Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Parametrer PfSense 2.0 pour Serveur FTP IIS7

    Scheduled Pinned Locked Moved Français
    7 Posts 4 Posters 4.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nc13160
      last edited by

      Bonjour,

      Sur mon réseau local en 192.168.1.0, j'ai paramétrer un serveur ftp avec IIS 7 sous Win2008 (afin d'utiliser la base ActiveDirectory).

      Mon serveur est en 192.168.1.40 , Mon IP Publique est 36.58.63.200 (vous inquietez pas c'est une fausse ip par sécurité que j'ai indiqué là)

      Mon problème est le suivant : lorsque je tente une connexion depuis l'exterieur , ca se connecte mais ça bloque pour faire afficher l'arborescence on dirait. Je sens trop qu'il y a une petite modif à faire dans pfsense et une histoire de passif/active. Le seul truc, il faudrait que ca marche par défaut avec l'explorateur Windows.

      En Réseau local ca fonctionne très bien.

      Voici toutes les infos récoltés si ca peut vous aider svp :

      –---------> Firewall > Virtuals IP > Edit <-------------------


      Virtual IP Address|Type|Description

      36.58.63.200/32  |PARP|IPWAN200

      Type "Proxy ARP"

      Interface "WAN"

      IP Address Type Single Address
      ---------- Address 36.58.63.200/32
      VirtualIP Password (RIEN MIS)
      VHID 1
      Advertising Frequency

      Description IPWAN200

      -----------> Firewall > Aliases

      Liste des Objets :
      -> HTTP_HTTPS = 80,443
      -> Serveurs_Control = plusieurs IP dont 192.168.1.40
      -> PortsServeursAD = 80,443,53,25,389

      -----------> Firewall > NAT <-------------------


      |IF    |PROTO  |Src.Addr|Srv.Ports|Dest.Addr    |Dest.Ports|NAT IP         |NAT Ports   |Descript. |

      |WAN|TCP/UDP|*          |*       |36.58.63.200|21 (FTP)  |192.168.1.40|21 (FTP)    |ServeurFTP|

      EN DETAILS

      Disabled (NON COCHE) Disable this rule

      No RDR (NOT) (NON COCHÉ) Enabling this option will disable redirection for traffic matching this rule.

      Interface         "WAN" Choose which interface this rule applies to.

      Protocol     "TCP/UDP" Choose which IP protocol this rule should match.

      Source       Advanced (RIEN MIS) Show source address and port range

      Destination        (NON COCHE) not
      ----------- Type Adresse IP PUBLIQUE 36.58.63.200
      Address x / x (RIEN MIS)

      Destination port range from "FTP"
      ---------------------- to "FTP"  
      Redirect target IP "192.168.1.40"

      Redirect target port "FTP"

      Description ServeurFTP

      No XMLRPC Sync (NON COCHÉ)

      NAT reflection "ENABLE"

      Filter rule association "PASS"

      -----------> Firewall > Rules > LAN <-------------------


      |ID|PROTO  |Source   |Port   |Destination|Ports      |Gateway |Queue|Schedule|Descript°


      Vert |  |*          |*                    |* |LAN Address|80,443        |*       |none |        |Anti-Lockout Rule

      Vert |  |TCP/UDP|Serveurs_Control|* |*               |PortsServAD|*       |none |        |

      Rouge|  |*        |*                     |* |*               |*               |*       |none |        |Block All

      Merci d'avance :)

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Mon IP Publique est 36.58.63.200

        C'est la seule ou avez vous un range d'ip ?

        1 Reply Last reply Reply Quote 0
        • N
          nc13160
          last edited by

          j'en ai d'autres mais je souhaite utiliser celle là.

          la connexion ftp s'établie mais erreur de type (copier-coller par filezilla client)

          je suis sur qu'il manque quelque chose….mais quoi...

