Bonjour
 
J'ai un serveur Exchange qui apparemment spam la planète entière. J'aimerais Ajouter une passerelle debian (ou autre) entre mon serveur Exchange et ma passerelle internet (que je ne maitrise pas, c'est un boitier opérateur), afin de checker le trafic qui passe.
Ce serveur Exchange étant dédié à l'intranet et ne servant qu'aux calendriers partagés, je ne devrais avoir aucune communication vers autre chose que mon vpn.
Ça vous parait compliqué à mettre en place ?

Non.
Un équipement avec 2 interfaces réseau suffit. Mais tu restes vague dans  "checker le trafic qui passe".
  - Pourquoi ne pas le faire directement sur le serveur exchange ?  
  - es tu sûr que ce soit le serveur qui est incriminé ?
  - que disent les logs du serveur ?
  - ne pense tu pas qu'un PC vérolé serait coupable ?

- Pourquoi ne pas le faire directement sur le serveur exchange ?
Heu, t'as un outils ? Ca m'interesse
  - es tu sûr que ce soit le serveur qui est incriminé ?
Oui, le serveur est clairement incréminé, mon FAI m'a piqué une crise, avec l'IP du serveur Exchange dans ses logs qui spamait la planète entière
  - ne pense tu pas qu'un PC vérolé serait coupable ?
Sur ce sous domaine, il n'y a que le serveur Exchange (enfin pas de postes utilisateurs, j'ai un serveur Debian aussi)

Tout dépend le niveau d'information que tu souhaites, sous quelle forme tu veux le résultat, les moyens d'accès que tu as au serveur, etc... Quand tu fais ce genre d'analyse la logique voudrais que tu regardes d'abord les logs du serveur...
Sinon wireshark te permettra de savoir exactement ce qui sort/entre de ton serveur.
 
Si ton FAI a identifié clairement ton serveur, c'est qu'il a une adresse IP publique ? Es-tu sûr qu'il soit correctement configuré et non pas un open relay ? au niveau virus & co qu'est ce que ça donne ?

Non, il n'a pas d'IP publique.
Ce serveur Exchange ne sert qu'à la gestion des calendriers, il a toutefois une passerelle pour communiquer dans notre VPN.
Je souhaite un niveau très bas d'information, simplement voir si il y a des paquets qui veulent aller ailleurs qu'en 10.170.x.x
Après c'est du bonus.
 
A tout hazard, es-ce que ca a une chance de marcher :  
- Sur le serveur, je met une route via ma passerelle à tout ce qui est à destination de 10.170.
- J'envoie tous le reste sur un ip quelconque, genre ma débian qui sert de serveur ssh, dont le parfeu refuse tout (sauf port ssh).
?

S'il n'a pas d'adresse IP publique comment ton FAI arrive à identifier que le coupable est précisément ton serveur exchange ?

Hasard c'est avec s, sinon c'est Thierry Hazard et il ne te sera d'aucune aide...

A mon avis tu es en train de te monter une usine à gaz pour un truc qui ne le nécessite pas.
  Etape 1 : check déjà en local sur le serveur : configuration / log / wireshark / antivirus

 Etape 2 : regarde si sur ton switch tu peux faire du mirroring de port. Tu installes ta debian dans sur un port du switch et tu mirror le trafic intéressant (en l'occurence tout ce qui passe par le port de ton serveur)
  Si le mirroring n'est pas possible, met ta "passerelle" en coupure entre ton switch et ton serveur exchange et tu bridges ses deux interfaces (une reliée au serveur, l'autre au switch) et tu sniffes le trafic.

Mais l'étape 1 est l'étape nécessaire avant de partir dans des choses plus compliquée

si tu n'as qu'une interface sur ta passerelle, configure la route par défaut de ton serveur exchange vers ton serveur SSH.
active le routage sur ton serveur ssh
configure correctement la route par défaut de ton serveur ssh
désactive le filtrage
installe wireshark/tcpdump/autre outils d'analyse de flux pour voir ce qu'il se passe
et analyse

edit: mais avant de lancer ça, fait l'étape 1 précédente...

Une astuce là dessus ? Logiciel à utiliser par exemple
(Me dites pas que c'est full iptable comme configuration

1. http://www.google.fr/search?q=activer+le+routage+linu
2. sudo sysctl  net.ipv4.ip_forward = 1

Par contre si je me plante pas, il faudrait désactiver les messages icmp redirect afin que tous les flux passent par le serveur SSH.

Sinon, l'étape 1 ?  wireshark directement sur l'exchange ? Les logs d'exchange, tout ça ?

 
merci pour le point 2 en particulier.
Wireshark, lorsque je filtre par source=ipexchange, j'ai rien qui ne sorte de mon vpn dans les destinations, ca me laisserait penser que j'ai éradiqué mon "virus" spammeur.

pour loger le trafic réseaux, un coup de shorewall ?

Non, wireshark pareil
ou tcpdump puis analyse à posteriori par wireshark

Dans le but de loguer ce qui passe par ma passerelle, j'ai un soucis avec shorewall :  
 
Oct 15 14:37:51 PASSERELLE kernel: [11517.654638] host 10.170.12.241/if2 ignores redirects for 10.170.0.106 to 10.170.12.254.
 
Je suis en 10.170.0.106, le serveur Exchange en 10.170.12.241, la passerelle du vpn en 10.170.12.254.
Si je coupe shorewall, tout passe bien, j'imagine que je suis trop restrictif :
 
rules :  
 
ACCEPT          $FW             net:10.170.0.0/24
ACCEPT          net             net:10.170.0.0/24
 
policy :
 
#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST
$FW             net             DROP            info
net             $FW             ACCEPT          info
net             all             DROP            info
# The FOLLOWING POLICY MUST BE LAST
all             all             DROP            info

Même sans loguer, je souhaite dropper les paquets qui ne sont pas à destination de ce que je souhaite (10.170.x)

personne n'a une piste ?

Pour ma conf de shorewall ?
Meme si j'analyse avec wireshark, ca m'empeche pas de vouloir Droper certains paquets   , et de façon plus générale, de vouloir appréhender ce genre de situation (une passerelle de filtrage) que je pourrais re-utiliser dans d'autre circonstances.  

Le était là pour signaler qu'au final on ne sait toujours pas si c'est ton serveur qui pose/posait problème.

Après si tu veux controler/filtrer les flux avec passerelle en coupure, il te faudrait faire les choses correctement :
 - passerelle avec plusieurs interfaces
 - positionnement en coupure entre ton routeur internet et le LAN avec une interface dédiée pour chaque segment réseau

Sinon dans shorewall, tu blacklistes l'adresse IP de ton serveur mail. Mais je le redis, le serveur n'est pas le seul problème dans ton cas je pense. N'importe quel PC sur ton intranet/vpn est succeptible d'être un zombie, et si j'insistais sur l'analyse du serveur c'était justement sur ce point...

Je suis un peu la tête dans le seau sur différents sujets. Pour celui ci en particulier, une migration de serveur est en cours.