# [Réseau] "No Route to host" uniquement avec Postfix [résolu]

## l_arbalette

Bonsoir à tous,

je vous soumet un problème qui me donne du fil à retordre (sans doute par méconnaissance des mécaniques de routage réseau   :Crying or Very sad:  )

Postfix ne peut plus envoyer de mails...(je crois que c'est depuis que j'ai installé Apache, mais je n'en suis pas sûr : je vois pas trop pourquoi....  :Rolling Eyes:  ). Je ne pense pas que Postfix y soit pour quelque chose non  plus : c'est plutôt ma config. réseau, mais tout le réseau (ou presque   :Evil or Very Mad:  ) marche impeccable !

Internet fonctionne. Je peux me connecter à mon serveur Apache depuis l'extérieur et l'intérieur. Idem pour le serveur SSH. Et les emails arrivent bien sur le serveur Postfix. C'est juste que ceux qui doivent partir sont bloqués....

Avec les logs ci-dessous, quelqu'un aurait-il une idée pour me sortir de là ?

Merci !

Voici un exemple de log Postfix :

 *Quote:*   

> Feb 13 21:20:44 larbalette_home postfix/smtp[15365]: E0EA2C8045: to=<mail-abuse@cert.br>, relay=none, delay=170847, delays=170844/0.04/3.1/0, dsn=4.4.1, status=deferred (connect to woq.cert.br[200.160.7.2]: No route to host)
> 
> Feb 13 21:20:44 larbalette_home postfix/smtp[15366]: connect to mail.bp06.net[83.206.208.149]: No route to host (port 25)
> 
> Feb 13 21:20:44 larbalette_home postfix/smtp[15366]: 1D7AFC7D80: to=<MperfBouncesB2D102M00019N000510EM@bp06.net>, relay=none, delay=216252, delays=216248/0.04/3.1/0, dsn=4.4.1, status=deferred (connect to mail.bp06.net[83.206.208.149]: No route to host)
> ...

 

Effectivement :

```
traceroute6 woq.cert.br

traceroute: unknown host woq.cert.br

```

```
tracepath woq.cert.br

 1:  localhost, (192.168.1.10)                              0.133ms pmtu 1500

 1:  no reply

 2:  no reply

 3:  no reply
```

Par contre, je peux pinger :

```
ping woq.cert.br

PING woq.cert.br (200.160.7.2) 56(84) bytes of data.

64 bytes from woq.cert.br (200.160.7.2): icmp_seq=1 ttl=239 time=309 ms

64 bytes from woq.cert.br (200.160.7.2): icmp_seq=2 ttl=239 time=310 ms
```

Voici ma config réseau :

```
cat /etc/resolv.conf

# Generated by dhcpcd for interface eth0

nameserver 192.168.1.1

nameserver 0.0.0.0

```

```
ifconfig

eth0      Lien encap:Ethernet  HWaddr 00:1A:92:B1:12:75

          inet adr:192.168.1.10  Bcast:192.168.1.255  Masque:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:112561 errors:0 dropped:0 overruns:0 frame:0

          TX packets:115244 errors:0 dropped:0 overruns:0 carrier:2

          collisions:0 lg file transmission:1000

          RX bytes:121834112 (116.1 Mb)  TX bytes:16374937 (15.6 Mb)
```

```
cat /etc/hosts

# IPv4 and IPv6 localhost aliases

192.168.1.10    localhost, larbalette_home

127.0.0.1       localhost, larbalette_home

::1             localhost

```

```
route

Table de routage IP du noyau

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface

192.168.1.0     *               255.255.255.0   U     0      0        0 eth0

loopback        *               255.0.0.0       U     0      0        0 lo

default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
```

```
iptables -L -v -n

Chain INPUT (policy DROP 311K packets, 64M bytes)

 pkts bytes target     prot opt in     out     source               destination

   14  1940 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

  11M 8407M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

 5502 1012K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

  303 15868 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80

  310 16200 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25

11627  574K ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4662

87370 5631K ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:4672

 758K 3083M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

  910 43608 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080

Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 dpt:22

    0     0 ACCEPT     tcp  --  lo     *       0.0.0.0/0            0.0.0.0/0           tcp spt:22 dpt:80

    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:8080 dpt:22

    0     0 ACCEPT     tcp  --  lo     *       0.0.0.0/0            0.0.0.0/0           tcp spt:22 dpt:8080

Chain OUTPUT (policy ACCEPT 15M packets, 17G bytes)

 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)

 pkts bytes target     prot opt in     out     source               destination

   14  1940 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

```

----------

## Correct

Dis, frangin,

t'aurais pas ta free/neuf/live/alice/darty/ box (désolé pour ceux que j'oublie) qui bloque le port 25 en sortie ?

