FTP ne fonctionne pas a travers pfSense
-
j'ai donné la réponse, arrêtez de semer la confusion avec des informations inutiles et confusantes
Ce n'est pas moi qui ai écrit cela, mais c'est EXACTEMENT et la réalité et ce que je pense (sauf que j'aurais écrit "la réponse a été donnée ….").
Il faut bien observer que le fil n'a pas évolué, sur le sujet, depuis le 8/5 et tous les posts depuis sont clairement inutiles et regrettables d'insistance !
Ce fil mériterait d'être nettoyé. D'autant que l'initiateur a fait des efforts initiaux et qu'il reçoit 'n'importe quoi'.
Et le site mériterait un recentrage : la réponse, toute la réponse, rien que la réponse ... étant entendu qu'il importe d'avoir une réponse 'efficace' (c'est à dire adaptée et pas forcément la vérité informatique !) -
Ton commentaire à propos de FTP helper vs FTP proxy est correct mais limité au scope de pfSense.
La notion de proxy, que tu réfutes, reste la terminologie utilisée au niveau de la plupart des clients FTP (regardes donc FileZilla par exemple) pour la simple raison que le proxy FTP existe en tant que tel et reste une solution technique dans le cas de cet utilisateur, même si ce n'est pas la solution implémentée par pfSense.Tu l'opposes au "helper", terminologie orientée netfilter (pfSense, Shorewall et autres) alors que ce sont des approches différentes de ce que j'explique.
La version 2.2 a supprimé le 'helper' présent dans les versions antérieures. Avec un 'helper' en place, l'installation d'un serveur FTP serait facilité car les 2 modes seraient fonctionnels. Il n'est absolument pas question ni de 'proxy' ni de package, juste d'une 'aide' pour pf (bsd et non netfilter/linux) pour le protocole ftp.
Tu as une obsession 'proxy' que je réprouve et auquel s'applique parfaitement 'arrêtez de semez la confusion' : trop d'informations, quand bien même exactes, tue l'information !
-
@jdh:
Il faut bien observer que le fil n'a pas évolué, sur le sujet, depuis le 8/5 et tous les posts depuis sont clairement inutiles et regrettables d'insistance !
Ce fil mériterait d'être nettoyé. D'autant que l'initiateur a fait des efforts initiaux et qu'il reçoit 'n'importe quoi'.
Et le site mériterait un recentrage : la réponse, toute la réponse, rien que la réponse … étant entendu qu'il importe d'avoir une réponse 'efficace' (c'est à dire adaptée et pas forcément la vérité informatique !)Au moins tu es constant dans la qualité de tes commentaires ::)
D'un autre coté si le moindre commentaire en dehors de "ccnet à raison" ou "jdh a raison" est perçu comme une pollution de la réponse idéale ;D alors le fil peut difficilement évoluer n'est-ce pas ???
Tu as une obsession 'proxy' que je réprouve et auquel s'applique parfaitement 'arrêtez de semez la confusion' : trop d'informations, quand bien même exactes, tue l'information !
Même si ça ne te plaît pas, lorsque tu déploies un firewall et que tu as soit des services en interne tournés également vers l’extérieur ou que depuis l'intérieur tu souhaites accéder à des services externes, le mécanisme du proxy et du reverse proxy sont extrêmement efficaces.
Tu peux le réprouver, c'est ton choix :) 8)
@jdh:
La version 2.2 a supprimé le 'helper' présent dans les versions antérieures. Avec un 'helper' en place, l'installation d'un serveur FTP serait facilité car les 2 modes seraient fonctionnels. Il n'est absolument pas question ni de 'proxy' ni de package, juste d'une 'aide' pour pf (bsd et non netfilter/linux) pour le protocole ftp.
Ce qui se traduit, extrait du lien fourni pas ccnet, par:
Another option is the recently added FTP Client Proxy package which leverages ftp-proxy(8) in FreeBSD to allow clients on local interfaces to reach remote FTP servers with active FTP.
Ceci étant, mon point était plutôt de regarder du coté des solutions réellement "proxy":
https://calomel.org/ftp_proxy.html
http://www.ftpproxy.org/
https://packages.debian.org/squeeze/ftp-proxyet il y en a plein d'autres.
-
Bonjour,
Merci pour toutes ces réponses.
@jdh:
Le problème :
- vous avez installé un pfsense 2.2 et non 2.1.5,
Oui, certes, effectivement, j'ai testé la version 2.1.5 et cela fonctionne sans aucun problème… mais ce n'est pas a jour, et cela n'est qu'un workaround.
