/routeur cela peut paraitre logique que je ne puisse pas transmettre des mails au-delà de mon LAN avec le serveur Postfix : 192.168.1.4 (Note : cela ne m'empêche pas de recevoir et de transmettre des mails avec un compte messagerie qui n'est pas configuré pour ce serveur, mais à l'extérieur ;).
Rappels sur mon LAN :
- l'adresse du modem/routeur 192.168.1.1
- l'adresse de mon serveur DNS, HTTPd 192.168.1.2
- l'adresse de mon serveur de Mail (Postfix) 192.168.1.4
Les adresses SUA/NAT sur mon modem/routeur (192.168.1.1) sont configurées de la manière suivante :
- port: 110 adresse: 192.168.1.4
- port: 25 adresse: 192.168.1.4
- port: 80 adresse: 192.168.1.2
- port: 21 adresse: 192.168.1.2
...
cette configuration est conforme au mode d'emploi du modem/routeur Zyxel (sauf erreur de ma part)
J'applique un test sur les ports 110,25,80,21 et sur chaque adresse en commençant par le modem/routeur.
TEST sur 192.168.1.1 :
/***
[root@linux03 root]# nmap -v -p 110,25,80,21 192.168.1.1
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-05-10 14:14 CEST
Host 192.168.1.1 appears to be up ... good.
Initiating SYN Stealth Scan against 192.168.1.1 at 14:14
Adding open port 80/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 0 seconds to scan 4 ports.
Interesting ports on 192.168.1.1:
PORT STATE SERVICE
21/tcp open ftp
25/tcp closed smtp
80/tcp open http
110/tcp closed pop3
MAC Address: **:**:**:**:**:** (Zyxel Communication)
Nmap run completed -- 1 IP address (1 host up) scanned in 1.146 seconds
***/
:(
TEST sur 192.168.1.2 :
/***
[root@linux03 root]# nmap -v -p 110,25,80,21 192.168.1.2
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-05-10 14:24 CEST
Host linux01 (192.168.1.2) appears to be up ... good.
Initiating SYN Stealth Scan against linux01 (192.168.1.2) at 14:24
Adding open port 21/tcp
Adding open port 80/tcp
The SYN Stealth Scan took 0 seconds to scan 4 ports.
Interesting ports on linux01 (192.168.1.2):
PORT STATE SERVICE
21/tcp open ftp
25/tcp closed smtp
80/tcp open http
110/tcp closed pop3
MAC Address: **:**:**:**:**:** (Hsing TECH. Enterprise CO.)
Nmap run completed -- 1 IP address (1 host up) scanned in 1.323 seconds
***/
TEST sur 192.168.1.4 :
/***
[root@linux03 root]# nmap -v -p 110,25,80,21 192.168.1.4
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2005-05-10 14:28 CEST
Host linux03 (192.168.1.4) appears to be up ... good.
Initiating SYN Stealth Scan against linux03 (192.168.1.4) at 14:28
Adding open port 25/tcp
Adding open port 110/tcp
Adding open port 80/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 0 seconds to scan 4 ports.
Interesting ports on linux03 (192.168.1.4):
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
Nmap run completed -- 1 IP address (1 host up) scanned in 0.464 seconds
***/
:)
On peut constater que les ports 25 et 110 sont seulement ouverts sur 192.168.1.4 c'est à dire sur le serveur de Mail Postfix. Mais en ce qui concerne le modem/routeur 192.168.1.1 ils sont fermés.
