Probleme FTP avec carp
-
Bonjour,
sur un cluster pfsense en carp, je ne peut effectuer de connexion en FTP vers internet
Connexion + authentification => ok (21)
Connexion Data donc 'dir' impossible.le mesage vu sur le client est : I wont open connection to ipwan (non carp) only to ipwan (carp) !!!
Il me semble que doivent être ouverts des ports sur l'adresse IP WANCARP mais ne les connaît pas, pouvez-vous me dire ou avoir ces informations ou encore mieux me les donner.
Par avance merci
Laurent
-
bon alors j'y comprend pas grand chose mais:
avec un NAT sources any port * destination * port * => nat sur adresse carp wan => ne fonctionne pas
J'ajoute un NAT sources any port * destination * port 21 => nat sur adresse toute adresse carp wan => fonctionne
Heuuu !! je me demande ce qui va ce passer si j'ai besoin d'héberger un serveur ftp en interne avec un accès depuis le WAN
Mais car il y en a un, je ne peux plus interdire un site FTP en particulier.
Si toute fois vous avez une explication je suis preneur.
Laurent
-
Tout vient de votre niveau de compréhension de deux choses:
- le protocole FTP et ses deux mode de fonctionnement (actif/passif)
- le rôle et le fonctionnement du FTP Helper
Celui qui vous répond : " I wont open connection to ipwan (non carp) only to ipwan (carp)" c'est le FTP helper (c'est un proxy FTP transparant, gérant dynmiquement l'ouverture des ports lors de connexions de données FTP). Ce proxy tourne sur pfsense (désactivable dans la configuration des interfaces) et se voit rediriger toutes les connexion FTP vers lui via un NAT caché.
Pour le FTP en entrée aucun soucis, par defaut le ftp helper WAN est désactivé et vous gérerez les règles vous même (plage de ports passifs etc.)
Pour interdir un site ftp en particulier il suffit de mettre une regle sur la carte LAN (avant la règle autorisant le ftp) de type block ou reject a destination du serveur FTP interdit port 21. -
Et bien actif/passif c'est bon, pour ce qui est du proxy ftp qui ouvre les ports quant nécessaire pas de problème on va dire que c'est du port triggering (c'est plus simple dans ma tête).
pour ce qui est des règles et NAT autogérées par pfsense, j'avoue qu'il des choses légèrement illogiques (mais je ne comprends certainement pas tout), je m'explique:J'active le ftp-helper sur LAN + NAT sur le 21 des adresses carp pubLiques OK => les regles et NAT cachées sont bien présente et totalement fonctionnels.
(Je persiste pas de filtrage possible)
Je fait la même chose en DMZ histoire de mettre à jour les serveur en FTP et la boumpatatra, cela ne fonctionne pas.J'utilise le précieux pfctl -s nat et pfctl -s rules pour constater que les règles et NAT ne sont pas créés pour la DMZ…..
Plein de bonne volonté mais pas téméraire et surtout pas expert la matière, je vois bien qu'il faut ajouter des règles et NAT pour la DZM (pas possible en GUI a première vue) et je reste planté devant mes pfsense comme une poule devant un couteau ???
Mais je ne désespère pas, je vois bien que ce n'est pas grave, néanmoins un p'tit peut d'aide (sans trop abuser) ne serait pas de refus :'(
Laurent