Ceci étant, mon point était plutôt de regarder du coté des solutions réellement "proxy":
https://calomel.org/ftp_proxy.html
http://www.ftpproxy.org/
https://packages.debian.org/squeeze/ftp-proxyVous me conseiller donc de passer par un proxy/helper FTP?
Ou plutôt repasser sur une version 2.1.5?
Merci de vos conseils
-
Vous me conseiller donc de passer par un proxy/helper FTP?
Ou plutôt repasser sur une version 2.1.5?je ne te conseillerais certainement pas de rester en pfSense 2.1.5 8)
Après, comme il est semble t-il malvenu de discuter des différentes solutions possibles, je vais m'en tenir à LA réponse (qui marche au demeurant, du moins dans le principe car je ne l'ai pas testée): configure ton serveur FTP en "active FTP"
Si d'un autre coté, les clients de ton serveur FTP sont derrière un autre serveur pfSense…. je ne me risque pas à une réponse qui déclencherait encore des débats sans fin ;D ;D ;D
-
J'ai écrit le 7/5 qu'avec un pfSense 2.2, et en lisant la doc pfSense, une solution qui fonctionne est que le serveur doive fonctionner en mode actif.
D'après la doc Filezilla, cela ne me parait pas très difficile à faire (mais je n'ai pas essayé).
(Bien évidemment le client devra utiliser le mode actif … tout se teste facilement !).Merci de confirmer que cela fonctionne bien ainsi et clore ce fil (qui déraille ...)
-
@jdh:
Merci de confirmer que cela fonctionne bien ainsi et clore ce fil (qui déraille …)
Pourquoi donc ?
Je suis curieux de lire ta proposition technique lorsqu'un client lui même derrière un pfSense va essayer de se connecter à son serveur FTP ;)Et donc "ça fonctionne, verrouillons vite ce fil" ne peut se contenter d'un petit test vite fait car le plus souvent, il n'y a pas de contrôle sur le coté client.
-
@chris4916 : quel art consommé d'essayer de me faire dire ce que je n'ai pas dit !
arrêtez de semer la confusion avec des informations inutiles et confusantes
Dès qu'une réponse satisfaisante, fonctionnelle, adaptée, efficace a été donnée, il faut qu'il y ait des gens pour pinailler, pour rajouter "mais on pourrait", pour ergoter, …
C'est exaspérant, et ce fil en est la pleine illustration et démonstration.
Je n'ai jamais demandé que "ccnet a raison" soit la fin d'un fil, mais c'est souvent la réalité à cause d'années d'expérience : ici, à point nommé, le juste lien donne les réponses efficaces !Concernant le proxy (http), je répète qu'un proxy doit être dédié et que c'est la bonne solution pour 99% des cas, il faut qu'il y ait des gens pour parler du 1%.
Concernant mon avis personnel sur les proxy, il y a bien longtemps que j'installe proxy et reverse proxy. Il y a confusion sur ma réprobation : je réprouve le pinaillage !Dans le cas présent de FTP, je trouve regrettable
- la décision de retirer le 'helper' (au niveau ip) qui existe et fonctionne depuis des années au motif d'une insécurité connue,
- et encore plus, de proposer une affreuse et invraisemblable solution à base de proxy ftp (qui est un package).
En fait le helper ftp est une solution simple, et sans trace, et il faudrait la remplacer par une solution permettant de tracer toutes utilisations : parlez moi de sécurité !
Dorénavant, je ne prendrais plus part à des fils où intervient chris4916, puisque à chaque fois, c'est pinaillage, déformation, propos invraisemblables ...
Alors qu'il suffirait juste d'arrêtez de semer la confusion avec des informations inutiles et confusantes …NB : Le temps d'écrire ce post, et un exemple de plus ...
-
Merci pour tous vos retour et débats, qui furent instructifs.
Malheuresement donc, il ne semble vraiment pas simpole / impossible de se mettre un serveur FTP en mode passif derrière un pfSense 2.2… Dommage, d'autant que les client, majoritairement sur des browser, ne supportent que ce mode.
Néanmoins, avant qu'il y ait des morts, je vais clore ce topic.
Encore merci a tous!
-
Petit update sur le sujet, j'ai enfin trouvé le soucis!
Le serveur FTP n'avait pas les droits afin de faire une requête DNS dans le but de récupérer sa publique…. Donc impossible de l'envoyer au client.
Ci-joint les screenshot pour la config du NAT côté pfSense et config PASV côté Filezilla server.Merci a tous pour votre aide, et particulièrement a Chris qui est allé jusq'au bout de la démarche de troubleshooting :)
@+