S'il y a blocage sur les ports 25 et 110 au niveau de mon modem/routeur cela peut paraitre logique que je ne puisse pas transmettre des mails au-delà de mon LAN avec le serveur Postfix : 192.168.1.4 (Note : cela ne m'empêche pas de recevoir et de transmettre des mails avec un compte messagerie qui n'est pas configuré pour ce serveur, mais à l'extérieur ;).
bon, tu as montré que tu connais nmap, fort bien, mais je t'ai demandé des choses simples et tu ne veux pas les faire
moi je jette l'éponge
moi je jette l'éponge
Salut Denis,
Voilà une hypothèse basée sur ton indication comme suit.
rcpt to: 192.168.1.2:25
554 Service unavailable; Client host [84.99.83.144] blocked using dul.dnsbl.sorbs.net; Dynamic IP Addresses See: http://www.dnsbl.sorbs.net/lookup.shtml?84.99.83.144
Celà signifierait que ton fournisseur d'accès (9 Telecom) a déclaré la plage d'adresses dynamiques dans laquelle ton adresse IP se trouve dans la base de données SORBS d'adresses dynamiques. Tu peux le vérifier en suivant le lien ci-dessus.
Vois aussi http://www.nl.sorbs.net/faq/dul.shtml pour plus d'infos.
Du coup... les e-mails adressés par ton serveur smtp sont bloqués par les serveurs de messagerie utilisant la base de données SORBS pour lutter contre le spam.
Pour contourner le problème, sauf à obtenir de 9 Telecom une IP fixe non blacklistée, tu pourrais simplement utiliser le serveur smtp de 9 Telecom comme "smart host" pour acheminer ton courrier vers l'Internet.
Utilise la rubrique "relayhost" de main.cf pour celà, en y indiquant le serveur smtp de ton FAI, relance postfix et refait un essai d'envoi à une adresse externe.
En principe tes clients de messagerie peuvent continuer d'indiquer smtp.tondomaine.com, car ton Postfix relayera les e-mails au serveur smtp de 9 Telecom s'ils ne correspondent pas à des adresses internes.
Il y a peut être d'autres problèmes dans ta configuration (qui est très complexe), mais essaye déjà de résoudre celui-ci.
Dal
Voilà une hypothèse basée sur ton indication comme suit.
rcpt to: 192.168.1.2:25
554 Service unavailable; Client host [84.99.83.144] blocked using dul.dnsbl.sorbs.net; Dynamic IP Addresses See: http://www.dnsbl.sorbs.net/lookup.shtml?84.99.83.144
Celà signifierait que ton fournisseur d'accès (9 Telecom) a déclaré la plage d'adresses dynamiques dans laquelle ton adresse IP se trouve dans la base de données SORBS d'adresses dynamiques. Tu peux le vérifier en suivant le lien ci-dessus.
Vois aussi http://www.nl.sorbs.net/faq/dul.shtml pour plus d'infos.
Du coup... les e-mails adressés par ton serveur smtp sont bloqués par les serveurs de messagerie utilisant la base de données SORBS pour lutter contre le spam.
Pour contourner le problème, sauf à obtenir de 9 Telecom une IP fixe non blacklistée, tu pourrais simplement utiliser le serveur smtp de 9 Telecom comme "smart host" pour acheminer ton courrier vers l'Internet.
Utilise la rubrique "relayhost" de main.cf pour celà, en y indiquant le serveur smtp de ton FAI, relance postfix et refait un essai d'envoi à une adresse externe.
En principe tes clients de messagerie peuvent continuer d'indiquer smtp.tondomaine.com, car ton Postfix relayera les e-mails au serveur smtp de 9 Telecom s'ils ne correspondent pas à des adresses internes.
Il y a peut être d'autres problèmes dans ta configuration (qui est très complexe), mais essaye déjà de résoudre celui-ci.
Dal
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'imagine que c'est dans le souci de répartir la charge de travail, c'est une configuration plutôt normale.
Sinon, Denis, jette un oeil à mon message ci-dessus http://www.commentcamarche.net/forum/affich-1487961#40 et vois si celà fait avancer les choses pour le courrier sortant.
A propos de tes scans nmap, pour être vraiment probants, il faudrait les faire à partir d'une machine extérieure au LAN. Sous cette réserve, d'après tes résultats, si pour ton routeur le port 25 est fermé alors que le NAT est correct et que Postfix tourne, celà révèle plutôt un problème concernant les e-mails entrants (et non les e-mails sortants). Je te suggèrerait de vérifier sur ta machine Postfix que celle-ci n'a pas un firewall bloquant le traffic arrivant de l'extérieur sur le port 25.
