Configuration IIS FTP server derriere pfsense
-
Ah j'ai oublié un 'petit' détail ...
FTP est un protocole
- simple (dans son principe),
- complexe (dans son fonctionnement : mode actif/passif, ...),
- vieux,
- et parfaitement 'unsecure' (les mots de passe circule en clair !)
(le suivi de connexion 'conntrack' a besoin d'une aide 'helper' pour suivre une session FTP !)
Des raisons sérieuses pour lesquelles la team pfSense a fait, depuis quelques versions, une croix sur le protocole (en supprimant le 'helper') !
Exemple : avec un pfSense neuf (install fraiche sans avoir ajouté la moindre règle ni un package), alors que l'accès Internet est total, certains sites ftp seront ou ne seront pas accessibles, selon le mode ftp utilisé !
Et je ne parle ici que du sens interne vers externe, alors proposer pour l'extérieur un service FTP !En interne, un partage Windows est simple et facile.
Pour l'externe, un service SFTP est la sécurité (et la simplicité) qui s'impose (et certains clients FTP très standard sont aussi clients SFTP : par exemple FileZilla). (Hélas il n'est pas facile, pour un débutant, d'en créer un !) -
Inutile (?) de dire que je souscris pleinement aux deux posts qui précèdent.
-
Merci pour vos aides!
Comme je l'ai dis dans mon post de rattrapage je ne suis pas un expert réseau loin de la. J'ai récupéré cette situation, et tout changé ne me parait pas possible aux vues de mes compétences!
Si je comprends bien il me faudrait 3 firewall, un, derrière la box et 1 par sous réseau + 1 routeur Wifi sur le réseau 1 (aujourd'hui celui de la box est sur le réseau 1!).
Sinon auriez vous un moyen plus simple que SFPTP a mettre en place pour servir des fichiers a l'exterieur? -
@dtrimon2 said in Configuration IIS FTP server derriere pfsense:
J'ai récupéré cette situation, et tout changé ne me parait pas possible aux vues de mes compétences!
Certes. Mais au regard des risques encourus par l'entreprise ?
Si je comprends bien il me faudrait 3 firewall,
Non un seul bien positionné, bien configuré avec 3 interfaces réseaux pourrait fournir une architecture beaucoup plus saine. Après je n'ai aucune idée de votre besoin de sécurité d'un point de vu métier. A ce stade nous parlons plus de recettes de cuisine que de sécurité.
-
Merci encore,
Je profite de vois réponse pour essayer de voir comment améliorer les choses, même si le sujet s'éloigne du FTP.
Le besoin principal est d'avoir 2 réseaux distinct, 1 sans acces à internet , sauf 2 machine identifiées (les chefs)
et 1 réseau administratif pour la compta et le secrétariat et des postes avec acces aux mails externe! (on n'a pas de messagerie interne)
Le reseau 1 et 2 doivent être indépendant (pas ou peu de passage entre les deux)
Le changement de fournisseur et l'impossibilité de modifier la config du routeur de la box m'a amené a demander de tout router sur le firewall pour pouvoir avoir la main.
Enfin je croyais!
Mais le firewall n'a que 2 cartes réseau! Il serait donc mieux d'en avoir une 3eme dédié à l'acces avec la box!? -
Il est évident qu'il n'y a besoin que d'UN et UN SEUL firewall.
Ce firewall aura 2, 3, ou plus cartes réseaux, selon les besoins.- 1 carte réseau (WAN) vers la box, qui, en retour, renvoie tout le trafic vers l'ip WAN
- 1 carte réseau pour le LAN, voire 2 , voire 3, voire plus
Cela dépend si vous êtes capable de différencier un, deux ou trois LAN.
Le problème es réellement de différencier les postes - soit vous êtes capable de distinguer physiquement les postes des uns des autres, et vous avez 2 switchs, et vous aurez besoin de 2 cartes
- soit vous êtes capable de distinguer physiquement les postes, et vous n'avez qu'un seul switch administrable et professionnel, et vous vous lancez dans le VLAN et vous n'avez besoin que d'une carte réseau.
Objectivement, 2 switchs physiques et 2 cartes réseau LAN est plus facile, car les VLAN demande une compréhension certaine ...
-
@dtrimon2 said in Configuration IIS FTP server derriere pfsense:
Mais le firewall n'a que 2 cartes réseau! Il serait donc mieux d'en avoir une 3eme dédié à l'acces avec la box!?
Pas mieux, indispensable pour quelque chose de sain et simple.
-
merci @jdh merci @ccnet
J'ai 2 switch, et les réseaux sont déjà séparés physiquement sauf notre Windows server qui a une patte sur chaque réseau.
C'est lui qui fait DHCP pour le réseau 2!
µAvant c'était la box qui faisait DHCP pour le réseau 1, la j'imagine que seul le Pfsense doit faire DHCP pour le réseau 1, et je devrais pouvoir garder le windows server pour le reseau 2!
Je progresse grace a vous et je vais assainir tout ca, un grand merci! -
2 switchs physiques distincts est idéal. J'encourage à utiliser un code couleur pour les cordons RJ.
Concernant le DHCP, il y a plein de choix ...
Le meilleur (et la plus simple) est, sans doute, de conserver la fonction au serveur Windows et de configurer le firewall en relais dhcp (avec une nouvelle range (scope) sur le DHCP windows) : ouvrir 67-68/udp vers le serveur Windows. cf https://fr.wikipedia.org/wiki/Dynamic_Host_Configuration_ProtocolEn tout état de cause, il ne doit pas y avoir d'autres machines que le firewall à avoir une patte dans chaque réseau !
-
J'allais commenter ... mais tout est dit.
il ne doit pas y avoir d'autres machines que le firewall à avoir une patte dans chaque réseau !
J'appuie, je confirme , j'en remet une couche. C'est critique. Dans la cas contraire votre segmentation réseau n'est plus garantie (surtout avec une machine Windows!).