Postfix forwarder

lautrecote

Bonjour

Je viens de mettre à jour mon pfsense en 2.1.3 (je crois que c'est celle là, enfin c'est la dernière, quand je fais un update, pfsense me dit que j'ai la dernière version.
Depuis cette mise à jour, mon Postfix Forwarder ne fonctionne plus, sans rien toucher par ailleurs (promis juré)
J'ai réinstallé ce paquet plusieurs fois, j'ai cherché, j'ai fini par trouver, dans les logs, cette erreur :

Jun 20 21:57:33 pfsense postfix/postfix-script[61892]: starting the Postfix mail system
Jun 20 21:57:33 pfsense postfix/master[62539]: fatal: /usr/pbi/postfix-amd64/etc/postfix/master.cf: line 3: no valid IP address found: smtp
Jun 20 21:57:34 pfsense postfix/master[62204]: fatal: daemon initialization failure

Mon master.cf commence comme ça : smtp    inet  n      -      n      -      1      postscreen
        -o user=postfix
        -o soft_bounce=yes
smtpd    pass  -      -      n      -      -      smtpd
dnsblog  unix  -      -      n      -      0      dnsblog
tlsproxy  unix  -      -      n      -      0      tlsproxy
pickup    fifo  n      -      n      60      1      pickup
cleanup  unix  n      -      n      -      0      cleanup

J'ai essayé de rajouter une IP devant le smtp, genre 192.168.25.250:smtp
C'est accepté, le Postfix se lance, mais ça ne fonctionne pas.
Pour info, mon pfsense a une patte réseau qui reçoit le DHCP de Free (78.136.x.y)
et une autre patte vers le réseau local 192.168.25.250
Le Postfix Forwarder doit rediriger vers un Postix interne 192.168.25.151, qui fonctionne très bien
(depuis le shell de la machine pfsense, j'envoie des mail en telnet, j'ai fait une règle NAT pour que le smtp aille directement sur la 192.168.25.151, ça marche

J'ai remarque que dans l'interface pfsense, l'interface WAN qui est en DHCP n'indique pas l'adresse reçue de Free. Cela a-t-il un rapport ?

J'avais de mails coincés sur le Postfix Forwarder, en précisant 192.168.25.(250 ou 151, je sais plus):smtp dans le master.cf, j'ai pu vider la file de mails, mais c'est tout.

J'ai posté sur le forum anglais,mais visiblement, le français est plus actif, alors je recommence ici, et c'est aussi plus facile pour moi

Je précise que mon installation est complètement virtuelle sous KVM

Voilà, si quelqu'un pouvait m'aider…. merci par avance!

ccnet

Il n'y a pas vraiment de quoi s'étonner et ceci reste valable pour tous les packages. J'ai déjà expliqué pourquoi et je ne recommence pas.
De façon pratique vous pouvez jeter un œil sur le fil du forum us consacré à ce package.
Il est notoire que les mises à jour de Pfsense ne font pas bon ménage avec les packages.
Avez vous au moins vérifié que le package est supporté sur cette version de Pfsense ?

lautrecote

bonjour

Merci d'avoir pris le temps de me répondre.

En ce qui concerne la compatibilité du package Posfix Forwarder avec pfsense, il indique "plateforme 2.1", je suppose donc que ça inclut la version 2.1.3. Donc j'ai bien au moins vérifié la compatibilité.

Les problèmes entre les mises à jour de pfsense et les packages sont certainement très intéressants, mais ne m'aident absolument pas à résoudre mon problème.

Bon sinon, comme entre temps j'ai trouvé une solution, j'expose ce que j'ai fait pour que cela fonctionne :

Mon pfsense a comme adresse IP mon adresse publique, et j'avais collé Postfix en écoute sur l'interface WAN.
J'ai simplement fait écouter Postfix sur l'interface LAN, et j'ai fait une règle NAT pour rediriger les requêtes vers le port smtp sur l'IP interne de mon firewall.

Je ne comprends pas tout mais cela re-fonctionne. Si ça peut servir à quelqu'un…

jdh

Comme ccnet, je suis assez contre l'utilisation de package :

• dégradation du niveau de sécurité : ajout d'un complément de niveau douteux
• dégradation des performances : contradiction avec besoins firewall
• pas forcément adapté à la version de pfSense
• bibliothèques nécessaires au package et non présentes normalement sur pfSense : instabilité et insécurité
• souvent inutile : remplaçable par machine dédiée = plus de performance et plus de configurabilité

L'exemple typique de package ajouté (par des inconscients) : Squid (+SquidGuard+LightSquid) : peut être très avantageusement installé sur une machine dédiée !

Postfix est véritablement un autre exemple de package parfaitement inutile sur firewall : pour quelle raison ajouter Postfix.
Il est totalement impératif, en milieu pro, de disposer d'une machine dédiée pour les mails, y compris pour du relais !
Une machine dédiée, en dmz, pour faire du relais mail pourra, aisément, faire du filtrage AV antivirus, AS antispam, et autres filtrages comme greylisting ou blacklist.

