Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
-
D'où tenez vous cette explication ?
Sur tous les firewalls, si il n'y a pas une translation d'adresse ou un tansfert de port ET la règle qui va avec cela ne fonctionne pas.
Dans la cas de Pfsense si vous créez votr etransfert de port, par défaut et sauf à décocher l'option, la règle nécessaire au filtrage sera automatiquement créée. -
D'où tenez vous cette explication ?
Euh je pose juste la question.
Donc la config en copie d’écran en piece jointe vous semble bonne ?
-
Oui, besoin d'udp ?
-
Bonsoir, j'ai de nouveau un peu de temps donc je reprends mes tests.
J'ai donc réussi à gérer le VNC, c'est impeccable. Il me reste 2 choses à voir, la première j'ai un petit soucis, pour reprendre rapidement mon architecture : en "local" je suis sur la plage 192.168.0.0/24 pour tous les postes client, j'ai un réseau entre le pfSense (192.168.10.10) et le WAN 1 (192.168.10.1) et un troisième entre le pfSense (192.168.20.10) et le wan 2 (192.168.20.1)
Mon problème est l'accessibilité à l'interface web des modem, si je connecte un PC directement sur le modem j'arrive à accéder à l'interface web sans problème, mais depuis le réseau 192.168.0.0/24 je n'y parviens pas. Je n'arrive pas non plus à pinguer les modem, alors qu'en direct ça fonctionne.
J'ai tenté de mettre en place des règles pour que tous les entrées (any) sur le port 80, à destination de 192.168.10.1 un oblige l'utilisation de la passerelle du WAN1 et inversement en WAN2 mais je n'y parviens pas, à chaque fois j'obtiens un message de Google Chrome "192.168.10.1 a mis trop de temps à répondre"
D'après de l'interface du pfsense, le diag / Ping à partir du LAN répond bien :
PING 192.168.10.1 (192.168.10.1) from 192.168.0.203: 56 data bytes
64 bytes from 192.168.10.1: icmp_seq=0 ttl=30 time=1.074 ms
64 bytes from 192.168.10.1: icmp_seq=1 ttl=30 time=1.108 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=30 time=1.271 ms–- 192.168.10.1 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.074/1.151/1.271/0.086 msJe suppose que je ne fais pas bien mes règles (cf fichier attaché)
Quelqu'un peut m'aiguiller ?
Manu.
-
Cette règle ne permet pas de faire du ping, lequel s'appuie sur ICMP
-
Ok mais elle devrait me permettre d’accéder à l’interface web non ?
-
probablement… ce que je veux dire, c'est que juste montrer une tranche très étroite de règle ne permet absolument pas de déterminer si celle est effective ou pas.
Si tu penses que c'est un problème de règle de FW, tu peux toujours activer le log, ce qui te diras quelle règle est appliquée pour le flux en question.
en regardant ce que tu montres ici, c'est impossible. Tout ce que je peux te dire, c'est que cette règle n'est pas utilisée puisque aucun flux n'est comptabilisé (states 0/0)
-
Ah j'avais pas compris désolé,
voici les captures des différentes règles, peut-être avez-vous besoin de plus de détails….
-
Bon ça avance, je viens de trouver en fait l'interface du modem (qui pourtant est bien en http) semble avoir besoin de plus que les ports 80 et 8080, j'ai donc ouvert sur * et ça fonctionne…. on en apprend tous les jours :-) Il me reste donc plus qu'à faire fonctionner le FTP en dual wan.... et là je crois que ça va faire l'objet d'un nouveau fil sur le forum
-
Bonjour ccnet et chris4916,
Je reviens vers vous pour mon besoin de FTP. J’ai bien noté que c’était chaud au niveau sécurité, mais malheureusement c’est souvent le seul moyen que j’ai pour travailler sur les serveurs de mes clients.
Du coup depuis 2 semaines j’ai basculé tout le monde sur le dual balancing et ça passe plutôt bien ( on a même éclaté notre forfait 4G de 200Go mais ça c’est une autre histoire :-) ) et tout est nickel sauf le FTP donc qui déconnecte régulièrement, surtout au moment des transferts et parfois dans la navigation dans l’arborescence.
La plupart des FTP sont sous pureftpd (et quelques fois en proftpd) en mode passif et sans réglages de ports particuliers.
Dans pfsense j’ai fait un réglage assez large je pense ( je mets en pièce jointe une capture des règles) en définissant un Alias de port de 21, 20000:65534, 20
Vous avez des pistes pour m’aider à régler ces déconnections?
Manu.
-
J’ai bien noté que c’était chaud au niveau sécurité, mais malheureusement c’est souvent le seul moyen que j’ai pour travailler sur les serveurs de mes clients.
