[gull] Re: [gull] règles packet filter sous openbsd

Dominique Muller linux.hb9hli at bluewin.ch
Thu Jul 1 14:24:02 CEST 2004 

Johan Tornay a écrit :
> Après de nombreuses tentatives, j'ai constaté des problèmes de timeout sur
> les connections, donc après inspection des logs sur différentes machines, je
> constate que la machine OpenBSD fait suivre les paquets mais qu'il n'y a pas
> de retour.

La question est vague, quelle connection ? smtp ?
Si c'est smtp que donne un telnet sur le port 25 ?
Si ça se trouve ce timeout peut être normal, la première connexion
il doit renvoyer service unavilable et place l'IP source dans la liste
grise, (taper spamdb|grep GREY pour voir). Normalement si c'est transmis
par un serveur smtp, il va renvoyer 30 min plus tard, spamd passera
cette IP en white, (taper spamdb|grep WHITE pour voir) et cette fois
ouvre transmet directement au serveur smtp pour la livraison. Une fois
l'IP en white, il n'y aura plus de timeout.

> Est-ce que la redirection modifie l'adresse source (donne celle du BSD) et
> lorsqu'il recoit les paquets en retour du serveur de mail pour lui dire ok
> j'ai recu ta demande, rien n'arrive ? Je ne pense pas, le but d'une
> redirection est bien de laisser l'adresse source comme elle était avant ?

Normalement quand un mail arrive et que l'IP est en white, la
transmission est trensparente, sauf que l'adresse de destination reste
l'adresse de la machine openbsd. Quand j'examine les entêtes, l'adresse
source semble rester inchangée.

> Sur toutes les documentations qui parlent de redirection, il y a toujours
> mention de deux interfaces (routeur/firewall), est-ce possible de le faire
> avec une interface ? est-ce qu'il ne faudrait pas au moins deux adresses IP
> ?

Ici ça tourne que sur une seule interface.

> OpenBSD propose une solution de pare-feu soho, donc je vais tenter de mettre
> ca en place et la redirection devrait fonctionner correctement.

Ok ici soho n'est pas utilisé, seulement pf, évidament j'ai qu'une
interface eth.

> Si vous avez des idées pour m'aider.

On peut peut-être continer en privé pour ne pas polluer la liste
et faire un compte-rendu une fois terminé...

> D'avance Merci.

De rien :-)

> Johan Tornay

Dom.
-- 
Dominique Muller
Service informatique (SCIE)
Ecole d'Ingénieurs de l'Arc Jurassien, Le Locle
http://www.eiaj.ch

More information about the gull mailing list