Pfsense 1.2 beta et le ftp



  • Bonjour,

    Je n'arrive pas à laisser passer le ftp du lan vers le wan au niveau de pfsense.

    Interfaces: LAN
    Ftp helper desactivé => ca sert a quoi ca?

    Firewall: Rules : LAN
    Proto  Source  Port  Destination  Port    Gateway  Schedule  Description
    TCP        LAN net          *  *            21 (FTP)  *                      lan ftp -> any

    Meme si je mets tout (*) dans la source c'est pareil.

    Merci,



  • Active le ftp helper, c'est un proxy ftp. active le sur le WAN. Y a plein de truc dessus et regarde la FAQ aussi.



  • Le FTP helper c'est pour pouvoir gerer les connexion Active.

    Ton problème ici c'est que tu n'autorise que le port 21 et ca ne suffit pas. Le FTP a besoin de plusieurs port. Il y a le port de control (envoi des commandes au serveur), c'est le port 21, puis il y a les ports pour la DATA, et là il y a deux modes:

    • mode actif: c'est le serveur qui émet une connexion depuis son port 20 en direction de ta machine sur un port supérieur a 1024. Etant donné que c'est une connexion rentrante, et que tu possède un routeur effectuant du NAT, il faut impérativement disposer d'un proxy ftp (ftphelper) fonctionnant sur la machine disposant de l'IP publique.

    • mode passif: c'est ta machine qui émet une connexion depuis un port supérieur a 1024 vers un port superieur a 1024 du serveur, ce port est négocié via la commande PASV.

    en esperant que ca aide…



  • @ngoc:

    Bonjour,

    Je n'arrive pas à laisser passer le ftp du lan vers le wan au niveau de pfsense.

    Interfaces: LAN
    Ftp helper desactivé => ca sert a quoi ca?

    Firewall: Rules : LAN
    Proto  Source  Port  Destination  Port    Gateway  Schedule  Description
    TCP        LAN net          *  *            21 (FTP)  *                      lan ftp -> any

    Meme si je mets tout (*) dans la source c'est pareil.

    Merci,

    Euh j'avais lu en travers, les regles s'appliquent sur le WAN !!



  • Bonjour,

    Interfaces: LAN
    FTP Helper : decoche (donc active)

    Firewall: Rules : LAN
    Proto  Source      Port  Destination  Port      Gateway  Schedule  Description
    TCP        *      *    *              21 (FTP)  *                          lan ftp -> any  => PASSED
    *        LAN net  *    *            *            *                          Default LAN -> any => BLOCK

    Interfaces: WAN
    FTP Helper : decoche
    Block private networks : decoche
    Block bogon networks : decoche

    Firewall: Rules : WAN
    RIEN

    Euh j'avais lu en travers, les regles s'appliquent sur le WAN !!

    Ses rules doivent etre mis cote lan pour sortir vers l'extérieur, si je les mets cote wan ca veut dire que j'aurai un serveur ftp en local et c'est pas le cas je me trompe pas?

    Ses config ne marchent pas  :-[



  • Ben en sortie ta rien à faire normalement.



  • @Juve:

    Ton problème ici c'est que tu n'autorise que le port 21 et ca ne suffit pas. Le FTP a besoin de plusieurs port. Il y a le port de control (envoi des commandes au serveur), c'est le port 21, puis il y a les ports pour la DATA, et là il y a deux modes:

    Justement que dois-je rajouter/modifier pour que cela fonctionne?
    D'habitude, on laisse juste passer le port 21 vers l'extérieur et c'est tout bon mais là c'est plus compliqué j'ai l'impression.



  • Tu bloques des ports en sortie sur ton firewall ?
    Moi j'ai par defaut la regle :
    LAN=>Any
    Ce qui fait que pour le ftp je n'ai rien à faire.



  • @fouinix:

    Tu bloques des ports en sortie sur ton firewall ?
    Moi j'ai par defaut la regle :
    LAN=>Any
    Ce qui fait que pour le ftp je n'ai rien à faire.

    Je laisse seulement sortir les ports dont j'ai besoin en 1er puis je bloque tout le reste.Ca c'est du pro  :P

    Ceci étant j'ai pas le ftp encore  :-[



  • Ah ouai, ben la je pense qu'il faut activer le ftp helper sur le LAN.



