Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Postfix forwarder

    Scheduled Pinned Locked Moved Français
    9 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lautrecote
      last edited by

      Bonjour

      Je viens de mettre à jour mon pfsense en 2.1.3 (je crois que c'est celle là, enfin c'est la dernière, quand je fais un update, pfsense me dit que j'ai la dernière version.
      Depuis cette mise à jour, mon Postfix Forwarder ne fonctionne plus, sans rien toucher par ailleurs (promis juré)
      J'ai réinstallé ce paquet plusieurs fois, j'ai cherché, j'ai fini par trouver, dans les logs, cette erreur :

      Jun 20 21:57:33 pfsense postfix/postfix-script[61892]: starting the Postfix mail system
      Jun 20 21:57:33 pfsense postfix/master[62539]: fatal: /usr/pbi/postfix-amd64/etc/postfix/master.cf: line 3: no valid IP address found: smtp
      Jun 20 21:57:34 pfsense postfix/master[62204]: fatal: daemon initialization failure

      Mon master.cf commence comme ça : smtp    inet  n      -      n      -      1      postscreen
              -o user=postfix
              -o soft_bounce=yes
      smtpd    pass  -      -      n      -      -      smtpd
      dnsblog  unix  -      -      n      -      0      dnsblog
      tlsproxy  unix  -      -      n      -      0      tlsproxy
      pickup    fifo  n      -      n      60      1      pickup
      cleanup  unix  n      -      n      -      0      cleanup

      J'ai essayé de rajouter une IP devant le smtp, genre 192.168.25.250:smtp
      C'est accepté, le Postfix se lance, mais ça ne fonctionne pas.
      Pour info, mon pfsense a une patte réseau qui reçoit le DHCP de Free (78.136.x.y)
      et une autre patte vers le réseau local 192.168.25.250
      Le Postfix Forwarder doit rediriger vers un Postix interne 192.168.25.151, qui fonctionne très bien
      (depuis le shell de la machine pfsense, j'envoie des mail en telnet, j'ai fait une règle NAT pour que le smtp aille directement sur la 192.168.25.151, ça marche

      J'ai remarque que dans l'interface pfsense, l'interface WAN qui est en DHCP n'indique pas l'adresse reçue de Free. Cela a-t-il un rapport ?

      J'avais de mails coincés sur le Postfix Forwarder, en précisant 192.168.25.(250 ou 151, je sais plus):smtp dans le master.cf, j'ai pu vider la file de mails, mais c'est tout.

      J'ai posté sur le forum anglais,mais visiblement, le français est plus actif, alors je recommence ici, et c'est aussi plus facile pour moi

      Je précise que mon installation est complètement virtuelle sous KVM

      Voilà, si quelqu'un pouvait m'aider…. merci par avance!

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Il n'y a pas vraiment de quoi s'étonner et ceci reste valable pour tous les packages. J'ai déjà expliqué pourquoi et je ne recommence pas.
        De façon pratique vous pouvez jeter un œil sur le fil du forum us consacré à ce package.
        Il est notoire que les mises à jour de Pfsense ne font pas bon ménage avec les packages.
        Avez vous au moins vérifié que le package est supporté sur cette version de Pfsense ?

        1 Reply Last reply Reply Quote 0
        • L
          lautrecote
          last edited by

          bonjour

          Merci d'avoir pris le temps de me répondre.

          En ce qui concerne la compatibilité du package Posfix Forwarder avec pfsense, il indique "plateforme 2.1", je suppose donc que ça inclut la version 2.1.3. Donc j'ai bien au moins vérifié la compatibilité.

          Les problèmes entre les mises à jour de pfsense et les packages sont certainement très intéressants, mais ne m'aident absolument pas à résoudre mon problème.

          Bon sinon, comme entre temps j'ai trouvé une solution, j'expose ce que j'ai fait pour que cela fonctionne :

          Mon pfsense a comme adresse IP mon adresse publique, et j'avais collé Postfix en écoute sur l'interface WAN.
          J'ai simplement fait écouter Postfix sur l'interface LAN, et j'ai fait une règle NAT pour rediriger les requêtes vers le port smtp sur l'IP interne de mon firewall.

          Je ne comprends pas tout mais cela re-fonctionne. Si ça peut servir à quelqu'un…

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Comme ccnet, je suis assez contre l'utilisation de package :

            • dégradation du niveau de sécurité : ajout d'un complément de niveau douteux
            • dégradation des performances : contradiction avec besoins firewall
            • pas forcément adapté à la version de pfSense
            • bibliothèques nécessaires au package et non présentes normalement sur pfSense : instabilité et insécurité
            • souvent inutile : remplaçable par machine dédiée = plus de performance et plus de configurabilité

            L'exemple typique de package ajouté (par des inconscients) : Squid (+SquidGuard+LightSquid) : peut être très avantageusement installé sur une machine dédiée !

            Postfix est véritablement un autre exemple de package parfaitement inutile sur firewall : pour quelle raison ajouter Postfix.
            Il est totalement impératif, en milieu pro, de disposer d'une machine dédiée pour les mails, y compris pour du relais !
            Une machine dédiée, en dmz, pour faire du relais mail pourra, aisément, faire du filtrage AV antivirus, AS antispam, et autres filtrages comme greylisting ou blacklist.

            Je ne vois aucune raison à ce package.

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • TataveT
              Tatave
              last edited by

              Salut salut

              @ccnet et jdh

              Vos remarques et prise de positions ont mainte et mainte fois été explicité.