Dal
Sinon, Denis, jette un oeil à mon message ci-dessus http://www.commentcamarche.net/forum/affich-1487961#40 et vois si celà fait avancer les choses pour le courrier sortant.
A propos de tes scans nmap, pour être vraiment probants, il faudrait les faire à partir d'une machine extérieure au LAN. Sous cette réserve, d'après tes résultats, si pour ton routeur le port 25 est fermé alors que le NAT est correct et que Postfix tourne, celà révèle plutôt un problème concernant les e-mails entrants (et non les e-mails sortants). Je te suggèrerait de vérifier sur ta machine Postfix que celle-ci n'a pas un firewall bloquant le traffic arrivant de l'extérieur sur le port 25.
Dal
Hello,
Bon après plusieurs manipulations des fichiers pour la configuration de mes serveurs DNS (registrar et local) et de mise à jour concernant mon main.cf sur le serveur de messagerie Postfix, les voici enfin opérationnels :
Le problème principal venant du record MX dans la configuration du DNS chez mon registar. Il faut le déclarer de cette manière :
/***
www 3600 IN CNAME mondyndns.homedns.org.
@ 28800 IN MX 10 mondyndns.homedns.org.
***/
Configuration de mon DNS local (linux01 IP 192.
168.1.2) :
/***
@ IN TXT "PRIMARY DNS"
@ IN NS linux01
@ IN MX 10 linux03.monreseau.lan
localhost IN A 127.0.0.1
linux01 IN A 192.168.1.2
linux03 IN A 192.168.1.4
linux01 HINFO "AMD 700 MHz (Athlon)" "RedHat Fedora Core 1"
linux03 HINFO "Intel 535 MHz (Celeron)" "Mandrake 10.1"
;
; Aliases
;
www IN CNAME linux01
mail IN CNAME linux03
***/
Le fichier main.cf de Postfix (linux03 IP 192.168.1.4) :
/***
myhostname = linux03.monreseau.lan
mydomain = monreseau.lan
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, $mydomain, mondomaine.net, unautredomaine.org, unautredomaine.com
virtual_alias_maps = hash:/etc/postfix/virtual
sender_canonical_maps = hash:/etc/postfix/canonical
mail_spool_directory = /var/spool/mail
mailbox_command = /usr/bin/procmail
***/
Les fichiers canonical, relay et virtual :
/**canonical**
userlinux1 monnom@mondomaine.net
userlinux2 autrenom@unautredomaine.org
userlinux2 autre_nom@unautredomaine.com
***/
/**relay**
reseau.lan
mondomaine.net
unautredomaine.org
unautredomaine.com
***/
/**virtual**
reseau.lan anything
monnom@mondomaine.net userlinux1
autrenom@unautredomaine.org userlinux2
autre_nom@unautredomaine.com userlinux2
***/
Merci à tous en particulier à Dal et Hectotor !
Bon après plusieurs manipulations des fichiers pour la configuration de mes serveurs DNS (registrar et local) et de mise à jour concernant mon main.cf sur le serveur de messagerie Postfix, les voici enfin opérationnels :
Le problème principal venant du record MX dans la configuration du DNS chez mon registar. Il faut le déclarer de cette manière :
/***
www 3600 IN CNAME mondyndns.homedns.org.
@ 28800 IN MX 10 mondyndns.homedns.org.
***/
Configuration de mon DNS local (linux01 IP 192.
