Userland FTP-Proxy ?



  • Bonjour

    J'ai un soucis concernant le FTP.
    Je ne peut pas faire de FTP au travers du Pfsense. J'arrive à me logguer mais je ne peut pas faire de Ls ou GET. J'ai ouvert les ports 21 et 20 du Lan vers le Wan.
    Par contre j'ai l'option Disable userland FTP-Proxy de cochée sur les deux interfaces.
    Je ne sais pas à quoi cela sert.

    Merci si quelqu'un ou quelqu'une avait une explication à me fournir.

    Bertrand



  • Fais des recherches, y a plein de posts la dessus ;)



  • Le 20 du lan vers WAN ca sert à rien à part si tu as un serveur FTP et que c'est le port source…. Il faut chercher sur le forum tout est expliqué.



  • Bonjour



  • RE bonjour

    Désolé pour le problème de saisie…

    J'ai réussi (enfin nous avons mes collègues et moi) à faire marcher le FTP en activant le FTP Helper sur l'interface interne du PFSENSE et en activant les règles suivantes :

    Proto  Source  Port            Destination                  Port
    TCP          *            *              127.0.0.1                8000-8021
    TCP          *            *                    *                        1024-65535

    La dernière règle ne me plait pas. En effet, nos PFSENSE ont 6 interfaces. L'interface interne est la passerelle d'un VPN de 62 sites. Une des interfaces est celle de nos machines de production. Avec la dernière règle on autorise le 'bricolage' sur toutes les interfaces.

    Pourquoi doit on ouvrir cette règle (sinon pas de FTP possible)?
    Y a t il une autre méthode pour autoriser le FTP au travers d'un PFSENSE?

    Merci

    Bertrand



  • Ce que tu autorise ici c'est le FTP en mode PASSIF. Si tu ne veux pas de règle autorisant le lan vers la WAN sur tous les ports supérieur à 1024 (highports), tu as deux solutions:

    • mettre en place un proxy HTTP/FTP dans ton LAN (squid, ISA, ce que tu veux….) C'est la meilleur solution car seule cette machine pourra sortir en highports et tu as un control des accès.
    • activer le ftpHelper et ne faire que du ftp actif, donc la pfsense sera relais de la connexion....seulement sur Internet de moins en moins de serveur autorise l'actif....

    Bonne chance.



  • Bonjour

    Merci pour ton aide.
    La solution proxy me va bien.

    A bientot !!

    Bertrand


Log in to reply