          "
          Statut : Connexion à 36.58.63.200:21...
          Statut : Connexion établie, attente du message d'accueil...
          Réponse : 220 Microsoft FTP Service
          Commande : USER pierre.durand
          Réponse : 331 Password required for pierre.durand.
          Commande : PASS *********
          Réponse : 230 User logged in.
          Commande : SYST
          Réponse : 215 Windows_NT
          Commande : FEAT
          Réponse : 211-Extended features supported:
          Réponse : LANG EN*
          Réponse : UTF8
          Réponse : AUTH TLS;TLS-C;SSL;TLS-P;
          Réponse : PBSZ
          Réponse : PROT C;P;
          Réponse : CCC
          Réponse : HOST
          Réponse : SIZE
          Réponse : MDTM
          Réponse : REST STREAM
          Réponse : 211 END
          Commande : OPTS UTF8 ON
          Réponse : 200 OPTS UTF8 command successful - UTF8 encoding now ON.
          Statut : Connecté
          Statut : Récupération du contenu du dossier...
          Commande : PWD
          Réponse : 257 "/" is current directory.
          Commande : TYPE I
          Réponse : 200 Type set to I.
          Commande : PASV
          Réponse : 227 Entering Passive Mode (36,58,63,200,199,117)
          Commande : LIST
          Réponse : 150 Opening BINARY mode data connection.
          Erreur : Délai d'attente expiré
          Erreur : Impossible de récupérer le contenu du dossier
          "

          1 Reply Last reply Reply Quote 0
          • N
            nc13160
            last edited by

            arf je sais plus quoi faire

            Ca parle de creer un(e) CARP mais je ne comprends pas ce que c'est…

            Je pense avoir tout fait la rangée de port 5000-5100..port 20+21 tout ça en NAT + Rules autorisé sur le serveur pour ces mêmes port....

            et toujours ce timeout

            1 Reply Last reply Reply Quote 0
            • P
              psylo
              last edited by

              @nc13160:

              arf je sais plus quoi faire

              Ca parle de creer un(e) CARP mais je ne comprends pas ce que c'est…

              Je pense avoir tout fait la rangée de port 5000-5100..port 20+21 tout ça en NAT + Rules autorisé sur le serveur pour ces mêmes port....

              et toujours ce timeout

              Il n'est pas nécessaire d'avoir une CARP pour faire fonctionner un FTP en mode passif. Vous devez:
              1. forcer votre serveur FTP à utiliser un range de port (5000-5100 dans votre cas);
              2. Créer des redirections dans le NAT pour ce range de port plus le port 21 à destination de votre serveur FTP;
              3. Créer des règles de filtrage si vous ne cochez pas la case de création automatique des règles.

              Je l'ai fait chez moi en 15 minutes l'autre jour.

              1 Reply Last reply Reply Quote 0
              • N
                nc13160
                last edited by

                ca a fonctionné du moment que j'ai mis ma rangée passive en UDP au lieu de TCP

                Merci quand même à tous

                1 Reply Last reply Reply Quote 0
                • J
                  Juve
                  last edited by

                  FTP sur UDP, peu probable !! Ca vient d'ailleurs !

                  Le port 20 ne devrait jamais être naté en entrée,c'est qu'on ne connait pas le fonctionnement du protocol !

                  -> En entrée on NAT et autorise port 21 et range ports passifs
                  -> En sortie on autorise le serveur à sortir avec en port source le 20 et en destination 1024-65535.

                  Pour rappel, en FTP, le client se connecte au serveur sur le port 21, c'est le canal de commandes, puis il y a deux modes possibles pour la transmission de données:

                  • actif : c'est le serveur qui établi le canal de données en direction du client, avec une connexion TCP émise de son port 20 (si respect RFC) en direction du client sur un port > 1024
                  • passif : c'est le client qui établi le canal de données en direction du serveur, avec une connexion TCP émise d'un port > 1024 en direction d'un port du serveur > 1024 ( dans la fameuse range passive)

                  Attention en mode passif, le serveur indique au client l'IP et le Port sur lequel il doit se connecter avec la commande PORT, si le serveur est en IP privée derrière un NAT, il faut lui renseigner un parametre pour qu'il connaisse l'IP publique sur laquelle il est publié, avec d'utiliser celle-ci dans les commandes PORT et non son IP privée….

                  FTP c'est archaïque mais bon, toujours utilisé...

                  Un serveur devrait savoir travailler dans les deux modes pour être sûr de servir n'importe quel client.
                  Maintenant sur Internet, à cause du NAT (eh oui peu de clients sont en IP publique directe avec ports ouverts), la plupart des clients passent en passifs.
                  Dans le cas d'une connexion active, il faut que le modem/routeur/firewall du client possède un ftp helper pour recevoir et accepter la demande de connexion de données en provenance du serveur (port 20 en source !)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.