FTP

g.sommer

Bonjour à tous, je reviens vous voir. Après pas mal de test, j'ai mis en prod mon pfsense, tout fonctionne correctement sauf le ftp (fillezilla serveur) mon réseau est dans cette configuration,

D'un coter mon WAN est brancher sur un routeur réseau en 192.168.a.x celui-ci forward mes packets port 21 vers mon pfsense (avant c'était directement au serveur) et j'ai mis en place un NAT de mon WAN port 21 vers le serveur toujours en port 21
de l'autre mon LAN en 192.168.b.x

Chez un client lors d'une connexion sur mon FTP, fileZilla passe en

Statut: Connecté
Statut : Récupération du contenu du dossier…
Commande : PWD
Réponse : 257 "/" is current directory.
Commande : TYPE I
Réponse : 200 Type set to I
Commande : PASV
Erreur : Déconnecté du serveur : ECONNABORTED - Connection aborted
Erreur : Impossible de récupérer le contenu du dossier

Coter serveur tout a l'air bon, dans les log après le PASV j'ai :
heur  login(ip publique du client) 227 Entering Passive Mode (adresse du serveur,85,103)

ps: Je suis malade, j'ai un peu la tête ailleur excuser moi d'avance si ce n'est pas super claire

jdh

Avant d'aller plus loin, il est ESSENTIEL de comprendre plusieurs éléments IMPORTANTS :

• mode actif versus mode passif -> cf wikipedia
• comment pfSense gère FTP : attention cela a changé avec les versions -> cf doc pfSense

NB : il faut comprendre que le FTP Serveur doit être configuré (mais FileZilla serveur a de bon réglages pour cela.)

Commencez par trouver et lire ces doc avant de revenir …

NB : J'utilise Kaspersky et avec les versions récentes, il faut des réglages pour que FTP fonctionne.

NB : Je viens, pas plus tard que ce week-end, de créer pour mon entreprise un serveur SFTP : le client n'y voit que du feu : il utilise FileZilla client, mais aucun pb de firewall !!

jdh

Les bons liens :

• https://fr.wikipedia.org/wiki/File_Transfer_Protocol  : bien lire la partie 'le protocole'
• en complément https://fr.wikipedia.org/wiki/Protocole_r%C3%A9seau_passant_difficilement_les_pare-feu  : FTP est l'exemple type cité
• La doc pfsense (très simplifiée) : https://doc.pfsense.org/index.php/Howto_setup_ftp_server_behind_pfsense
• La version plus complète : https://doc.pfsense.org/index.php/FTP_without_a_Proxy  : attention chaque mot compte !

Une doc sur la mise en place de SFTP : http://www.kitpages.fr/fr/cms/193/installer-un-sftp-avec-chroot-sur-debian
NB : j'ai finalement choisi de créer un serveur avec Debian Jessie + Proftpd + config en SFTP avec users en base MySQL

g.sommer

Ah oui j'oubliais, je suis avec la dernière version 2.3, qui au passage est pas mal mais je ne trouve pas où filtré les log comparé à la 2.2.3 …. il faut savoir que le ftp fonctionnais très bien avant. Merci pour les donc je vais faire un tour, j'avais regarder si d'autre avais le même problème mais pas vraiment ...

g.sommer

Bon ayant la ligne "Commande :  PASV" j'en conclu que je suis en passif

cf deuxième lien : "le FTP en mode passif (le client exécute la commande PASV : le serveur y répond en fournissant son IP locale et le port auxquels le client devra se connecter pour échanger les données)."

je vois qu'il faut configurer filezilla pour le forcé a répondre sur un seul port et le naté aussi !? Mon anglais est pas top … après j'ai un peut peur de toucher a mon serveur filezilla sachant que c'est une version 0.9.22 beta, pour info le copyright date de 2006  ::) (très vieux serveur oblige) d'ici quelques semaines il sera remplacer par un 2012 R2 j'ai déjà commencé a préparer la migration mais d'ici là faudrait que ça marche :/ de plus ce n'est pas moi qui la mise en place et gérer .

jdh

J'ai indiqué que la gestion du FTP a changé selon les versions de pfSense (et, partant, que l'impact est NON négligeable !).
Clairement FTP est déconseillé par l'équipe pfSense.
Et il impératif de suivre la doc 'FTP sans proxy' !