L'option est disponible sur la freebox par exemple

(interface de gestion   :Arrow:  Fonctionnalités optionnelles de la Freebox (Wifi, Routeur, IPv6...)   :Arrow:  Autres fonctions:)

A part ça, je comprends presque rien au message : l'élève a dépassé le maître...

----------

## l_arbalette

 *Correct wrote:*   

> t'aurais pas ta free/neuf/live/alice/darty/ box (désolé pour ceux que j'oublie) qui bloque le port 25 en sortie ?

 

non non. Je n'ai pas changé le paramétrage de la LiveBox. et avant, pas de problème.

J'ai quand même vérifié par acquis de conscience s'il n'y avait pas une règle parasite du firewall, mais non : vous pouvez le constater sur ce screeshot.. Et vous noterez au passage que mon serveur Apache marche bien !

 *Correct wrote:*   

> A part ça, je comprends presque rien au message : l'élève a dépassé le maître...

 

Y'en a d'autres qui comprennent pas ? C'est parce que c'est pas clair ? Si c'est ça, dites moi : je précise....

parce que là, je m'en sors pas tout seul !   :Sad: 

----------

## -KuRGaN-

Orange bloque de plus en plus le port 25 à destination des serveurs mail autres que ce d'orange.

----------

## l_arbalette

 *-KuRGaN- wrote:*   

> Orange bloque de plus en plus le port 25 à destination des serveurs mail autres que ce d'orange.

 

ok. Info intéressante....Comment faire pour le tester ?

----------

## haykel

Pour ce test-là, net-analyzer/tcptraceroute est ton ami. Un petit 

```
emerge net-analyzer/tcptraceroute
```

 puis 

```
tcptraceroute woq.cert.br 25
```

Ca te permettra de voir si ça bloque chez toi ou chez ton FAI. 

Pour info le tcptraceroute (comme on pouvait s'en douter), c'est un traceroute qui se base sur tcp et auquel on précise le port à utiliser. Extremement pratique pour les diagnostics réseau.

----------

## l_arbalette

Merci.

Voici le résultat : je cherche encore comment le lire....

```
tcptraceroute woq.cert.br 25

Selected device eth0, address 192.168.1.10, port 40131 for outgoing packets

Tracing the path to woq.cert.br (200.160.7.2) on TCP port 25 (smtp), 30 hops max

 1  * * *

 2  * * *

 3  80.10.121.193  41.088 ms !A  39.807 ms !A  40.511 ms !A

```

----------

## haykel

 *l_arbalette wrote:*   

> Merci.
> 
> Voici le résultat : je cherche encore comment le lire....
> 
> ```
> ...

 

Ca veut dire que le dernier noeud ayant répondu est 80.10.121.193. A priori, c'est une adresse qqpart sur Internet apres ta box, donc ça confirmerait que le port 25 est pas routé par ton FAI sauf pour son serveur SMTP.

Je viens de faire le test, c'est pareil pour le mien. Pour un tcptraceroute sur le port 25 de google, ça s'arrete au 3e hop. Par contre, pour le serveur SMTP du FAI, ça va jusqu'au bout sans pb (heureusement, sinon ça serait dur pour moi d'envoyer des mails  :Laughing:  )

Bref, à ta place à ce stade la, j'irai voir les instructions de ton FAI pour voir sur quelle passerelle il faut taper, normalement, c'est précisé qqpart

----------

## l_arbalette

j'ai fait un whois sur l'adresse 80.10.121.193 : c'est FranceTelecom....il semblerait que -KuRGaN- ait raison ???   :Twisted Evil: 

quels enf___és !!

c'est plus internet ça, si on peut même plus héberger ses propres serveurs !!! 

remarquez, on aura été prévenu....je vous encourage à regarder la vidéo...

