[Supersedes]

Jazzoroastre a écrit :
>>Autrement, il y a un moyen simple, rapide et sale (quick and dirty) de
>>faire repartir les paquets de réponse par le bon routeur sans politique de
>>routage, mais tu n'en voudras sûrement pas à cause de son "léger" défaut.
>>Il suffit de faire du NAT source (SNAT) avec iptables sur les flux
>>entrants redirigés par les deux routeurs. Ainsi l'adresse de destination
>>d'un paquet de réponse émis par le serveur sera directement l'adresse du
>>routeur à utiliser. Il y a cependant un inconvénient majeur évident : le
>>serveur ne voit pas l'adresse source réelle des connexions qu'il reçoit
>
> Heu pourquoi pas puisque c'est temporaire. Si c'est sale mais temporaire ça
> peut aller...

OK, c'est toi qui vois.

> Je ne maîtrise pas rès bien les commandes iptables pour le masquerading.
> Il faudrait faire quoi comme commande sur le serveur mail ?

Il n'y a rien à faire du tout sur le serveur lui-même. Les règles
iptables sont à mettre en place sur les deux routeurs FW1 et FW2.

Par exemple sur FW1 pour le protocole SMTP :

iptables -t nat -A POSTROUTING -o eth1 -d 192.168.2.8 \
-p tcp --dport 25 -j SNAT --to-source 192.168.2.3

Sur FW2, remplacer l'adresse SNAT par 192.168.2.4.
Pour le protocole POP3, remplacer le port destination par 110.

>>Pour finir, il y a peut-être moyen d'éviter tout ça en jouant sur le TTL
>>au niveau DNS. En le réduisant suffisamment à l'avance avant de faire la
>>transition de l'adresse IP, les caches expireront rapidement (la
>>"réplication" est instantanée, c'est l'expiration qui prend du temps). Et
>>pendant ce temps, le(s) MX secondaire(s) garderont les mails en attente.
>
> A ce moment là, il faut que je demande ça au registrar c'est bien ça ?

Plutôt au gestionnaire technique du domaine, celui qui gère la zone sur
le serveur DNS maître. Ça peut être le registrar mais pas forcément.