Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Comment publier un serveur MS Exchange 2016 avec pfSense ?

    Scheduled Pinned Locked Moved Français
    7 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PascalB41
      last edited by

      Bonjour,

      je viens d'installer un serveur MS Exchange 2016 qui est actuellement derrière un Firewall MS TMG.
      Ce produit ayant été abandonné par MS, je souhaiterais le remplacer par un pfSense.
      Je recherche un tuto adapté.

      Merci de votre aide.

      Pascal.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Il y a un formulaire A LIRE EN PREMIER. Mais on peut comprendre qu'il ne soit pas utilisé ici … sauf ...
        Parce que cette question n'a strictement rien à voir (de spécifique) avec pfSense !

        La bonne démarche, valable pour Exchange comme pour d'autres serveurs :

        • quels ports (pour quels protocoles) sont ouverts sur le serveur et doivent être accessible depuis l'extérieur ?

        Une fois, la liste des ports trouvée, les règles dans pfSense sont aisées à écrire (Firewall > NAT > Port forward).

        Cette recherche, demandée dans le formulaire, vous attendez ... que l'on la fasse pour vous.
        C'est nullement le but du forum de la faire à votre place ...

        Néanmoins, ...

        Trivialement, un serveur mail (puisque Exchange en est un) doit :

        • accepter en entrée : smtp : recevoir des mails
        • accepter en entrée : http ou https : webmail

        Il faudrait ajouter ActiveSync dans le cas d'Exchange.

        NB : Perso, pour smtp, JAMAIS je n'autoriserai un accès direct à un Exchange : TOUJOURS un relais mail devant ! (une Debian + un postfix + Amavis/Clamav/Spamassasin)

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Placer un serveur Exchange juste derrière le firewall sans proxyfier les services rendus accessibles est une opération à haut risque.
          Pensez à votre AD. Qui dit exchange dit copie de l'ad sur le serveur.
          On peut difficilement compter sur la bonne isolation des differents services Windows. C'est quasiment par construction dans cet OS où le niveau d'imbrication est un problème.
          Bref non seulement le relai smtp est pratiquement impératif mais aussi un reverse pour traiter les services que vous voulez exposer. Le reverse et Exchange seront dans des zones réseau différentes séparées par le firewall . Le reverse sera en mesure de gérer différents problèmes de certificats, crypto, analyse de flux http, https etc …

          1 Reply Last reply Reply Quote 0
          • P
            PascalB41
            last edited by

            Bonjour,

            Pour ccnet :
            Le flux SMTP entrant nous arrive par notre FAI qui le filtre antispam et antivirus. Les adresses de leurs serveurs SMTP nous sont communiquées. Avec mon précédent firewall je n'acceptais le flux SMTP entrant qu'en provenance de ces serveurs. Cela fonctionnait très bien depuis des années avec la version précédente d'Exchange. Mon problème de départ est simplement de remplacer mon firewall en voie d'extinction par un autre produit et je m'interroge sur l'opportunité pfSense.

            Pour jdh :
            Je n'ai pas utilisé le formulaire dans la mesure où ma question était vraiment très simple et la réponse tout autant. Car je ne demande pas qu'on "fasse le travail à ma place", je cherche simplement à savoir s'il existe un tutoriel adapté à mon besoin. Une sorte de recherche documentaire avant d'agir.
            J'ai effectivement besoin de recevoir du SMTP et de permettre l'ActiveSync. Peut-être d'autres flux mais dans un premier temps ce serait suffisant.

            Merci pour vos réponses.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              L'esprit du formulaire est de décrire un problème, le plus complètement possible, dès le départ.
              Cela évite aux lecteurs de faire des suppositions et un aller et retour de questions/réponses.
              (Pour moi, c'est de la politesse …)
              En particulier, on ne peut que recommander, avant de poser une question, de chercher d'abord dans la doc de pfsense et sur le forum.

              NB : Le site officiel recommande le livre 'The Definitive Guide' (quelle surprise !) : on peut facilement en trouver une version ancienne (pour 1.2.3) dont les principes sont assez proches avec les versions actuelles (2.3 et +)

              Il n'y a pas besoin de grande doc pour comprendre Firewall > Nat > Port forward, à mon avis.
              (Cf plus haut : lecture de The Definitive Guide)

              Il est notable que vous fournissez maintenant des infos, qui auraient gagnées à être indiqués dès le départ.
              Il n'empêche les recommandations faites par ccnet et moi, sont très loin d'être inutiles ...

              Ce n'est pas pfSense qui apporte de la sécurité, c'est la façon de l'employer (ou de le mettre en oeuvre) avec tout ce qui est autour ...

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                J'ai effectivement besoin de recevoir du SMTP et de permettre l'ActiveSync.

                On en revient au problème initialement soulevé : l'exposition via https d'un serveur Microsoft et son AD …

                Le flux SMTP entrant nous arrive par notre FAI qui le filtre antispam et antivirus. Les adresses de leurs serveurs SMTP nous sont communiquées.

                Est-ce pour autant un flux de confiance venant d'un environnement maitrisé ? Pour moi la réponse est non. Donc des mesures de sécurité s'imposent. Vous faites bien sûr ce que vous voulez de ces remarques. Pour votre problème, la solution passe par la mise en place d'un transfert de port: Firewall -> NAT. Ceci est pourtant très basiquement expliqué dans la documentation. Vous pourrez mettre en place un transfert de port, c'est à dire une translation d'adresse pour un port donné. Ceci étant assez éloigné d'un configuration sécurisé.
                En résumé vous faites du NAT pas de la sécurité.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Voyez, il y a 2 façons de dire la même chose :

                  @ccnet:

                  En résumé vous faites du NAT pas de la sécurité.

                  @jdh:

                  Ce n'est pas pfSense qui apporte de la sécurité, c'est la façon de l'employer

                  pfSense est un firewall, qui sait faire du forward (NAT > Port Forward), mais qui ne fait pas l'analyse à l'intérieur du protocole !

                  Un, il faut savoir quel port.
                  Deux, il faut savoir comment insérer un proxy qui va réaliser le travail nécessaire de contrôle du protocole, et, ainsi, apporter de la sécurité.
                  (De la sécurité … là où il n'y en a pas ou peu ...).

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.