              Sauf qu'avec de plus en plus d'outils tout en un, la population informatique à pris cette mauvaise habitude d'avoir tout sur le router et donc par extrapolation sur Pfsense.
              Je ne dis pas que c'est un mal ni un bien.

              @all

              Comme j'ai du déjà le dire, il est fonction des moyens que les personnes ou les entreprises ont comme ressources.
              Tout comme ceux qui externalisent toutes ou parties leur SI.
              Je reste de votre avis sur le point de la sécurité qui est "potentiellement" fragilisé dans ce type d'usage tout en un.
              D'autre part, si dans une intégration zone neutre il est rajouté une machine dédiée j'opterais pour une machine de virtualisation dans le cas du manque de place et/ou de moyen.

              Cordialement.

              aider, bien sûre que oui
              assister, évidement non !!!

              donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
              apprendre à un homme comment cuisiner, il sera vivre.

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                @lautrecote:

                Les problèmes entre les mises à jour de pfsense et les packages sont certainement très intéressants, mais ne m'aident absolument pas à résoudre mon problème.

                Je ne sais pas si les problèmes entre mise à jour et package sont intéressants. Ce qui est certain, c'est que ce sont des problèmes. En sécurité on les évite. On choisi des solutions robustes et pas celles qui sont génératrices potentiellement de problèmes.

                Bon sinon, comme entre temps j'ai trouvé une solution, j'expose ce que j'ai fait pour que cela fonctionne :

                Mon pfsense a comme adresse IP mon adresse publique, et j'avais collé Postfix en écoute sur l'interface WAN.
                J'ai simplement fait écouter Postfix sur l'interface LAN, et j'ai fait une règle NAT pour rediriger les requêtes vers le port smtp sur l'IP interne de mon firewall.

                Ce n'est pas idiot sur le fond. Mais on voit bien que la segmentation réseau, dans cette mise en œuvre, est très compromise puisque l'on passe directement du wan au lan. Une dmz s’impose, a minima. Ce qui nous renvoie vers la passerelle dédiée.

                Je ne comprends pas tout mais cela re-fonctionne.

                Danger !

                1 Reply Last reply Reply Quote 0
                • L
                  lautrecote
                  last edited by

                  Merci pour vos points de vue.
                  j'en prends bonne note (à tel point que j'ai supprimé mon postfix forwarder).
                  Cela étant, je suis un amateur, informaticien de profession mais absolument pas dans  le réseau.
                  Je profite d'un hyperviseur que j'ai acheté pas cher pour m'amuser, pour apprendre.

                  Il était donc important pour moi de résoudre ce problème (de postifx forwarder qui ne forwardait plus rien, pas d'un package qui devient plus ou moins incompatible).
                  Une fois ce problème réglé, j'écoute vos points de vue sur la sécurité.
                  Mais j'apprendrais plus en faisant des conneries qu'en suivant un mode d'emploi tout fait…

                  C'est peut-être le moment pour moi de faire une dmz ?

                  1 Reply Last reply Reply Quote 0
                  • TataveT
                    Tatave
                    last edited by

                    Salut salut

                    Rooooohhhhh j'ai avec votre dernier poste l'impression de voir un gamin qui n'accepte pas lui lui montrer son erreur après s'être fait sermonner par ces parents.

                    Si clairement vous vous êtes fait remonter les bretelles c'est à juste titre pour en quelques sortes vous donner une leçon qui pour certain ne l'a pas été avec tacts.
                    Mais qui pour le moindre vous à faits prendre conscience de votre erreur, c'est un moindre mal je trouve.

                    Que vous ayez fait l'acquisition d'un hyperviseur à bas cout est pour vous une bonne chose.

                    Pour plusieurs raisons entre autres :

                    • Celle de vous permettre de faire comme vous le dites des erreurs avec sans pour autant trop mettre en danger votre réseau si vous faites plus attention au documentation.
                    • Celle de mettre en œuvre avec ces documents qui ne vous en déplaise sont là pour vous permettre de réaliser telles ou telles structures, si après avoir réaliser la dites structure vous revenez vers nous (j'entends la communauté) pour qu'il vous soit expliquer pourquoi.

                    Je pense que même les plus bourrus prendront un peu de temps pour vous expliquer de façon succincte ou vous rediriger vers un site ou de la littérature voir un cours à suivre.

                    Retenez la chose suivante que le fils de ce sujet qu'il faudra tout le temps prendre le temps de se documenter et oui de mettre ne pratique comme vous le faites mais surtout en cherchant à comprendre pourquoi cela ce fait de cette façon et pas d'une autre que vous y arriviez ou pas c'est égal, il faut comprendre pour savoir faire un jour.

                    Sur ce, ne restez pas sur cette erreur et reprenez votre projet en retravaillant ensuite revenez vers nous pour nous en nous faisant un retour sur l'avancé de votre compréhension des bons suages d'un réseau et plus particulièrement celui de Pfsense.

                    Cordialement.

                    aider, bien sûre que oui
                    assister, évidement non !!!

                    donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                    apprendre à un homme comment cuisiner, il sera vivre.

                    1 Reply Last reply Reply Quote 0
                    • L
                      lautrecote
                      last edited by

                      bah, j'ai résolu mon problème
                      j'ai posté la solution que j'ai trouvée

                      si ça peut aider quelqu'un d'autre qui, comme moi, veut faire un truc "pas bien", je serai content

                      Pour le reste…

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.