----------

## l_arbalette

 *haykel wrote:*   

> Bref, à ta place à ce stade la, j'irai voir les instructions de ton FAI pour voir sur quelle passerelle il faut taper, normalement, c'est précisé qqpart

 

Tu veux dire qu'il y a quand même un moyen de router mes mails via un autre chemin ? Et comment je peux savoir ça avec mes maigres connaissances ? à part faire le "3900" à 5600 euros / mn et pour ne pas être plus avancé !!!!   :Evil or Very Mad:  (excusez, mais là, je suis très ennervé)   :Arrow: 

----------

## haykel

 *l_arbalette wrote:*   

>  *haykel wrote:*   Bref, à ta place à ce stade la, j'irai voir les instructions de ton FAI pour voir sur quelle passerelle il faut taper, normalement, c'est précisé qqpart 
> 
> Tu veux dire qu'il y a quand même un moyen de router mes mails via un autre chemin ? Et comment je peux savoir ça avec mes maigres connaissances ? à part faire le "3900" à 5600 euros / mn et pour ne pas être plus avancé !!!!   (excusez, mais là, je suis très ennervé)  

 

Ben une recherche rapide sur google m'a donné ça:

http://www.commentcamarche.net/faq/sujet-893-serveurs-pop-et-smtp-des-principaux-fai

Mais le mieux c'est d'aller sur le site de ton FAI, ça doit etre dans une FAQ, ou alors tu demandes a qqun qui a le meme FAI et qui arrive a router ses mails  :Smile: 

----------

## l_arbalette

oui, le smtp d'orange, je le connais (j'envoi mes mails de Thunderbird avec. Postfix me sert à autre chose en fait, et était.....bouhouhou  :Crying or Very sad:  ....complètement autonome)

je pensais que tu parlais d'une autre solution....

donc ça veut dire qu'il va falloir que je route mes mails de postfix par le serveur smtp d'Orange....

je vois pas trop quel intérêt ils ont à fermer les sorties sur le port 25. Franchement, c'est une honte. Affligeant.

C'est pareil chez les autres FAI ?

(au passage, je passe le sujet en résolu....avec un relayhost dans le main.cf paramétré avec le smtp d'orange, ça marche....mais franchement, je suis dégouté.)

----------

## haykel

 *l_arbalette wrote:*   

> 
> 
> je vois pas trop quel intérêt ils ont à fermer les sorties sur le port 25. Franchement, c'est une honte. Affligeant.
> 
> C'est pareil chez les autres FAI ?
> ...

 

Ca se justifie par les mécanismes anti-spam. 

Un exemple tout con: du temps ou j'avais un serveur smtp dans mon placard, je l'avais configuré comme toi, sans relayhost. Ca marchait bien, jusqu'au jour ou j'ai commencé à recevoir des accusés de non-reception parce que mes mails avaient été rejetés par les anti-spam de mes destinataires (ceux de leur taf, principalement).

Explication: leurs anti-spams se basent (entre autres) sur des black lists/white lists et donc un beau jour, tout mon reseau /16 a été banni par un éditeur de solution anti-spam (probablement parce qu'un de mes "voisins" avait laissé une faille de sécu dans son smtp et qu'il inondait la toile de spam), le temps que les listes soient mises à jour chez les clients et voila mon serveur black-listé sur une bonne partie de la planete. Impossible d'esperer que ma demande de dé-ban aboutisse, donc je suis passé en relayhost..

Bref tout ça pour dire qu'utiliser le SMTP de son FAI c'est qq part aussi une garantie que ça va bien fonctionner, et c'est un service que tu paies (pouvoir te servir du serveur SMTP de ton FAI qui ne sera pas black-listé, lui...) alors autant en profiter..

Alors, il y a des inconvénients, oui, mais je trouve que c'est un moindre mal par rapport à aller se battre avec des boites d'anti-spam à l'autre bout du monde..

EDIT: bon, de la à obliger les gens çà utiliser le leur... je pense qu'ils devaient en avoir ras-le-bol de gerer des abuse à cause des clients qui font n'imp alors un tour de clef et hop..   :Smile: 

----------

## l_arbalette

effectivement....

ça me fait quand même peur pour la suite !

----------

## -KuRGaN-

Free bloque aussi, mais chez eux, tu peux désactiver le bloquage en passant par l'interface d'administration. Ces mesures sont mises en place afin d'éviter le spam.

----------

## geekounet

D'ailleurs, seul le port smtp est bloqué ? Et pas le smtps (465) en plus ?

Enfin perso, je fais que du SMTP over TLS, donc port 25, heureusement que Free permet de le débloquer  :Smile: 

----------

## -KuRGaN-

Heu pour mes vrp qui ont une connexion orange, j'ai du ouvrir le port 587 (submission) afin qu'il puisse atteindre mon serveur de mail.

----------