168.1.2) :
/***
@ IN TXT "PRIMARY DNS"
@ IN NS linux01
@ IN MX 10 linux03.monreseau.lan
localhost IN A 127.0.0.1
linux01 IN A 192.168.1.2
linux03 IN A 192.168.1.4
linux01 HINFO "AMD 700 MHz (Athlon)" "RedHat Fedora Core 1"
linux03 HINFO "Intel 535 MHz (Celeron)" "Mandrake 10.1"
;
; Aliases
;
www IN CNAME linux01
mail IN CNAME linux03
***/
Le fichier main.cf de Postfix (linux03 IP 192.168.1.4) :
/***
myhostname = linux03.monreseau.lan
mydomain = monreseau.lan
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, $mydomain, mondomaine.net, unautredomaine.org, unautredomaine.com
virtual_alias_maps = hash:/etc/postfix/virtual
sender_canonical_maps = hash:/etc/postfix/canonical
mail_spool_directory = /var/spool/mail
mailbox_command = /usr/bin/procmail
***/
Les fichiers canonical, relay et virtual :
/**canonical**
userlinux1 monnom@mondomaine.net
userlinux2 autrenom@unautredomaine.org
userlinux2 autre_nom@unautredomaine.com
***/
/**relay**
reseau.lan
mondomaine.net
unautredomaine.org
unautredomaine.com
***/
/**virtual**
reseau.lan anything
monnom@mondomaine.net userlinux1
autrenom@unautredomaine.org userlinux2
autre_nom@unautredomaine.com userlinux2
***/
Merci à tous en particulier à Dal et Hectotor !
Salut Denist,
Merci de ton feedback :)
Pour ton information, les e-mails que j'ai reçu de toi se sont vu attribuer, dans mon compte de messagerie sur lequel figure un filtre anti-spam, un flag "Spam", je pense pour la raison évoquée en <40> ci-dessus.
Vu l'entête de ces messages, je pense que tu n'as pas changé le paramétrage du "smtp" de KMail. Je pense qu'en envoyant directement sur le smtp de ton FAI à partir du client de messagerie, ce problème serait résolu (au lieu de paramétrer tes clients de messagerie avec l'adresse de ton serveur Postfix local). Si tu le souhaites, tu peux m'envoyer un nouvel e-mail pour tester après le changement. D'après ce que j'ai compris tu possèdes d'autres comptes de messagerie sur lesquels tu peux faire des tests toi même, fais les aussi.
Si tu ne veux pas procéder de la sorte et que tu veux utiliser ton serveur Postfix comme serveur d'envoi pour tes clients de messagerie, il te faudra contacter ton FAI et éventuellement lui demander une IP fixe ou changer pour un FAI qui ne catalogue pas sur SORBS ses clients utilisant des serveurs smtp sur ses adresses dynamiques comme des spammeurs.
Dal
Merci de ton feedback :)
Pour ton information, les e-mails que j'ai reçu de toi se sont vu attribuer, dans mon compte de messagerie sur lequel figure un filtre anti-spam, un flag "Spam", je pense pour la raison évoquée en <40> ci-dessus.
Vu l'entête de ces messages, je pense que tu n'as pas changé le paramétrage du "smtp" de KMail. Je pense qu'en envoyant directement sur le smtp de ton FAI à partir du client de messagerie, ce problème serait résolu (au lieu de paramétrer tes clients de messagerie avec l'adresse de ton serveur Postfix local). Si tu le souhaites, tu peux m'envoyer un nouvel e-mail pour tester après le changement. D'après ce que j'ai compris tu possèdes d'autres comptes de messagerie sur lesquels tu peux faire des tests toi même, fais les aussi.
Si tu ne veux pas procéder de la sorte et que tu veux utiliser ton serveur Postfix comme serveur d'envoi pour tes clients de messagerie, il te faudra contacter ton FAI et éventuellement lui demander une IP fixe ou changer pour un FAI qui ne catalogue pas sur SORBS ses clients utilisant des serveurs smtp sur ses adresses dynamiques comme des spammeurs.
