Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Réglages élémentaires sur ma configuration 1 Lan / 2 Wan

    Scheduled Pinned Locked Moved Français
    25 Posts 4 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      FTP est rejetée par la team pfSense (et beaucoup d'autres) à cause des multiples faiblesses inhérentes à ce protocole.
      FTPS n'est pas meilleur (même s'il comble la plus criante des faiblesses : le passage en clair).

      Un meilleur choix est SFTP; basé sur SSH.
      C'est d'autant un meilleur choix que SFTP fonctionne sur les mêmes principes que FTP :

      • instructions simples : cd, put, get, …
      • aisément scriptables (sauf sous Windows qui ne dispose pas nativement d'une commande sftp).
        Enfin un client traditionnel comme FileZilla gère de la même façon SFTP et FTP.

      Il est assez aisé de créer un serveur SFTP avec Proftpd avec des utilisateurs virtuels (=stockés en base MySQL).

      Plutôt que 'bricoler', il suffit de prendre un peu de temps pour créer ce serveur SFTP.
      Quelques liens :

      • https://www.digitalocean.com/community/tutorials/how-to-configure-proftpd-to-use-sftp-instead-of-ftp
      • https://www.howtoforge.com/virtual-hosting-with-proftpd-and-mysql-incl-quota-on-ubuntu-14.04-lts

      NB : on peut se limiter à juste la table des users ...

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • AnjouWebA
        AnjouWeb
        last edited by

        Ok, merci pour vos réponses.

        Pour vous répondre à tous les 3, pour le port 20 j’avais testé au cas où mais effectivement il faut l’enlever.

        Pour ce qui de le faire évoluer sur les quelques serveurs, je comprends vos remarques, sur le papier je suis d’accord, dans la vraie vie, j’ai des clients qui sont par exemple sur des mutus, je me vois mal appeler les quelques clients demain matin et leurs dire qu’il faut qu’ils migrent de serveurs s’ils veulent que je continue à travailler avec eux. Je ne sais pas pourquoi quelque chose me dit que plusieurs d’entre eux pourraient me dire… pas de problème ne vous connectez plus en FTP, mais ne vous connectez plus du tout en quoique ce soit.

        Maintenant qu’il est clair que je vais pouvoir faire évoluer les quelques serveurs que j’ai pour petit à petit passer sur du sftp, mais du coup le sftp ça changera que les connexions seront comme en ssh sur le port 22 ?

        Pour revenir sur les déconnexions, c’est bien quand je suis en client sur la partie LAN du firewall et que j’attaque un ftp vers les WAN. Je viens de tester sur un de mes serveurs, j’ai configuré pure-ftpd sur une plage de ports par exemple 30000 50000 (c’est un exemple, en redémarrant le serveur ftp, ça prend bien en compte le paramétrage dans le restart) et j’ai paramétré l’alias _FTP sur cette même plage et j’ai des deconnexions, par exemple si je lance le téléchargement d’un dossier avec pas mal d’images, enfin de grosses pauses d’une minute par moment ça repart et ça recoupe.

        Effectivement si j’active ma règle de Failover en tête des règles je n’ai plus ces lags. Si je laisse mon loadbalancing et que je mets en plage 500 65535 j’ai plus ces lags non plus (j’ai quand même créé un alias de hosts pour filtrer sur les ip de mes principaux clients en destinataire des règles). Du coup je vais pouvoir améliorer les connexions FTP à court terme pour mon équipe mais ça ne convient qu’à moitié car la plage est bien plus large qu’elle n’est censée l’etre.

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Très souvent les objections à la mise en œuvre d'un minimum de securité, car c'est de cela dont on parle, comme par cette expression : sur le papier. Quand il se retrouve avec son serveur chiffré par un ransomware, il y aura une " légère " variation et c'est vers vous qu'il se retournera. Voire contre vous. Prenez vos précautions, formalisez votre relatoin commerciale.
          Ssh, sftp en effet port 22.

          1 Reply Last reply Reply Quote 0
          • AnjouWebA
            AnjouWeb
            last edited by

            Merci pour toutes ces infos.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Le service sshd, nécessaire à tout serveur Linux, xBSD, offre un accès sftp.
              Donc si on créé un service sftp, par exemple avec Proftpd, naturellement on choisira un autre port …

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.