J'ai la config suivante :
- Debian Sarge avec noyau 2.6.8-2, iptables 1.2.11-10 et iproute
20041019-3
- Ce serveur fera office d'un serveur mail et de routage, firewall,
proxy cache etc .....
- Eth0 -> LAN
- Eth1 -> Acc=E8s Internet via un fournisseur (ip pub =3D y.y.y.y)
- Eth2 -> acc=E8x Internet via un autre fournisseur (ip pub =3D x.x.x.x)
Au niveau routage, j'ai la config suivante :
- route default =3D via Eth2.
- les mails g=E9n=E9r=E9s par le serveur sortent via Eth1 et quelques traffic=
s
web utilisant la fonction tcp_outgoing de SQUID.
Depuis que j'ai configurer un nouveau serveur avec Debian Sarge, le
routage mail ne marche plus, ce qui a =E9t=E9 bien march=E9 avec Debian Woody
avant sous noyau 2.4.
Ma config au niveau routage mail :
# ip rule add fwmark 1 table 14
# ip rule add from y.y.y.y pref 750 table 14
# ip route add default via u.u.u.u dev eth1 src y.y.y.y table 14
(u.u.u.u et sle GW de y.y.y.y)
# iptables -A POSTROUTING -o eth1 -t nat -p tcp --dport 25 -j SNAT
--to-source y.y.y.y
Verification :
# iptables -v -L -n -t mangle |grep MARK
0 0 MARK tcp -- * eth2 0.0.0.0/0 =20
0.0.0.0/0 tcp dpt:25 MARK set 0x1
#
# ip route show table 14
default via u.u.u.u dev eth1 src y.y.y.y
# ip rule show
0: from all lookup local
750: from y.y.y.y lookup 14
32765: from all fwmark 0x1 lookup 14
32766: from all lookup main
32767: from all lookup default
#
Quand j'ai fait un telnet a.a.a.a 25 rien. Et dans les mail.log, j'ai
"Connection timed out".
Un extrait du tcpdump :
# tcpdump -vi eth1 -n port 25 and host a.a.a.a
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96
bytes
15:58:43.230580 IP (tos 0x10, ttl 64, id 35237, offset 0, flags [DF],
length: 60) y.y.y.y.43685 > a.a.a.a.25: S [tcp sum ok]
4234783943:4234783943(0) win 5840 <mss 1460,sackOK,timestamp 8332642
0,nop,wscale 0>
15:58:44.498982 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132163064
8332642,nop,wscale 0>
15:58:46.221290 IP (tos 0x10, ttl 64, id 35238, offset 0, flags [DF],
length: 60) y.y.y.y.43685 > a.a.a.a.25: S [tcp sum ok]
4234783943:4234783943(0) win 5840 <mss 1460,sackOK,timestamp 8332942
0,nop,wscale 0>
15:58:47.557181 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132163357
8332642,nop,wscale 0>
15:58:48.139945 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132163424
8332642,nop,wscale 0>
15:58:52.221292 IP (tos 0x10, ttl 64, id 35239, offset 0, flags [DF],
length: 60) y.y.y.y.43685 > a.a.a.a.25: S [tcp sum ok]
4234783943:4234783943(0) win 5840 <mss 1460,sackOK,timestamp 8333542
0,nop,wscale 0>
15:58:53.673661 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132163978
8332642,nop,wscale 0>
15:58:54.213695 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132164024
8332642,nop,wscale 0>
15:59:04.221290 IP (tos 0x10, ttl 64, id 35240, offset 0, flags [DF],
length: 60) y.y.y.y.43685 > a.a.a.a.25: S [tcp sum ok]
4234783943:4234783943(0) win 5840 <mss 1460,sackOK,timestamp 8334742
0,nop,wscale 0>
15:59:05.525102 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132165161
8332642,nop,wscale 0>
15:59:06.126530 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132165224
8332642,nop,wscale 0>
15:59:28.221290 IP (tos 0x10, ttl 64, id 35241, offset 0, flags [DF],
length: 60) y.y.y.y.43685 > a.a.a.a.25: S [tcp sum ok]
4234783943:4234783943(0) win 5840 <mss 1460,sackOK,timestamp 8337142
0,nop,wscale 0>
15:59:29.430817 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132167556
8332642,nop,wscale 0>
15:59:30.297771 IP (tos 0x0, ttl 42, id 0, offset 0, flags [DF], length:
60) a.a.a.a.25 > y.y.y.y.43685: S [tcp sum ok] 2782185491:2782185491(0)
ack 4234783944 win 5792 <mss 1460,sackOK,timestamp 132167644
8332642,nop,wscale 0>
D'apr=E8s ce tcpdump, il y avait des =E9changes via eth1, mais je ne
comprends pas pourquoi =E7a ne marche pas.
Note : j'ai essay=E9 d'utiliser un noyau 2.4.27, mais c'est pareil.
Quelqu'un a d=E9ja rencontr=E9 ce probl=E8me et me donner une indication ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal
Salut,
a écrit : [...]
Au niveau routage, j'ai la config suivante : - route default = via Eth2. - les mails générés par le serveur sortent via Eth1 et quelques traffics web utilisant la fonction tcp_outgoing de SQUID.
Depuis que j'ai configurer un nouveau serveur avec Debian Sarge, le routage mail ne marche plus, ce qui a été bien marché avec Debian Woody avant sous noyau 2.4.
[...]
La différence vient peut-être de la protection anti-spoofing d'adresse source par reverse path filtering du noyau qui est activée sur ta Sarge, elle peut poser problème avec le multihoming.
Regarde si les /proc/sys/net/ipv4/conf/*/rp_filter des interfaces considérées sont à 1, dans ce cas essaie de les mettre à 0. Dans Debian, rp_filter est activé au démarrage si l'option spoofprotect=yes dans le fichier /etc/network/options.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
debmg@netclub.mg a écrit :
[...]
Au niveau routage, j'ai la config suivante :
- route default = via Eth2.
- les mails générés par le serveur sortent via Eth1 et quelques traffics
web utilisant la fonction tcp_outgoing de SQUID.
Depuis que j'ai configurer un nouveau serveur avec Debian Sarge, le
routage mail ne marche plus, ce qui a été bien marché avec Debian Woody
avant sous noyau 2.4.
[...]
La différence vient peut-être de la protection anti-spoofing d'adresse
source par reverse path filtering du noyau qui est activée sur ta Sarge,
elle peut poser problème avec le multihoming.
Regarde si les /proc/sys/net/ipv4/conf/*/rp_filter des interfaces
considérées sont à 1, dans ce cas essaie de les mettre à 0. Dans Debian,
rp_filter est activé au démarrage si l'option spoofprotect=yes dans le
fichier /etc/network/options.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Au niveau routage, j'ai la config suivante : - route default = via Eth2. - les mails générés par le serveur sortent via Eth1 et quelques traffics web utilisant la fonction tcp_outgoing de SQUID.
Depuis que j'ai configurer un nouveau serveur avec Debian Sarge, le routage mail ne marche plus, ce qui a été bien marché avec Debian Woody avant sous noyau 2.4.
[...]
La différence vient peut-être de la protection anti-spoofing d'adresse source par reverse path filtering du noyau qui est activée sur ta Sarge, elle peut poser problème avec le multihoming.
Regarde si les /proc/sys/net/ipv4/conf/*/rp_filter des interfaces considérées sont à 1, dans ce cas essaie de les mettre à 0. Dans Debian, rp_filter est activé au démarrage si l'option spoofprotect=yes dans le fichier /etc/network/options.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
