Blocage authentification ftp squid pfsense



  • Bonjour,

    J'administre actuellement un serveur pfsense que j'ai mit en place. Pfsense 2.1.4, j'ai installé les packages squid, squidgard, lightsquid ainsi que snort. J'utilise le mode proxy transparent. Le proxy fonctionne bien (navigation, blocage des sites interdits…) cependant je rencontre un problème pour l'accès au serveur FTP. Dans mozilla firefox dès que j'essaie d'accéder à un ftp j'obtiens:

    ERREUR

    L'URL demandé n'a pu être chargé

    Une erreur d'authentification sur un FTP a eu lieu. En tentant de charger l'URL: ftp://x.x.x.x

    Squid a envoyé la commande FTP suivante:

    PASS <yourpassword>et a recu la réponse

    Authentification incorrecte

    J'ai essayé de me connecter à plusieurs FTP distant ou notre FTP local avec ce même résultat. Ces FTP possèdent une connexion avec login/mot de passe mais j'obtiens ce message avant l'apparition de la fenêtre pour saisir le login/mot de passe. Depuis ce réseau si je désactive le proxy et passe par une autre connexion la connexion FTP fonctionne parfaitement. J'ai pas mal cherché avant de poster ce sujet, j'ai testé d'ajouter ces deux lignes dans squid.conf puis redémarrage pour tester sans succès:

    acl ftp proto FTP
    http_access allow ftp

    Bien sur le port 21 est autorisé dans mes règles de Firewall, j'ai même autoriser tous les ports vers l'adresse d'un de mes FTP externes configuré en mode passif pour voir si le blocage ne venait pas de la sans succès.

    Quelqu'un a t-il déjà rencontré ce problème?
    Merci</yourpassword>



  • (Encore un !)

    Je (nous) ne conseille pas l'utilisation de package tel Squid sur pfSense.
    Je préconise l'utilisation d'une machine dédié au proxy Squid et sa suite.

    Vous faites un mélange entre proxy, http, ftp, transparent, identification, … et, forcément, vous vous y perdez !

    Pour FTP, vous pouvez configurer votre PC en indiquant que vous passez par le proxy voulu.
    Sans cette configuration (du PC client), ce n'est pas le proxy seul qui pourra faire quoi que ce soit !

    Donc,

    • soit, vous configurez le pc client en indiquant pour FTP le proxy, et Squid aura accès au ftp sans règle particulière
    • soit, vous ne configurez pas le pc client, et une règle depuis le LAN sur ftp=21/tcp est nécessaire, et Squid ne joue aucun rôle.


  • ARff grillé par Jdh  >:( >:( :o.

    Salut salut.

    Bien que vous soyez le énième à intégrer un module comme celui là sur Pf qui peut se comprendre pour des raisons de place mais pas pour celle de la sécurité, et je rejoins en cela JDH, cela est une aberration.

    Quoi qu'il en soit que disent les log pour vous mettre sur la voie ?
    Qui fait quoi ?
    Qui va où ?
    Comment y va t il ?

    Cordialement.



  • Je viens de vérifier dans les logs du pfsense je ne trouve pas de détails concernant cette erreur dans les logs… Concernant la situation:

    Qui fait quoi?
    Qui va où?
    Comment y va t il?:

    Un poste du réseau local LAN, (Le proxy est renseigné sur chaque poste du réseau en mode transparent) fait une demande pour accéder à un ftp local ftp://192.168.x.x (je prends le cas le plus simple pour vous exposer la situation mais idem sur serveur FTP externe), la gateway renseigné sur le poste est l'interface LAN du pfsense.

    Avez-vous besoin d'autres détails?



  • Le problème vient de 'proxy transparent' : le mot est beau et magique, le béotien croit que cela s'applique à tout !

    Le 'proxy transparent'' est, en fait, une fausse bonne idée :

    • ne fonctionne que pour HTTP (d'où erreur)
    • ne fonctionne pas avec authentification (pour HTTP)

    Il est aisé de mettre en place une meilleure solution avec WPAD (autour d'un serveur proxy dédié).

    Le proxy est renseigné sur chaque poste du réseau en mode transparent

    La confusion est totale !

    Soit vous ne configurer rien comme proxy, et vous passez au travers du firewall 'proxy transparent', et le proxy ne fonctionne pas pour FTP
    Soit vous configurez le pc client, et on n'utilise pas le mode 'proxy transparent' au niveau firewall.

    Commencez par lire ce que j'écris et surtout ce qu'écrit Christian CALECA sur proxy transparent.

    NB : le firewall n'est pas impacté si vous faite du FTP sur un serveur local, sauf si vous configurer le proxy.



  • Merci pour ces posts très amicaux et le ton détendu de vos reponses jdh.

    Cependant vos explications m'ont aidés en utilisant le proxy uniquement pour le http dans firefox et pas pour le ftp j'arrive à avoir internet par le proxy et à accéder aux serveurs FTP

    Merci



  • Bonjour,

    N'oubliez pas la lecture de M. CALECA, vous y apprendrez beaucoup ^^

    https://forum.pfsense.org/index.php?topic=69908.0



  • A partir d'une certaine taille (disons 15 utilisateurs un peu actifs), ce qui est judicieux

    • un firewall pfsense

    • un proxy dédié avec Squid, SquidGuard (filtrage blacklist), et lightSquid (log d'utilisation)

    • le réglage des pc clients par WPAD : fournit le proxy à utiliser pour chaque protocole géré par Squid (http, https, ftp)

    • des règles qui autorise la sortie pour le proxy et l'interdiction pour les autres

    La contrainte sur les PC clients sera minimale : juste config auto (=détection par WPAD).
    Les PC clients fonctionneront à la fois dans le réseau de l'entreprise et ailleurs.