[RESOLU] Problème FTP client

fouc

Bonjour,

Contexte : 2.3.2-RELEASE (i386) utilisé comme pare-feu principal depuis plusieurs années

Besoin : connexion via un client FTP sur un serveur FTP d'un éditeur

Une connexion WAN et une connexion LAN

Question :
J'ai un problème de connexion sur un serveur FTP d'un éditeur en mode passif ou actif. Si je fais le test sur ma liaison avant PFSENSE, cela fonctionne. A savoir que j'ai d'autres connexions vers d'autres serveur FTP qui fonctionnent correctement.

Derrière PFSENSE, via la commande FTP sous une session DOS sur une machine dont l'IP est ouverte complétement en sortie

• la connexion est OK
• le login est OK

Ensuite, quelle que soit la commande que je lance (dir, get, …) j'ai les erreurs suivantes :

230 Login successful.
ftp> dir
500 Illegal PORT command.
425 Use PORT or PASV first.

J'ai cherché un bon moment sur le net, mais je n'ai rien trouvé. J'ai bien compris que c'est une histoire de port de retour mais je n'arrive pas le configurer sur PFSENSE

A part cela peut-être, http://www.adminreseau.net/2007/09/26/pfsense-et-acces-ftp/ mais je ne trouve pas l'option pour  Disable the userland FTP-Proxy application

Je suis creux, merci pour votre aide

jdh

Le blog de pfSense (transféré sur netgate.com) donnait (donne), à chaque montée de versions, les modifications ajoutées.

Depuis la version 2.2, l'utilisation d'un simple client FTP depuis le LAN ne fonctionne même plus, de base, du fait du retrait volontaire de 'ftp-proxy'.
(non mentionné dans 'New features and Changes')

La team pfSense considère FTP comme obsolète et insecure, ce qui n'est pas faux.

Néanmoins il y a une solution …

NB : Kaspersky Endpoint nécessite de même une config particulière ...

fouc

Bonjour,

Merci pour ta réponse.
Effectivement, il est déconseillé d'utiliser FTP mais certains éditeurs l'utilisent encore, donc …

Apparemment, il y aurait une solution, peux tu m'en dire plus, merci.

ADIINFORMATIQUE

Salut,

Il faut faire un alias avec les ports 21, 55536:55543. Moi cela fonction avec un serveur FTP sur un NAS Synology.

Bon courage.

jdh

Je ne donne pas la solution, car on la trouve assez aisément …
Comment ajouter ce qui est absent (en standard) ?

Votre solution revient à la technique 'ipchains', c'est à dire tout les ports ouverts en sortie parce que FTP change de port, et dans un mode non 'state-full' (d'iptables et pf).
Or 'ipchains' est antérieur à 'iptables', c'est à dire <2002 !
De plus, il faut s'assurer que chaque client utilisera la même série de port, ce qui n'est pas certain.

Info historique : Iptables, suivant la méthode CheckPoint, a introduit le suivi de session = mode state-full, qui simplifie grandement la rédaction de script de filtrage (pas de besoin de décrire les paquets retours).
Les plus vieux protocoles, dont FTP, avaient alors entrainés la création d'helper protocolaire facilitant l'écriture des règles. (helper ou, ici, proxy-ftp).

fouc

Merci pour vos réponses.

Pour jdh,

Même si tu ne veux pas donner la solution, peux tu orienter ma recherche ?
Tu me parles de proxy-ftp, est cela ?

Pour ADDINFORMATIQUE

Une fois l'alias créé, quelle règle dois je lui appliquer?

jdh

Très aisément : recherche google avec 3 mots clé, click sur un des liens de la première page, puis parcours et application de ce qui est proposé.

fouc

JDH, je suis venu sur ce forum car ma recherche via google est infructueuse. Apparemment, tu ne veux pas me donner la solution directement. Tu me demande de faire une recherche sur Google avec 3 mots clés. On tourne un peu en rond, surtout moi d'ailleurs …

J'ai demandé sur ce forum d’orienter ma recherche car je ne comprends pas d'où vient le problème.

Je cherche ces fameux mots clés de la recherche sur Google.

Merci d'avance aux participants de ce forum d'entraide.

jdh

3 mots clés très difficiles à trouver : pfsense ftp proxy

Franchement, je ne comprends pas !

fouc

Effectivement, quand on sait quoi chercher c'est beaucoup plus simple.
Merci à toi, cependant je pense, et c'est seulement mon avis, qu'il aurait plus rapide d'orienter ma recherche en me disant simplement de rechercher : pfense ftp proxy

jdh

J'ai donné les 3 mots clés dès … ma 1ère réponse : chaque mot a du sens et compte ...

Avec pfsense + ftp, c'est moins direct, mais le premier lien est issu de la doc pfSense et cite une autre page de la doc où le mot proxy apparait ...

Donc c'était aisément trouvable ...

olizan

Bonjour,
Vous marquez le sujet résolu mais vous ne fournissez pas la méthode. Je suis dans le même soucis. Pourriez-vous m'aider ?
Cordialement,
Oz
Malgré les recherches des mots clés et les solutions proposées, je n'arrive toujours pas à accéder à mes sites.

jdh

Suis je un martien ?

Ce n'est pas compliqué : Google + 3 mot clés = en page 1, il y a 10 liens (le premier avec 4 supplémentaires) soit 14 liens à parcourir !
l'un de ces 14 liens donne en toute lettre la solution !
(Je n'ai pas écrit qu'il fallait parcourir les 15 premières pages de liens proposés !)

Si votre efficacité personnelle est comparable à l'efficacité de la recherche, c'est inquiétant …