Parametrer PfSense 2.0 pour Serveur FTP IIS7
-
Bonjour,
Sur mon réseau local en 192.168.1.0, j'ai paramétrer un serveur ftp avec IIS 7 sous Win2008 (afin d'utiliser la base ActiveDirectory).
Mon serveur est en 192.168.1.40 , Mon IP Publique est 36.58.63.200 (vous inquietez pas c'est une fausse ip par sécurité que j'ai indiqué là)
Mon problème est le suivant : lorsque je tente une connexion depuis l'exterieur , ca se connecte mais ça bloque pour faire afficher l'arborescence on dirait. Je sens trop qu'il y a une petite modif à faire dans pfsense et une histoire de passif/active. Le seul truc, il faudrait que ca marche par défaut avec l'explorateur Windows.
En Réseau local ca fonctionne très bien.
Voici toutes les infos récoltés si ca peut vous aider svp :
–---------> Firewall > Virtuals IP > Edit <-------------------
Virtual IP Address|Type|Description
36.58.63.200/32 |PARP|IPWAN200
Type "Proxy ARP"
Interface "WAN"
IP Address Type Single Address
---------- Address 36.58.63.200/32
VirtualIP Password (RIEN MIS)
VHID 1
Advertising FrequencyDescription IPWAN200
-----------> Firewall > Aliases
Liste des Objets :
-> HTTP_HTTPS = 80,443
-> Serveurs_Control = plusieurs IP dont 192.168.1.40
-> PortsServeursAD = 80,443,53,25,389-----------> Firewall > NAT <-------------------
|IF |PROTO |Src.Addr|Srv.Ports|Dest.Addr |Dest.Ports|NAT IP |NAT Ports |Descript. |
|WAN|TCP/UDP|* |* |36.58.63.200|21 (FTP) |192.168.1.40|21 (FTP) |ServeurFTP|
EN DETAILS
Disabled (NON COCHE) Disable this rule
No RDR (NOT) (NON COCHÉ) Enabling this option will disable redirection for traffic matching this rule.
Interface "WAN" Choose which interface this rule applies to.
Protocol "TCP/UDP" Choose which IP protocol this rule should match.
Source Advanced (RIEN MIS) Show source address and port range
Destination (NON COCHE) not
----------- Type Adresse IP PUBLIQUE 36.58.63.200
Address x / x (RIEN MIS)Destination port range from "FTP"
---------------------- to "FTP"
Redirect target IP "192.168.1.40"Redirect target port "FTP"
Description ServeurFTP
No XMLRPC Sync (NON COCHÉ)
NAT reflection "ENABLE"
Filter rule association "PASS"
-----------> Firewall > Rules > LAN <-------------------
|ID|PROTO |Source |Port |Destination|Ports |Gateway |Queue|Schedule|Descript°
Vert | |* |* |* |LAN Address|80,443 |* |none | |Anti-Lockout Rule
Vert | |TCP/UDP|Serveurs_Control|* |* |PortsServAD|* |none | |
Rouge| |* |* |* |* |* |* |none | |Block All
Merci d'avance :)
-
Mon IP Publique est 36.58.63.200
C'est la seule ou avez vous un range d'ip ?
-
j'en ai d'autres mais je souhaite utiliser celle là.
la connexion ftp s'établie mais erreur de type (copier-coller par filezilla client)
je suis sur qu'il manque quelque chose….mais quoi...
"
Statut : Connexion à 36.58.63.200:21...
Statut : Connexion établie, attente du message d'accueil...
Réponse : 220 Microsoft FTP Service
Commande : USER pierre.durand
Réponse : 331 Password required for pierre.durand.
Commande : PASS *********
Réponse : 230 User logged in.
Commande : SYST
Réponse : 215 Windows_NT
Commande : FEAT
Réponse : 211-Extended features supported:
Réponse : LANG EN*
Réponse : UTF8
Réponse : AUTH TLS;TLS-C;SSL;TLS-P;
Réponse : PBSZ
Réponse : PROT C;P;
Réponse : CCC
Réponse : HOST
Réponse : SIZE
Réponse : MDTM
Réponse : REST STREAM
Réponse : 211 END
Commande : OPTS UTF8 ON
Réponse : 200 OPTS UTF8 command successful - UTF8 encoding now ON.
Statut : Connecté
Statut : Récupération du contenu du dossier...
Commande : PWD
Réponse : 257 "/" is current directory.
Commande : TYPE I
Réponse : 200 Type set to I.
Commande : PASV
Réponse : 227 Entering Passive Mode (36,58,63,200,199,117)
Commande : LIST
Réponse : 150 Opening BINARY mode data connection.
Erreur : Délai d'attente expiré
Erreur : Impossible de récupérer le contenu du dossier
" -
arf je sais plus quoi faire
Ca parle de creer un(e) CARP mais je ne comprends pas ce que c'est…
Je pense avoir tout fait la rangée de port 5000-5100..port 20+21 tout ça en NAT + Rules autorisé sur le serveur pour ces mêmes port....
et toujours ce timeout
-
arf je sais plus quoi faire
Ca parle de creer un(e) CARP mais je ne comprends pas ce que c'est…
Je pense avoir tout fait la rangée de port 5000-5100..port 20+21 tout ça en NAT + Rules autorisé sur le serveur pour ces mêmes port....
et toujours ce timeout
Il n'est pas nécessaire d'avoir une CARP pour faire fonctionner un FTP en mode passif. Vous devez:
1. forcer votre serveur FTP à utiliser un range de port (5000-5100 dans votre cas);
2. Créer des redirections dans le NAT pour ce range de port plus le port 21 à destination de votre serveur FTP;
3. Créer des règles de filtrage si vous ne cochez pas la case de création automatique des règles.Je l'ai fait chez moi en 15 minutes l'autre jour.
-
ca a fonctionné du moment que j'ai mis ma rangée passive en UDP au lieu de TCP
Merci quand même à tous
-
FTP sur UDP, peu probable !! Ca vient d'ailleurs !
Le port 20 ne devrait jamais être naté en entrée,c'est qu'on ne connait pas le fonctionnement du protocol !
-> En entrée on NAT et autorise port 21 et range ports passifs
-> En sortie on autorise le serveur à sortir avec en port source le 20 et en destination 1024-65535.Pour rappel, en FTP, le client se connecte au serveur sur le port 21, c'est le canal de commandes, puis il y a deux modes possibles pour la transmission de données:
- actif : c'est le serveur qui établi le canal de données en direction du client, avec une connexion TCP émise de son port 20 (si respect RFC) en direction du client sur un port > 1024
- passif : c'est le client qui établi le canal de données en direction du serveur, avec une connexion TCP émise d'un port > 1024 en direction d'un port du serveur > 1024 ( dans la fameuse range passive)
Attention en mode passif, le serveur indique au client l'IP et le Port sur lequel il doit se connecter avec la commande PORT, si le serveur est en IP privée derrière un NAT, il faut lui renseigner un parametre pour qu'il connaisse l'IP publique sur laquelle il est publié, avec d'utiliser celle-ci dans les commandes PORT et non son IP privée….
FTP c'est archaïque mais bon, toujours utilisé...
Un serveur devrait savoir travailler dans les deux modes pour être sûr de servir n'importe quel client.
Maintenant sur Internet, à cause du NAT (eh oui peu de clients sont en IP publique directe avec ports ouverts), la plupart des clients passent en passifs.
Dans le cas d'une connexion active, il faut que le modem/routeur/firewall du client possède un ftp helper pour recevoir et accepter la demande de connexion de données en provenance du serveur (port 20 en source !)