Hello,

Que renvoie :

/etc/init.d/postfix check

Si tout est bien configuré il ne devrait pas y avoir d’insultes…

En ce qui concerne Dovecot, je n’ai pas testé, il faudra demander de l’aide ailleurs, pas le temps de m’y mettre.

Pour les paquets c’est simple, tu installes tout, tu en aura besoin, avec ça tu auras toutes les dépendances installées. (Debconf permet d’éviter qu’apt-get ne te promt pour le passwd root de mysql).

Mysql ou MariaDb c’est un peu hard mais ça tourne bien maintenant (surtout mariadb ==> + libre, + performant). Tu peux le faire comme tu veux mais je te propose une manière de faire. Si tu veux faire autrement, no pb pour moi. Mais je ne pourrais pas t’aider beaucoup plus.

En tout cas le meilleur conseil que je puisse te donner est de travailler avec un labo de test sur des vm. Il ne me paraît pas raisonnable de tatoner sur une machine en prod qui herberge des sites !!
Tu devrais déjà faire tourner ton service sur ton lan sans te préoccuper d’internet pour le moment. Tu refais tout avec un nom de domaine local : test.lan, mondomaine.local…

Apparemment il te manques aussi un enregistrement IN A + IN PTR sur ton SRV smtp au niveau de ton DNS. le champs MX ne suffira pas.

Faire du NAT signifie pour moi : faire de la Translation d’Adresses Réseau.

Sauf si tu en as vraiment besoin je n’ouvrirai pas le ssh depuis l’extérieur. Si c’est vraiment nécessaire, tu changes le numéro du port (ex 2655) et tu blindes avec fail2ban + Netfilter + TcpWrapper.

Courage pour la suite.

Y en a un qui boude… c’est pas tellement fengshui comme attitude

hello

Bon j’ai tout cassé ! Faire et défaire… Je n’avais pas noté ce que j’avais fait donc j’étais comme qui dirait perdu. Donc, reformatage des disques, re galette mais sans couronne, debian wheezy à la place. Partitionnement manuel histoire d’appliquer ce que j’ai appris la première fois. Création de volumes RAID et de volumes logiques qui vont bien avec les bonnes tailles pour les bons points de montage. Le système est tout propret, prêt à accueillir un serveur web et un serveur mail.

Je m’y remets donc ce week-end. Le cahier et le stylo sont prêts. Il me reste plus qu’à écrire mon plan de bataille et zouh ! Stay tuned ! Je vais bientôt avoir à nouveau besoin de ton aide et de ton humour. Sur ce, je vais me coucher.

Hello,

Coup dur chez les mous ! As-tu pu faire un backup de tes sites avant de tout formater ? Et tes bases de données ?
Je te conseille plutôt Jessie que Wheezy, le support sera plus long et les paquets plus à jour, sans parler du noyau.
Comptes-tu travailler enfin sur des VM de test ? Sinon tu risques de tout casser encore une fois…

À+

Je ne te le fais pas dire. Bon en fait c’est bien la debian 8.0 donc Jessie que j’ai installé. Côté sites, pani problem je les garde toujours sur mon autre PC que j’utilise comme serveur FTP. Je crois qu’une VM de test s’impose en effet. Merci de me le rappeler.

J’écris mon plan de bataille d’abord et puis je m’y mets.

See you soon.

Bonjour Vincentsan (et tous les autres ),

Le temps passe et je suis, pour l’instant, en train de peaufiner la configuration de mon serveur web qui tourne sous Apache2. C’est un peu plus long que prévu (comme toujours ) mais j’avance. Je suis pour l’instant bloqué sur une faille de sécurité que je n’arrive pas à lever : empêcher qu’une demande http ou https puisse se faire sur l’adresse IP de mon serveur (je parle bien sûr de l’adresse IP publique de ma freebox). Bon ce n’est pas vraiment une faille de sécurité mais si je n’arrive pas à empêcher cela, s’en en sera une, pardi !

Donc le serveur de messagerie ça sera après. Cela dit c’est reculer pour mieux sauter car au boulot je vais installer un serveur sous Esxi et faire tourner dessus deux machines virtuelles : un serveur proxy et un serveur de domaine. Donc cela va me préparer à la mise en place de ton environnement de test, n’est-ce pas Vincentsan ?

Petit message pour te (vous) dire donc que je n’ai pas lâché le morceau, même si c’est long.

Cordialement.

Hello,

Pour ça Netfilter peut faire le taf mais au niveau de la machine derrière la NAT (ton SRV dans ton LAN) :

Tu drop tout ce qui entre et tu ouvre juste ce dont tu as besoin :

[code]# Le réseau autorisé :
$IP_Allowed=192.168.0.0/24

On remet tout à zéro :

iptables -F
iptables --delete-chain

On accepte tout le traffic sortant et on interdit le forwarding

iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

On supprime toutes les chaînes utilisateurs.