Alors il faut faire évoluer les serveurs. Désinstaller ftp, telnet. Configurer ssh. Et de préférence utiliser un vpn lors de l'accès.
Dans les cas les plus défavorable ssh sera limité à un groupe d'ip prédéfinis, le login sous root en ssh distant sera interdit. On gagne à désactiver le compte root et à travailler avec sudo. On rendra nominatifs tous les comptes à privilège root.
C'est un peu de travail à mettre en place mais si vous avez des responsabilités sur les systèmes de vos clients … -
Si tu parles de clients FTP (de ton coté) qui accèdent des serveurs "sur le WAN":
- Je ne vois pas bien ce que le port 20 vient faire dans ton alias ;)
- ça ne devrait pas trop poser de problème (sauf qu'il faut ouvrir des ports)
- est-ce que les déconnexions ne sont pas dues au load balancing ?
-
FTP est rejetée par la team pfSense (et beaucoup d'autres) à cause des multiples faiblesses inhérentes à ce protocole.
FTPS n'est pas meilleur (même s'il comble la plus criante des faiblesses : le passage en clair).Un meilleur choix est SFTP; basé sur SSH.
C'est d'autant un meilleur choix que SFTP fonctionne sur les mêmes principes que FTP :- instructions simples : cd, put, get, …
- aisément scriptables (sauf sous Windows qui ne dispose pas nativement d'une commande sftp).
Enfin un client traditionnel comme FileZilla gère de la même façon SFTP et FTP.
Il est assez aisé de créer un serveur SFTP avec Proftpd avec des utilisateurs virtuels (=stockés en base MySQL).
Plutôt que 'bricoler', il suffit de prendre un peu de temps pour créer ce serveur SFTP.
Quelques liens :- https://www.digitalocean.com/community/tutorials/how-to-configure-proftpd-to-use-sftp-instead-of-ftp
- https://www.howtoforge.com/virtual-hosting-with-proftpd-and-mysql-incl-quota-on-ubuntu-14.04-lts
NB : on peut se limiter à juste la table des users ...
-
Ok, merci pour vos réponses.
Pour vous répondre à tous les 3, pour le port 20 j’avais testé au cas où mais effectivement il faut l’enlever.
Pour ce qui de le faire évoluer sur les quelques serveurs, je comprends vos remarques, sur le papier je suis d’accord, dans la vraie vie, j’ai des clients qui sont par exemple sur des mutus, je me vois mal appeler les quelques clients demain matin et leurs dire qu’il faut qu’ils migrent de serveurs s’ils veulent que je continue à travailler avec eux. Je ne sais pas pourquoi quelque chose me dit que plusieurs d’entre eux pourraient me dire… pas de problème ne vous connectez plus en FTP, mais ne vous connectez plus du tout en quoique ce soit.
Maintenant qu’il est clair que je vais pouvoir faire évoluer les quelques serveurs que j’ai pour petit à petit passer sur du sftp, mais du coup le sftp ça changera que les connexions seront comme en ssh sur le port 22 ?
Pour revenir sur les déconnexions, c’est bien quand je suis en client sur la partie LAN du firewall et que j’attaque un ftp vers les WAN. Je viens de tester sur un de mes serveurs, j’ai configuré pure-ftpd sur une plage de ports par exemple 30000 50000 (c’est un exemple, en redémarrant le serveur ftp, ça prend bien en compte le paramétrage dans le restart) et j’ai paramétré l’alias _FTP sur cette même plage et j’ai des deconnexions, par exemple si je lance le téléchargement d’un dossier avec pas mal d’images, enfin de grosses pauses d’une minute par moment ça repart et ça recoupe.
Effectivement si j’active ma règle de Failover en tête des règles je n’ai plus ces lags. Si je laisse mon loadbalancing et que je mets en plage 500 65535 j’ai plus ces lags non plus (j’ai quand même créé un alias de hosts pour filtrer sur les ip de mes principaux clients en destinataire des règles). Du coup je vais pouvoir améliorer les connexions FTP à court terme pour mon équipe mais ça ne convient qu’à moitié car la plage est bien plus large qu’elle n’est censée l’etre.
-
Très souvent les objections à la mise en œuvre d'un minimum de securité, car c'est de cela dont on parle, comme par cette expression : sur le papier. Quand il se retrouve avec son serveur chiffré par un ransomware, il y aura une " légère " variation et c'est vers vous qu'il se retournera. Voire contre vous. Prenez vos précautions, formalisez votre relatoin commerciale.
Ssh, sftp en effet port 22. -
Merci pour toutes ces infos.
-
Le service sshd, nécessaire à tout serveur Linux, xBSD, offre un accès sftp.
Donc si on créé un service sftp, par exemple avec Proftpd, naturellement on choisira un autre port …