Ccnet insiste régulièrement, et à très juste titre, sur la nécessité de migration en mode 'professionnel' c'est à dire avec phase de test !
Il y a un côté assez illogique à upgrader pfSene à la dernière version et continuer à utiliser une très vielle version d'un serveur FTP !
Il FAUT upgrader votre serveur Filezilla et de suite, car il possible que ça aide à mieux fonctionner !
La version actuelle est 0.9.56.1, cela parait peu probable que cela pose des problèmes

Concernant vos observations :

• mode passif : vous oubliez que c'est le client qui choisi, donc sauf à l'informer …
• 'le serveur répond en fournissant son ip local' : eh bien non il ne faut pas : il faut qu'il réponde avec l'ip publique ! (Et FileZilla Server sait heureusement faire !)

Il est plus qu'à conseiller de passer à un serveur SFTP : ça ne change rien pour les clients (ils continuent à utiliser Filezilla client ou Winscp) mais ça change tout côté firewall (ça marche 'de suite').
Ce sont des contraintes (initiales) mais c'est une bonne solution, bien tranquille une fois mise en place !

g.sommer

Oui j'avais lu que ce n'était pas top niveau sécurité un FTP, je vais regarder de mon coté pour SFTP, je n'ai pas forcément la mains chez tout nos partenaire qui ce connecte sur notre FTP, niveau pare feu client, aucun changement ?

jdh

SFTP s'appuie sur SSH, et donc par défaut sur 22/tcp.
On choisit généralement un autre port TCP (220, 222, 2222, …) pour éviter limiter les essais sur le port (merci à Fail2ban !).
Forcément côté client, au lieu d'autoriser FTP (21/tcp), il faudra qu'il autorise le port choisi mais comme tout le monde (client ou serveur) a les mêmes difficultés avec FTP : 'ces protocoles passent difficilement voire pas du tout, les règles de NAT'.

Il est notable que la doc (ftp without proxy) est très précise : il y a moyen de faire fonctionner un serveur FTP mais en suivant précisément les instructions.
Ca c'est pour le dépannage, mais je CONSEILLE de préparer dès maintenant le remplaçant.

Alors que FileZilla Client peut être client SFTP, FileZilla Server n'est pas serveur SFTP. (Il peut faire serveur FTPS ce qui n'est pas du tout la même chose et qui ne semble pas mieux que FTP question firewall).
A défaut : https://en.wikipedia.org/wiki/List_of_FTP_server_software (regarder la ligne Service : SFTP à Yes)
NB : le seul serveur SFTP opensource est ProFTPD qui .. ne fonctionne pas sur Windows !

Moi j'ai créé un serveur, j'ai donc documenté : comment le serveur fonctionne (adresse, identification user-mdp, empreinte), paramétrage de 2 clients conseillés avec screenshot, le tout en 3 pages, ça suffit pour être clair.
Je n'y ai pas passé des heures mais c'était sur Debian Jessie et j'y suis à l'aise. Le se

g.sommer

J'hésitait à prendre un debian pour faire vpn / firewall / ftp / et peut être d'autre choses :-
Là ça me fait un pc de plus pour un ftp où il y a juste des drivers, maj et autre bricole … ou alors sur mon futur 2012 r2 je met une patte entre le firewall et le vpn où je ne laisse que le ftp d’accessible.

Il n'y a pas aussi vsftpd ou alors il prend pas en charge sftp ?

jdh

pfSense fait firewall + vpn et surement pas serveur ftp, sftp, …
Inversement, une debian ne devrait pas faire firewall et vpn si on a un pfSense !

Une debian dans un réseau, c'est toujours utile : ocs inventory = inventaire + déploiement, sftp avec proftpd, ...

Qq liens autour de Proftpd + sftp + virtual users (mysql)

• http://www.proftpd.org/docs/contrib/mod_sftp.html : paramétrage Proftpd sftp
• https://www.digitalocean.com/community/tutorials/how-to-configure-proftpd-to-use-sftp-instead-of-ftp : généralités pas inutiles (désactiver le sftp de sshd !)
• http://trucsetastucesinformatique.blogspot.fr/2013/02/serveur-ftp-proftpd-avec-gestion-mysql.html : assez complet (manque désactiver shell  + qq petite choses ...)
  (Je me suis contenté de créer une base ftpusers parce que j'ai décidé de fixer uid et gid à une valeur fixe.)

g.sommer

M'ouai je vais en virtualiser un je pense ;) après on a pas beaucoup de poste donc pas besoin d'ocs ou de supervision :)