Je ne vois aucune raison à ce package.

Tatave

Salut salut

@ccnet et jdh

Vos remarques et prise de positions ont mainte et mainte fois été explicité.

Sauf qu'avec de plus en plus d'outils tout en un, la population informatique à pris cette mauvaise habitude d'avoir tout sur le router et donc par extrapolation sur Pfsense.
Je ne dis pas que c'est un mal ni un bien.

@all

Comme j'ai du déjà le dire, il est fonction des moyens que les personnes ou les entreprises ont comme ressources.
Tout comme ceux qui externalisent toutes ou parties leur SI.
Je reste de votre avis sur le point de la sécurité qui est "potentiellement" fragilisé dans ce type d'usage tout en un.
D'autre part, si dans une intégration zone neutre il est rajouté une machine dédiée j'opterais pour une machine de virtualisation dans le cas du manque de place et/ou de moyen.

Cordialement.

ccnet

@lautrecote:

Les problèmes entre les mises à jour de pfsense et les packages sont certainement très intéressants, mais ne m'aident absolument pas à résoudre mon problème.

Je ne sais pas si les problèmes entre mise à jour et package sont intéressants. Ce qui est certain, c'est que ce sont des problèmes. En sécurité on les évite. On choisi des solutions robustes et pas celles qui sont génératrices potentiellement de problèmes.

Bon sinon, comme entre temps j'ai trouvé une solution, j'expose ce que j'ai fait pour que cela fonctionne :

Mon pfsense a comme adresse IP mon adresse publique, et j'avais collé Postfix en écoute sur l'interface WAN.
J'ai simplement fait écouter Postfix sur l'interface LAN, et j'ai fait une règle NAT pour rediriger les requêtes vers le port smtp sur l'IP interne de mon firewall.

Ce n'est pas idiot sur le fond. Mais on voit bien que la segmentation réseau, dans cette mise en œuvre, est très compromise puisque l'on passe directement du wan au lan. Une dmz s’impose, a minima. Ce qui nous renvoie vers la passerelle dédiée.

Je ne comprends pas tout mais cela re-fonctionne.

Danger !

lautrecote

Merci pour vos points de vue.
j'en prends bonne note (à tel point que j'ai supprimé mon postfix forwarder).
Cela étant, je suis un amateur, informaticien de profession mais absolument pas dans  le réseau.
Je profite d'un hyperviseur que j'ai acheté pas cher pour m'amuser, pour apprendre.

Il était donc important pour moi de résoudre ce problème (de postifx forwarder qui ne forwardait plus rien, pas d'un package qui devient plus ou moins incompatible).
Une fois ce problème réglé, j'écoute vos points de vue sur la sécurité.
Mais j'apprendrais plus en faisant des conneries qu'en suivant un mode d'emploi tout fait…

C'est peut-être le moment pour moi de faire une dmz ?

Tatave

Salut salut

Rooooohhhhh j'ai avec votre dernier poste l'impression de voir un gamin qui n'accepte pas lui lui montrer son erreur après s'être fait sermonner par ces parents.

Si clairement vous vous êtes fait remonter les bretelles c'est à juste titre pour en quelques sortes vous donner une leçon qui pour certain ne l'a pas été avec tacts.
Mais qui pour le moindre vous à faits prendre conscience de votre erreur, c'est un moindre mal je trouve.

Que vous ayez fait l'acquisition d'un hyperviseur à bas cout est pour vous une bonne chose.

Pour plusieurs raisons entre autres :

• Celle de vous permettre de faire comme vous le dites des erreurs avec sans pour autant trop mettre en danger votre réseau si vous faites plus attention au documentation.
• Celle de mettre en œuvre avec ces documents qui ne vous en déplaise sont là pour vous permettre de réaliser telles ou telles structures, si après avoir réaliser la dites structure vous revenez vers nous (j'entends la communauté) pour qu'il vous soit expliquer pourquoi.

Je pense que même les plus bourrus prendront un peu de temps pour vous expliquer de façon succincte ou vous rediriger vers un site ou de la littérature voir un cours à suivre.

Retenez la chose suivante que le fils de ce sujet qu'il faudra tout le temps prendre le temps de se documenter et oui de mettre ne pratique comme vous le faites mais surtout en cherchant à comprendre pourquoi cela ce fait de cette façon et pas d'une autre que vous y arriviez ou pas c'est égal, il faut comprendre pour savoir faire un jour.

Sur ce, ne restez pas sur cette erreur et reprenez votre projet en retravaillant ensuite revenez vers nous pour nous en nous faisant un retour sur l'avancé de votre compréhension des bons suages d'un réseau et plus particulièrement celui de Pfsense.

Cordialement.

lautrecote

bah, j'ai résolu mon problème
j'ai posté la solution que j'ai trouvée

si ça peut aider quelqu'un d'autre qui, comme moi, veut faire un truc "pas bien", je serai content

Pour le reste…