Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Blocage authentification ftp squid pfsense

    Français
    4
    8
    2.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      freyak
      last edited by

      Bonjour,

      J'administre actuellement un serveur pfsense que j'ai mit en place. Pfsense 2.1.4, j'ai installé les packages squid, squidgard, lightsquid ainsi que snort. J'utilise le mode proxy transparent. Le proxy fonctionne bien (navigation, blocage des sites interdits…) cependant je rencontre un problème pour l'accès au serveur FTP. Dans mozilla firefox dès que j'essaie d'accéder à un ftp j'obtiens:

      ERREUR

      L'URL demandé n'a pu être chargé

      Une erreur d'authentification sur un FTP a eu lieu. En tentant de charger l'URL: ftp://x.x.x.x

      Squid a envoyé la commande FTP suivante:

      PASS <yourpassword>et a recu la réponse

      Authentification incorrecte

      J'ai essayé de me connecter à plusieurs FTP distant ou notre FTP local avec ce même résultat. Ces FTP possèdent une connexion avec login/mot de passe mais j'obtiens ce message avant l'apparition de la fenêtre pour saisir le login/mot de passe. Depuis ce réseau si je désactive le proxy et passe par une autre connexion la connexion FTP fonctionne parfaitement. J'ai pas mal cherché avant de poster ce sujet, j'ai testé d'ajouter ces deux lignes dans squid.conf puis redémarrage pour tester sans succès:

      acl ftp proto FTP
      http_access allow ftp

      Bien sur le port 21 est autorisé dans mes règles de Firewall, j'ai même autoriser tous les ports vers l'adresse d'un de mes FTP externes configuré en mode passif pour voir si le blocage ne venait pas de la sans succès.

      Quelqu'un a t-il déjà rencontré ce problème?
      Merci</yourpassword>

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        (Encore un !)

        Je (nous) ne conseille pas l'utilisation de package tel Squid sur pfSense.
        Je préconise l'utilisation d'une machine dédié au proxy Squid et sa suite.

        Vous faites un mélange entre proxy, http, ftp, transparent, identification, … et, forcément, vous vous y perdez !

        Pour FTP, vous pouvez configurer votre PC en indiquant que vous passez par le proxy voulu.
        Sans cette configuration (du PC client), ce n'est pas le proxy seul qui pourra faire quoi que ce soit !

        Donc,

        • soit, vous configurez le pc client en indiquant pour FTP le proxy, et Squid aura accès au ftp sans règle particulière
        • soit, vous ne configurez pas le pc client, et une règle depuis le LAN sur ftp=21/tcp est nécessaire, et Squid ne joue aucun rôle.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • TataveT
          Tatave
          last edited by

          ARff grillé par Jdh  >:( >:( :o.

          Salut salut.

          Bien que vous soyez le énième à intégrer un module comme celui là sur Pf qui peut se comprendre pour des raisons de place mais pas pour celle de la sécurité, et je rejoins en cela JDH, cela est une aberration.

          Quoi qu'il en soit que disent les log pour vous mettre sur la voie ?
          Qui fait quoi ?
          Qui va où ?
          Comment y va t il ?

          Cordialement.

          aider, bien sûre que oui
          assister, évidement non !!!

          donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
          apprendre à un homme comment cuisiner, il sera vivre.

          1 Reply Last reply Reply Quote 0
          • F
            freyak
            last edited by

            Je viens de vérifier dans les logs du pfsense je ne trouve pas de détails concernant cette erreur dans les logs… Concernant la situation:

            Qui fait quoi?
            Qui va où?
            Comment y va t il?:

            Un poste du réseau local LAN, (Le proxy est renseigné sur chaque poste du réseau en mode transparent) fait une demande pour accéder à un ftp local ftp://192.168.x.x (je prends le cas le plus simple pour vous exposer la situation mais idem sur serveur FTP externe), la gateway renseigné sur le poste est l'interface LAN du pfsense.

            Avez-vous besoin d'autres détails?

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Le problème vient de 'proxy transparent' : le mot est beau et magique, le béotien croit que cela s'applique à tout !

              Le 'proxy transparent'' est, en fait, une fausse bonne idée :

              • ne fonctionne que pour HTTP (d'où erreur)
              • ne fonctionne pas avec authentification (pour HTTP)

              Il est aisé de mettre en place une meilleure solution avec WPAD (autour d'un serveur proxy dédié).

              Le proxy est renseigné sur chaque poste du réseau en mode transparent

              La confusion est totale !

              Soit vous ne configurer rien comme proxy, et vous passez au travers du firewall 'proxy transparent', et le proxy ne fonctionne pas pour FTP
              Soit vous configurez le pc client, et on n'utilise pas le mode 'proxy transparent' au niveau firewall.

              Commencez par lire ce que j'écris et surtout ce qu'écrit Christian CALECA sur proxy transparent.

              NB : le firewall n'est pas impacté si vous faite du FTP sur un serveur local, sauf si vous configurer le proxy.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • F
                freyak
                last edited by

                Merci pour ces posts très amicaux et le ton détendu de vos reponses jdh.

                Cependant vos explications m'ont aidés en utilisant le proxy uniquement pour le http dans firefox et pas pour le ftp j'arrive à avoir internet par le proxy et à accéder aux serveurs FTP

                Merci

                1 Reply Last reply Reply Quote 0
                • B
                  baalserv
                  last edited by

                  Bonjour,

                  N'oubliez pas la lecture de M. CALECA, vous y apprendrez beaucoup ^^

                  https://forum.pfsense.org/index.php?topic=69908.0

                  Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    A partir d'une certaine taille (disons 15 utilisateurs un peu actifs), ce qui est judicieux

                    • un firewall pfsense

                    • un proxy dédié avec Squid, SquidGuard (filtrage blacklist), et lightSquid (log d'utilisation)

                    • le réglage des pc clients par WPAD : fournit le proxy à utiliser pour chaque protocole géré par Squid (http, https, ftp)

                    • des règles qui autorise la sortie pour le proxy et l'interdiction pour les autres

                    La contrainte sur les PC clients sera minimale : juste config auto (=détection par WPAD).
                    Les PC clients fonctionneront à la fois dans le réseau de l'entreprise et ailleurs.

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.