Parametrer PfSense 2.0 pour Serveur FTP IIS7



  • Bonjour,

    Sur mon réseau local en 192.168.1.0, j'ai paramétrer un serveur ftp avec IIS 7 sous Win2008 (afin d'utiliser la base ActiveDirectory).

    Mon serveur est en 192.168.1.40 , Mon IP Publique est 36.58.63.200 (vous inquietez pas c'est une fausse ip par sécurité que j'ai indiqué là)

    Mon problème est le suivant : lorsque je tente une connexion depuis l'exterieur , ca se connecte mais ça bloque pour faire afficher l'arborescence on dirait. Je sens trop qu'il y a une petite modif à faire dans pfsense et une histoire de passif/active. Le seul truc, il faudrait que ca marche par défaut avec l'explorateur Windows.

    En Réseau local ca fonctionne très bien.

    Voici toutes les infos récoltés si ca peut vous aider svp :

    –---------> Firewall > Virtuals IP > Edit <-------------------


    Virtual IP Address|Type|Description

    36.58.63.200/32  |PARP|IPWAN200

    Type "Proxy ARP"

    Interface "WAN"

    IP Address Type Single Address
    ---------- Address 36.58.63.200/32
    VirtualIP Password (RIEN MIS)
    VHID 1
    Advertising Frequency

    Description IPWAN200

    -----------> Firewall > Aliases

    Liste des Objets :
    -> HTTP_HTTPS = 80,443
    -> Serveurs_Control = plusieurs IP dont 192.168.1.40
    -> PortsServeursAD = 80,443,53,25,389

    -----------> Firewall > NAT <-------------------


    |IF    |PROTO  |Src.Addr|Srv.Ports|Dest.Addr    |Dest.Ports|NAT IP         |NAT Ports   |Descript. |

    |WAN|TCP/UDP|*          |*       |36.58.63.200|21 (FTP)  |192.168.1.40|21 (FTP)    |ServeurFTP|

    EN DETAILS

    Disabled (NON COCHE) Disable this rule

    No RDR (NOT) (NON COCHÉ) Enabling this option will disable redirection for traffic matching this rule.

    Interface         "WAN" Choose which interface this rule applies to.

    Protocol     "TCP/UDP" Choose which IP protocol this rule should match.

    Source       Advanced (RIEN MIS) Show source address and port range

    Destination        (NON COCHE) not
    ----------- Type Adresse IP PUBLIQUE 36.58.63.200
    Address x / x (RIEN MIS)

    Destination port range from "FTP"
    ---------------------- to "FTP"  
    Redirect target IP "192.168.1.40"

    Redirect target port "FTP"

    Description ServeurFTP

    No XMLRPC Sync (NON COCHÉ)

    NAT reflection "ENABLE"

    Filter rule association "PASS"

    -----------> Firewall > Rules > LAN <-------------------


    |ID|PROTO  |Source   |Port   |Destination|Ports      |Gateway |Queue|Schedule|Descript°


    Vert |  |*          |*                    |* |LAN Address|80,443        |*       |none |        |Anti-Lockout Rule

    Vert |  |TCP/UDP|Serveurs_Control|* |*               |PortsServAD|*       |none |        |

    Rouge|  |*        |*                     |* |*               |*               |*       |none |        |Block All

    Merci d'avance :)



  • Mon IP Publique est 36.58.63.200

    C'est la seule ou avez vous un range d'ip ?



  • j'en ai d'autres mais je souhaite utiliser celle là.

    la connexion ftp s'établie mais erreur de type (copier-coller par filezilla client)

    je suis sur qu'il manque quelque chose….mais quoi...