Dal
Pour satisfaire votre demande (un peu tardivement, j'en suis désolé ;), je peux vous dire que le choix d'une IP fixe a été pour moi le moyen de changer de FAI (si j'ai bonne mémoire, mon ex FAI de l'époque ne pouvait me fournir d'adresse IP fixe, c'est pour cette raison que j'utilisais une IP dynamique). Cette solution d'IP dynamique reste encore une alternative viable (et assez fiable) quand on ne possède pas d'IP statique et que l'on souhaite héberger des sites sur ses propres serveurs webs et de messageries, chez soi ou dans son entreprise. Il faut une bande passante >= 256 Kbits ascendant et être armé contre les coupures électriques :(pour info, j'ai eu l'occasion de mettre quelques sites chez un hébergeur professionnel et je peux vous dire que le service a été décevant, voire catastrophique. Même une solution d'hébergement comme décrite ci-dessus peut-être de meilleure facture :). Ceci dit si vous désirez passer à une IP fixe tout ce qui est décrit ci-dessus reste valable et vous n'aurez qu'à modifier le DNS de votre registrar (Gandi) de cette manière :
AVANT (IP DYNAMIQUE) <-----------------------------------
DNS GANDI configuré avec une adresse dynamique (ex : mondyndns.homedns.org) :
Configuration avec l'interface avancée du DNS chez le prestataire gandi.net pour une connexion par IP dynamique :
www 28800 IN CNAME mondyndns.homedns.org.
@ 28800 IN MX 10 mondyndns.homedns.org.
Où 'mondyndns' représente le mom du dyndns et homedns.org le nom de domaine choisi parmi une liste de noms de domaines existant chez dyndns.org
Important : vous devez configurer le modem routeur (ou la passerelle linux faisant office de routeur) en y insérant le nom de domaine "mondyndns.homedns.org" et le "mot de passe"
Note : déclarer préalablement le nom de domaine mondyndns.homedns.org chez dyndns.org.
APRES (IP STATIQUE) ----------------------------------->
DNS GANDI configuré avec une adresse statique (ex : 81.56.135.165) :
Configuration avec l'interface avancée du DNS chez le prestataire gandi.net pour une connexion avec une IP statique :
www 28800 IN A 81.56.135.165
mail 28800 IN A 81.56.135.165
@ 28800 IN MX 10 mail.mondomaine.net.
Note : demander préalablement l'adresse IP fixe votre fournisseur d'accès internet
denist
AVANT (IP DYNAMIQUE) <-----------------------------------
DNS GANDI configuré avec une adresse dynamique (ex : mondyndns.homedns.org) :
Configuration avec l'interface avancée du DNS chez le prestataire gandi.net pour une connexion par IP dynamique :
www 28800 IN CNAME mondyndns.homedns.org.
@ 28800 IN MX 10 mondyndns.homedns.org.
Où 'mondyndns' représente le mom du dyndns et homedns.org le nom de domaine choisi parmi une liste de noms de domaines existant chez dyndns.org
Important : vous devez configurer le modem routeur (ou la passerelle linux faisant office de routeur) en y insérant le nom de domaine "mondyndns.homedns.org" et le "mot de passe"
Note : déclarer préalablement le nom de domaine mondyndns.homedns.org chez dyndns.org.
APRES (IP STATIQUE) ----------------------------------->
DNS GANDI configuré avec une adresse statique (ex : 81.56.135.165) :
Configuration avec l'interface avancée du DNS chez le prestataire gandi.net pour une connexion avec une IP statique :
www 28800 IN A 81.56.135.165
mail 28800 IN A 81.56.135.165
@ 28800 IN MX 10 mail.mondomaine.net.
Note : demander préalablement l'adresse IP fixe votre fournisseur d'accès internet
denist
Salut Denist,
... et je suppose qu'une fois armé de ton IP fixe de chez ce FAI, tes e-mails sortants adressés par son serveur Postfix ne sont plus catalogués comme étant des "spams" dans SORBS.
C'est peut être le sens de la demande de confirmation que souhaitait avoir laed, qu'il/elle aurait pu exprimer de manière moins véhémente :)
Dal
... et je suppose qu'une fois armé de ton IP fixe de chez ce FAI, tes e-mails sortants adressés par son serveur Postfix ne sont plus catalogués comme étant des "spams" dans SORBS.
C'est peut être le sens de la demande de confirmation que souhaitait avoir laed, qu'il/elle aurait pu exprimer de manière moins véhémente :)
Dal
Précédent
- 1
- 2