  • @fouinix:

    Ah ouai, ben la je pense qu'il faut activer le ftp helper sur le LAN.

    Oui le ftp helper est decoché coté lan mais j'ai toujours pas le ftp  :-\

    Si par contre, je retire le filtre par defaut qui est de bloquer tout, ca marche mais dans ce cas les filtres autorisés (http,pop3 etc) ne serviraient plus a rien et le firewall n'a plus lieu d'etre.



  • regarde les ports utilisés lors d'une transaction ftp ;)



  • Euh comment on fait?  :P



  • erf si tu ne connais même pas ce genre d'opération tu devrais retenir un routeur beaucoup plus simple sinon tu vas galérer ….
    Regarde du coté de wireshark.



  • @fouinix:

    erf si tu ne connais même pas ce genre d'opération tu devrais retenir un routeur beaucoup plus simple sinon tu vas galérer ….
    Regarde du coté de wireshark.

    Tu parlais de sniffer la machine qui essaie de faire du ftp vers l'exterieur.
    Je n'avais pas compris comme ca.

    Il n'y a pas personne qui puisse me montrer une de leurs config?



  • re

    Bon j'ai remplacé ma ligne ftp (21) en mettant de 1024 à 65535 pour les ports ouverst en tcp et ca passe.

    Je vais rester comme ca pour l'instant.



  • @Juve:

    Le FTP helper c'est pour pouvoir gerer les connexion Active.

    Ton problème ici c'est que tu n'autorise que le port 21 et ca ne suffit pas. Le FTP a besoin de plusieurs port. Il y a le port de control (envoi des commandes au serveur), c'est le port 21, puis il y a les ports pour la DATA, et là il y a deux modes:

    Bonjour,

    Normalement, mon filtre est juste:
    Firewall: Rules : LAN
    Proto    Source      Port    Destination    Port          Gateway    Schedule    Description
    TCP          *          *        *                21 (FTP)      *                                lan ftp -> any  => PASSED

    C a d que que le ftp est sur le protocol tcp, que le port source est sur "tout" et qu'il sort sur le port 21 vers l'extérieur.

    Je ne sais donc pas pourquoi il y a un probleme…

    Estce que qqun peut faire le test en mettant ce flitre PASSED puis tout le reste BLOQUED et qu'il me dise qu'il y a que le ftp qui va vers l'extérieur.



  • T'arrives pas à voir dans les log la règle qui bloque les paquets en sortie ?



  • Re,

    Bon il semblerait que c'est le filtre que j'ai crée (bloquer tout) qui fait defaut.

    D'apres mes tests:

    Quand il n'y a pas de filtres du tout sur le lan => http,pop3,smtp,ssh etc ne passent pas….mis à part ftp qui passe ??? ???
    Pfsense a comme filtre par defaut (invisible sur l'interface) de tout bloquer au niveau du lan (fallait le savoir).

    Donc en résumé:

    • Je crée mes filtres pour faire sortir vers le wan ce que je veux (http, pop3 etc),

    • je ne crée pas de filtre pour le ftp vu que pfsense laisse passer avec son filtre "invisible"

    • puis ce dernier bloquera le reste.

    Concernant ftp, je sais pas si c'ets un bug de la beta ou pas.

    Je vais essayer de voir ce que pfsense bloque comme port de sortie.

    Merci à tous



  • Re,

    Bon j'ai le meme probleme sur mon wlan avec le ftp. Le filtre "invisible" bloque maintenant (correctement?) le ftp et meme si je crée un filtre tcp,,,,ftp, eh bien ca ne marche pas…

    Note: Mon wlan est bridgé avec le lan.

    ...



  • Honnetement, si tu relis ce que j'ai écrit et que tu fais doucement tu t'en sortira. Il n'y a aucun Bug, promis ;-).

    Bon courage.



  • J'ai eu le meme probleme. Je l'ai regle en activant FTP Helper sur le LAN puis en autorisant tout le lan à 127.0.0.1 port TCP de 8000 à 8021 et une deuxieme regle tout le lan vers le wan port 1024 à 65535
    C'est pas super propre mais ça tourne.

