Pfsense 1.2 beta et le ftp
-
Bonjour,
Je n'arrive pas à laisser passer le ftp du lan vers le wan au niveau de pfsense.
Interfaces: LAN
Ftp helper desactivé => ca sert a quoi ca?Firewall: Rules : LAN
Proto Source Port Destination Port Gateway Schedule Description
TCP LAN net * * 21 (FTP) * lan ftp -> anyMeme si je mets tout (*) dans la source c'est pareil.
Merci,
-
Active le ftp helper, c'est un proxy ftp. active le sur le WAN. Y a plein de truc dessus et regarde la FAQ aussi.
-
Le FTP helper c'est pour pouvoir gerer les connexion Active.
Ton problème ici c'est que tu n'autorise que le port 21 et ca ne suffit pas. Le FTP a besoin de plusieurs port. Il y a le port de control (envoi des commandes au serveur), c'est le port 21, puis il y a les ports pour la DATA, et là il y a deux modes:
-
mode actif: c'est le serveur qui émet une connexion depuis son port 20 en direction de ta machine sur un port supérieur a 1024. Etant donné que c'est une connexion rentrante, et que tu possède un routeur effectuant du NAT, il faut impérativement disposer d'un proxy ftp (ftphelper) fonctionnant sur la machine disposant de l'IP publique.
-
mode passif: c'est ta machine qui émet une connexion depuis un port supérieur a 1024 vers un port superieur a 1024 du serveur, ce port est négocié via la commande PASV.
en esperant que ca aide…
-
-
Bonjour,
Je n'arrive pas à laisser passer le ftp du lan vers le wan au niveau de pfsense.
Interfaces: LAN
Ftp helper desactivé => ca sert a quoi ca?Firewall: Rules : LAN
Proto Source Port Destination Port Gateway Schedule Description
TCP LAN net * * 21 (FTP) * lan ftp -> anyMeme si je mets tout (*) dans la source c'est pareil.
Merci,
Euh j'avais lu en travers, les regles s'appliquent sur le WAN !!
-
Bonjour,
Interfaces: LAN
FTP Helper : decoche (donc active)Firewall: Rules : LAN
Proto Source Port Destination Port Gateway Schedule Description
TCP * * * 21 (FTP) * lan ftp -> any => PASSED
* LAN net * * * * Default LAN -> any => BLOCKInterfaces: WAN
FTP Helper : decoche
Block private networks : decoche
Block bogon networks : decocheFirewall: Rules : WAN
RIENEuh j'avais lu en travers, les regles s'appliquent sur le WAN !!
Ses rules doivent etre mis cote lan pour sortir vers l'extérieur, si je les mets cote wan ca veut dire que j'aurai un serveur ftp en local et c'est pas le cas je me trompe pas?
Ses config ne marchent pas :-[
-
Ben en sortie ta rien à faire normalement.
-
Ton problème ici c'est que tu n'autorise que le port 21 et ca ne suffit pas. Le FTP a besoin de plusieurs port. Il y a le port de control (envoi des commandes au serveur), c'est le port 21, puis il y a les ports pour la DATA, et là il y a deux modes:
Justement que dois-je rajouter/modifier pour que cela fonctionne?
D'habitude, on laisse juste passer le port 21 vers l'extérieur et c'est tout bon mais là c'est plus compliqué j'ai l'impression. -
Tu bloques des ports en sortie sur ton firewall ?
Moi j'ai par defaut la regle :
LAN=>Any
Ce qui fait que pour le ftp je n'ai rien à faire. -
Tu bloques des ports en sortie sur ton firewall ?
Moi j'ai par defaut la regle :
LAN=>Any
Ce qui fait que pour le ftp je n'ai rien à faire.Je laisse seulement sortir les ports dont j'ai besoin en 1er puis je bloque tout le reste.Ca c'est du pro :P
Ceci étant j'ai pas le ftp encore :-[
-
Ah ouai, ben la je pense qu'il faut activer le ftp helper sur le LAN.
-
Ah ouai, ben la je pense qu'il faut activer le ftp helper sur le LAN.
Oui le ftp helper est decoché coté lan mais j'ai toujours pas le ftp :-\
Si par contre, je retire le filtre par defaut qui est de bloquer tout, ca marche mais dans ce cas les filtres autorisés (http,pop3 etc) ne serviraient plus a rien et le firewall n'a plus lieu d'etre.
-
regarde les ports utilisés lors d'une transaction ftp ;)
-
Euh comment on fait? :P
-
erf si tu ne connais même pas ce genre d'opération tu devrais retenir un routeur beaucoup plus simple sinon tu vas galérer ….
Regarde du coté de wireshark. -
erf si tu ne connais même pas ce genre d'opération tu devrais retenir un routeur beaucoup plus simple sinon tu vas galérer ….
Regarde du coté de wireshark.Tu parlais de sniffer la machine qui essaie de faire du ftp vers l'exterieur.
Je n'avais pas compris comme ca.Il n'y a pas personne qui puisse me montrer une de leurs config?
-
re
Bon j'ai remplacé ma ligne ftp (21) en mettant de 1024 à 65535 pour les ports ouverst en tcp et ca passe.
Je vais rester comme ca pour l'instant.
-
Le FTP helper c'est pour pouvoir gerer les connexion Active.
Ton problème ici c'est que tu n'autorise que le port 21 et ca ne suffit pas. Le FTP a besoin de plusieurs port. Il y a le port de control (envoi des commandes au serveur), c'est le port 21, puis il y a les ports pour la DATA, et là il y a deux modes:
Bonjour,
Normalement, mon filtre est juste:
Firewall: Rules : LAN
Proto Source Port Destination Port Gateway Schedule Description
TCP * * * 21 (FTP) * lan ftp -> any => PASSEDC a d que que le ftp est sur le protocol tcp, que le port source est sur "tout" et qu'il sort sur le port 21 vers l'extérieur.
Je ne sais donc pas pourquoi il y a un probleme…
Estce que qqun peut faire le test en mettant ce flitre PASSED puis tout le reste BLOQUED et qu'il me dise qu'il y a que le ftp qui va vers l'extérieur.
-
T'arrives pas à voir dans les log la règle qui bloque les paquets en sortie ?
-
Re,
Bon il semblerait que c'est le filtre que j'ai crée (bloquer tout) qui fait defaut.
D'apres mes tests:
Quand il n'y a pas de filtres du tout sur le lan => http,pop3,smtp,ssh etc ne passent pas….mis à part ftp qui passe ??? ???
Pfsense a comme filtre par defaut (invisible sur l'interface) de tout bloquer au niveau du lan (fallait le savoir).Donc en résumé:
-
Je crée mes filtres pour faire sortir vers le wan ce que je veux (http, pop3 etc),
-
je ne crée pas de filtre pour le ftp vu que pfsense laisse passer avec son filtre "invisible"
-
puis ce dernier bloquera le reste.
Concernant ftp, je sais pas si c'ets un bug de la beta ou pas.
Je vais essayer de voir ce que pfsense bloque comme port de sortie.
Merci à tous
-
-
Re,
Bon j'ai le meme probleme sur mon wlan avec le ftp. Le filtre "invisible" bloque maintenant (correctement?) le ftp et meme si je crée un filtre tcp,,,,ftp, eh bien ca ne marche pas…
Note: Mon wlan est bridgé avec le lan.
...