/sbin/iptables -X

On drop tout le trafic entrant.

iptables -P INPUT DROP

On accepte le traffic entrant connecté et pour le ssh

iptables -t filter -A INPUT -p tcp -i eth0 -s $IP_Allowed --dport ssh -j ACCEPT
iptables -A INPUT -m state --state “ESTABLISHED,RELATED” -j ACCEPT

Les règles en question pour le http et https

iptables -t filter -A INPUT -p tcp -i eth0 -s $IP_Allowed --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0 -s $IP_Allowed --dport 443 -j ACCEPT[/code]

==> Ensuite tu mets tout ça dans un petit script init.d et tu l’invoques à chaque démarrage.

Mais si ton SRV web est hébergé chez toi (derrière ta box) seules les machines du réseau 192.168.0.0/24 ($IP_Allowed) pourront y accéder.

Si tu veux empêcher les requêtes sur les ports 80 et 443 sur ton IP publique en provenance du WAN il faut voir avec Free mais je ne pense pas que ce soit possible. En tout cas pas pour un particulier.
Mais si c’est bien ce que tu veux faire, tu ne pourras pas héberger ton site web chez toi.

Courage !

Vincentsan,

En effet. L’objectif est quand même d’héberger mon site chez moi ainsi que quelques autres. Donc je ne filtrerai pas sur $IP_ALLOWED. Netfilter est un autre gros morceau à voir en effet avant d’être réellement en production + les autres CLAMAV, SQUID et DANSGUARDIAN… Mais je verrai cela avec le serveur courriel aussi. En tout cas, merci pour cette configuration que je garde au chaud.
Pour ce qui est de ma problématique, il semble après quelques tests et de nombreuses lectures que ce n’est pas l’adresse public que je peux ‘filtrer’ mais l’adresse de ma passerelle sur mon réseau (soit 192.168.X.Y). Déjà. Ensuite, j’ai compris que ce que je cherche à faire correspond à la gestion dans APACHE par nom de domaine (à différencier de la gestion par IP). C’est mon cas puisque j’héberge plusieurs sites derrière une seule adresse IP fixe. Quand on gère des VIRTUALHOSTS par nom dans APACHE, le serveur web les liste par ordre alphabétique et va systématiquement allouer un ‘default server’ aux requêtes qui ne peuvent pas être allouées aux vhosts déclarés (qui correspondent à des noms de domaines ou de sous-domaines). Pour faire cela, APACHE choisi comme ‘default server’ le premier de sa liste. Donc quand je tape ‘latriadedubienetre.fr’ dans un navigateur, le DNS de Gandi envoie la requête vers mon serveur à l’adresse publique de ma Free box qui l’envoie sur mon serveur web via ma redirection. La requête qui arrive est une requête HTTP/1.1 qui comporte comme nom de ‘Host’ le nom de mon domaine. Ce domaine est déclaré dans APACHE comme un vhost avec un chemin pour accéder au fichier ‘index’ qui s’exécute et renvoie donc la page d’accueil sur le poste client. Idem avec mon deuxième site que j’héberge. Problèmatique : quid quand un internaute tape l’adresse publique de ma Free box ? Eh ben, c’est là qu’APACHE renvoie la même page que celle de mon deuxième site car c’est ce domaine qui a été retenu par APACHE comme ‘default server’. Ce que j’aimerai faire, c’est de renvoyer une page d’erreur ou bien une page que je créerai pour ce seul objectif. C’est ce mécanisme que je ne maîtrise pas encore et sur lequel je continue mes recherches.
A côté de cela et pour ne pas rester bloqué sur un seul problème, j’ai choisi MEZZANINE comme outil de publication sur internet et je travaille en parallèle sur la migration de mes sites. C’est un CMS construit sur DJANGO et donc PYTHON. Bonne soirée et à bientôt.

Salut,

A ta place je créerais un virtual host qui écoute sur toutes les IP

<VirtualHost *:80>
ServerName localhost
DocumentRoot /var/www/html

ensuite tu l’actives et tu indiques le FQDN de chaque site dans les autres vohsts dans la directive VirtualHost.
Dans le répertoire html, tu mets un fichier html dans lequel tu écris ce que tu veux. Comme un message d’erreur ou autre.
A tester, je n’ai jamais essayé de régler ce problème.

A +

Hello,
alors du nouveau ?
Ca marche ?

Salut vincentsan,

Je me suis noyé. C’est un trop gros morceau à faire en si peu de temps. Donc je suis en train de tout lâcher pour l’instant. Je reprendrai ce fil plus tard quand j’aurai vraiment du temps à y consacrer pendant la journée. Soit pendant des congés ou pas avant ma retraite c’est-à-dire dans 4 ans. Plus la même énergie à 58 ans qu’à 30! Mais c’est un projet qui me tient à coeur car communiquer sans être espionner est un vrai défi. Merci pour ton intérêt. Et vous, vos projets avancent-ils comme vous le souhaitez ?