    Bertrand



  • bonjour, qq1 pourrait 'il m'expliquer comment faire une regle nat pour pouvoir refaire du ftp sur la beta?
    Quand je dis faire du ftp c'est utiliser un client sur un pc de mon local vers des serveurs sur le web.
    Dans le tuto que j'ai utilisé sur le wiki pour faire du double wan ils précisent bien qu'il faut pas activer le ftp helper donc si je le fais ma balance ne va elle pas s'efondrer?



  • Le FTP Helper ne sert qu'à faire fonctionner le FTP en mode ACTIF, ce mode est de moins en moins utilisé, a peu près tous les serveurs FTP supportent le mode passif et c'est plus simple pour les utilisateurs qui de plus en plus ont des firewall et de la NAT…

    Une communication FTP en mode PASSIF se fait comme suit ...

    Votre PC se connecte au serveur port 21:
    LAN port source >1024 ->vers-> WAN port destination 21

    C'est simple à configurer car la connexion est toujours sur le même port 21, là où ça se corse c'est lorsque le mode passif embarque

    Votre PC envoie la commande PASV, le serveur retourne un numéro de port sur lequel se connecter:
    LAN port source >1024 ->vers-> WAN port destination >1024

    Le port ftp-data en mode passif est différent d'un serveur à l'autre et qu'une session à l'autre et même d'un fichier à l'autre dans une même session... Ces ports sont généralement >1024 c'est pourquoi vous devez laisser sortir toute communication sur les port >1024 à partir de votre LAN vers le WAN

    Pour rester dans l'optique du contrôle se sortie des connexion, il faudrais que le firewall s'ajuste lui même et qu'il ajoute des règles automatiquement; lorsque qu'il détecte une connexion du LAN port >1024 -> WAN port =21 il ajoute une règle qui dit LAN port >1024 -> WAN ip <serveur>port >1024

    Peut-être que c'est possible de le faire en utilisant le conntrack, mais je ne suis pas certain, et je ne crois pas que l'on puisse créer des règles qui controlent les states avec pfSense.</serveur>



  • Depuis que pfsense utilise pftpx en tant que ftp helper, les connexion actives et passives sont gérées par le ftphelper. Plus besoin d'ouvrir les ports supérieurs à 1024. autorisez juste le 21 et activez le FTP helper sur la carte LAN, pftpx se chargera des connexions data comme un grand et votre réseau sera toujours sécurisé en sortie.



  • Mais oubliez tout de suite la possibilité de faire du FTPS ou si vous préféres FTP TLS/SSL, le FTP Helper deviens dingue quand il vois ça … En fait rien ne fonctionne après le AUTH TLS... Mais pour un serveur FTP ça devrais aller, tant qu'il ne fait pas de cryptage.



  • @Juve:

    Depuis que pfsense utilise pftpx en tant que ftp helper, les connexion actives et passives sont gérées par le ftphelper. Plus besoin d'ouvrir les ports supérieurs à 1024. autorisez juste le 21 et activez le FTP helper sur la carte LAN, pftpx se chargera des connexions data comme un grand et votre réseau sera toujours sécurisé en sortie.

    Bonjour,

    Tout d'abord, Bonne année à toutes(yen a ici? ^^) et à tous.

    Sinon Juve, je vois qu'avec la version beta RC2? que j'ai utilisé, c'était pas tout à fait au point?

    Il y a plusieurs niveau de pare feu…la meilleur qui existe étant les pare feu en statefull qui laisse passer un paquet en fonction des autres. Donc si il y a eu deja une connexion, le pare feu laisse passer les autres paquets de cette meme connexion (sur des ports differents).

    En tout cas, je suis de près l'évolution de cette appli mais à l'heure actuelle, je ne l'ai pas encore implémenté en production...



  • J'ai plusieurs dizaine de pfsense en production, dont certaines avec 10 000 utilisateurs derrière, de la fibre,de l'adsl, du sdsl, du multi-wan (jusqu' a 6). Tout fonctionne bien pour moi. Il est vrai que je modifie quelque fois le code pour arriver à mes fins….
    Pfsense a de l'avenir ;-) c'est certain.



  • Salut,

    j'utilise la 1.2 RC3, avec load-balancing sur 2 ADSL, et je n'arrivais pas à télécharger en FTP à partir de mon réseau local, j'ai juste désactiver le FTP helper sur le LAN et tout est rentré dans l'ordre.


Log in to reply