Debian / Iptables – Passerelle Mail pour votre NAS

Dans un environnement virtualisé, il est commun d’utiliser des VLAN pour séparer le réseau LAN du réseau Storage, avec cette solution un problème se pose. Comment le NAS va il faire pour envoyer des mail de notifications via votre serveur mail sur le LAN, une des solution et de mettre une patte sur le réseau Storage, mais je n’aime pas les grandes portes ouvertes. Je vais donc vous présenter une manière simple pour résoudre ce problème en autorisant seulement le port 25 sur le LAN.

firewall_img

On va donc s’installer un petit Debian qui va faire office de passerelle mail entre nos réseau, avec une patte sur le LAN et une sur le Storage, ça consomme rien et c’est stable.

Une fois notre VM installé, il faut configurer les interfaces réseau.

nano /etc/network/interfaces

Puis renseigner vos adresses IP.

# The primary network interface
 allow-hotplug eth0
 iface eth0 inet static
 address 192.168.**.**
 netmask 255.255.255.0
 network 192.168.**.0
 broadcast 192.168.**.255
 gateway 192.168.**.**

# The secondary network interface
 allow-hotplug eth1
 iface eth1 inet static
 address 10.10.**.**
 netmask 255.255.255.0
 network 10.10.**.0
 broadcast 10.10.**.255

Je conseille un redémarrage de la VM plutôt que du service.

reboot

On va ensuite créer notre fichier IPTables avec Nano.

nano /etc/init.d/firewall

Y insérer ces quelques lignes en renseignant l’interface LAN (eth0 pour moi).

#!/bin/sh
 #Gateway SMTP
 iptables -t nat -A POSTROUTING --out-interface eth0 -p tcp --dport 25 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Rendre le fichier exécutable.

chmod +x /etc/init.d/firewall

Ajouter l’exécution du fichier au démarrage.

update-rc.d firewall defaults

Et voila un moyen simple et rapide, il suffis juste de mettre votre passerelle en tant que gateway dans votre NAS et de renseigner l’ip de votre serveur mail sur le LAN

Si jamais vous avez merdé et que vous voulez faire un flush et repartir de 0 …

iptables -F
 iptables -X
 iptables -t nat -F
 iptables -t nat -X
 iptables -t mangle -F
 iptables -t mangle -X
 iptables -P INPUT ACCEPT
 iptables -P FORWARD ACCEPT
 iptables -P OUTPUT ACCEPT

Dans le doute, on vérifie que tout est bien supprimé

iptables -nvL

...BofBienTrès BienTop ! (Soit le premier à voter)
Loading...

Mathieu

Je suis actuellement ingénieur spécialisé dans le design d'environnements cloud virtualisés. Adepte des technologies de VMware, Nutanix, Citrix et Microsoft je propose à travers ce blog diverses astuces de troubleshooting.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *