FTPS (Freenas) derrière PfSense



  • Bonjour,

    il y a quelque temps, je voulais mettre en place un serveur ftp sécurisé (ssl/tls) sur Freenas derrière une box pfsense mais cela c'est terminé par un échec (du moins si connexion externe (wan) vers mon réseau local (lan)) pour des raisons propre au protocole FTP et de la façon dont pfsense gère ce protocole "buggé"…

    je voulais savoir si cela avait évolué depuis (ou prochainement avec la 1.3)?

    sinon, il me reste toujours une possibilité de jouer avec le SFTP (ssh) en configurant correctement les shells coté Freenas (notamment pour éviter qu'un user ce balade partout...), quelqu'un à déjà effectuer ce genre de chose? (je pense que l'idéal serait de rediriger les utilisateurs vers un répertoire "home" avec les bonnes autorisations, car il me semble que de base en SSH tu peux naviguer partout...)

    enfin bref, quelle solution vous parrais la plus judicieuse (ftp, sftp?) et surtout pourquoi?
    en espérant avoir été suffisamment clair et précis dans ma demande, j'attends plus des retours d'expériences/conseils.

    Merci.



  • Rien n'empêche de désactiver les "ftp helper" sur la pfsense, de configurer les redirection de ports correctement et de configurer le serveur FTP final avec la bonne IP en mode passif (ip publique de la pfsense).

    Pour le SFTP, ca marche bien aussi mais plus fastidieux à mettre en place. Le mieux consiste peut ête à monter un shell script qui chroot l'utilisateur dans un environnment ultra épuré à la connexion.

    Je pense que la premiere des question serait plustot de savoir ce que tu comptes offrir comme service aux usagers. Quel est l'usage attendu ?



  • bonjour Juve

    le but est d'offrir un partage securisé entre une dizaine de personne
    criteres:

    • simple à configurer coté client (bon c'est la cas en ftps ou sftp, faut juste le bon client et 2 neurones)
    • ne pas "pourrir" la machine offrant le service (freenas dans mon cas)
    • éviter le mode passif, car problèmatique à configurer pour certains utilisateurs (eux memes derriere des pare-feux "d'entreprise")
    • ne pas saturer la bande passante, pouvoir bannir si besoin, etc (enfin toutes les petits choses que l'on peut faire avec un ftp digne de ce nom) mais je doute qu'avec sftp je puisse aller aussi loin sauf si bidouillages…

    j'avais "jouer" avec ftp helper, mais le problème est que si je le désactive, c'est moi (en tant que client) qui ne parviens plus à me connecter à certains serveur ftp, mais peut etre que ma configuration n'était pas bonne.

    je pense que ton idée de chroot de l'user est la meilleur solution (meme si le sftp n'est pas aussi "élaboré" qu'un ftp classic)
    je vais donc aller faire un tour sur google concernant le chroot/script (cela dit, si tu as un script tout fait je suis preneur :))



  • SI j'etais à ta place je partirais sur une solution de web filer pour les raisons suivantes:

    • pas de clients spécifique, IE ou Firefox suffisent
    • passent quasiement partout a part certains proxy filtrant sur les contenus ou antivirus
    • très grand nombre de fonctionnalité


  • que veux tu dire par "une solution de web filer" ?

    edit: concernant le chroot sftp sur freenas, il me faut donc rssh et suivre (adapter si besoin est) le tuto suivant http://www.trustonme.net/didactels/318.html
    m'enfin je crois pas qu'on puisse compiler de base sur freenas, c'est un autre problème de toute façon…



  • Justement le mode passif est le mode parfait pour les clients derrière des NAT… Tu déactive le ftp helper, car il n'est d'aucune utilité lorsque la communication ftp est cryptée. Tu redirige le port 21 vers ton freenas tu limite les ports data à disons 60000 à 61000 et tu les rediriges vers ton FreeNAS et tu dis à tes clients de se connecter en mode passif.



  • MageMinds a totalement raison le mode passif est justement approprié à la traversée de routeur NAT.

    Pour le "web filer" je pense à quelque chose du type webshare & co.



  • ok merci à vous, je vais prendre le temps de tester tout ca


Log in to reply