    "
    Statut : Connexion à 36.58.63.200:21...
    Statut : Connexion établie, attente du message d'accueil...
    Réponse : 220 Microsoft FTP Service
    Commande : USER pierre.durand
    Réponse : 331 Password required for pierre.durand.
    Commande : PASS *********
    Réponse : 230 User logged in.
    Commande : SYST
    Réponse : 215 Windows_NT
    Commande : FEAT
    Réponse : 211-Extended features supported:
    Réponse : LANG EN*
    Réponse : UTF8
    Réponse : AUTH TLS;TLS-C;SSL;TLS-P;
    Réponse : PBSZ
    Réponse : PROT C;P;
    Réponse : CCC
    Réponse : HOST
    Réponse : SIZE
    Réponse : MDTM
    Réponse : REST STREAM
    Réponse : 211 END
    Commande : OPTS UTF8 ON
    Réponse : 200 OPTS UTF8 command successful - UTF8 encoding now ON.
    Statut : Connecté
    Statut : Récupération du contenu du dossier...
    Commande : PWD
    Réponse : 257 "/" is current directory.
    Commande : TYPE I
    Réponse : 200 Type set to I.
    Commande : PASV
    Réponse : 227 Entering Passive Mode (36,58,63,200,199,117)
    Commande : LIST
    Réponse : 150 Opening BINARY mode data connection.
    Erreur : Délai d'attente expiré
    Erreur : Impossible de récupérer le contenu du dossier
    "



  • arf je sais plus quoi faire

    Ca parle de creer un(e) CARP mais je ne comprends pas ce que c'est…

    Je pense avoir tout fait la rangée de port 5000-5100..port 20+21 tout ça en NAT + Rules autorisé sur le serveur pour ces mêmes port....

    et toujours ce timeout



  • @nc13160:

    arf je sais plus quoi faire

    Ca parle de creer un(e) CARP mais je ne comprends pas ce que c'est…

    Je pense avoir tout fait la rangée de port 5000-5100..port 20+21 tout ça en NAT + Rules autorisé sur le serveur pour ces mêmes port....

    et toujours ce timeout

    Il n'est pas nécessaire d'avoir une CARP pour faire fonctionner un FTP en mode passif. Vous devez:
    1. forcer votre serveur FTP à utiliser un range de port (5000-5100 dans votre cas);
    2. Créer des redirections dans le NAT pour ce range de port plus le port 21 à destination de votre serveur FTP;
    3. Créer des règles de filtrage si vous ne cochez pas la case de création automatique des règles.

    Je l'ai fait chez moi en 15 minutes l'autre jour.



  • ca a fonctionné du moment que j'ai mis ma rangée passive en UDP au lieu de TCP

    Merci quand même à tous



  • FTP sur UDP, peu probable !! Ca vient d'ailleurs !

    Le port 20 ne devrait jamais être naté en entrée,c'est qu'on ne connait pas le fonctionnement du protocol !

    -> En entrée on NAT et autorise port 21 et range ports passifs
    -> En sortie on autorise le serveur à sortir avec en port source le 20 et en destination 1024-65535.

    Pour rappel, en FTP, le client se connecte au serveur sur le port 21, c'est le canal de commandes, puis il y a deux modes possibles pour la transmission de données:

    • actif : c'est le serveur qui établi le canal de données en direction du client, avec une connexion TCP émise de son port 20 (si respect RFC) en direction du client sur un port > 1024
    • passif : c'est le client qui établi le canal de données en direction du serveur, avec une connexion TCP émise d'un port > 1024 en direction d'un port du serveur > 1024 ( dans la fameuse range passive)

    Attention en mode passif, le serveur indique au client l'IP et le Port sur lequel il doit se connecter avec la commande PORT, si le serveur est en IP privée derrière un NAT, il faut lui renseigner un parametre pour qu'il connaisse l'IP publique sur laquelle il est publié, avec d'utiliser celle-ci dans les commandes PORT et non son IP privée….

    FTP c'est archaïque mais bon, toujours utilisé...

    Un serveur devrait savoir travailler dans les deux modes pour être sûr de servir n'importe quel client.
    Maintenant sur Internet, à cause du NAT (eh oui peu de clients sont en IP publique directe avec ports ouverts), la plupart des clients passent en passifs.
    Dans le cas d'une connexion active, il faut que le modem/routeur/firewall du client possède un ftp helper pour recevoir et accepter la demande de connexion de données en provenance du serveur (port 20 en source !)


Locked