j'ai un problème pour gérer un serveur FTP anonyme Internet sur ma
machine.
Mon système est FreeBSD 5.4, et j'utilise comme parefeu IPFilter. En
faisant des tests avec une autre personne et avec un analyseur
réseau, j'ai situé le problème comme étant le suivant : je règle mal
la possibilité de faire du FTP passif, l'actif semblant bien
marcher.
J'utilise le serveur ftp de FreeBSD, mais je rencontre les mêmes
problèmes avec le serveur proftpd - ce qui me fait dire que mon
problème ne vient pas d'une mauvaise utilisation ou configuration du
daemon ftp, mais que ce serait plutôt à cause de mon parefeu.
Mon interface Internet est vr0.
Dans mon fichier de configuration ipfilter, j'ai bien :
pass in quick on vr0 proto tcp from any to any port = 20 flags S keep state
pass in quick on vr0 proto tcp from any to any port = 21 flags S keep state
La règle sur le port 20 ne me semble pas nécessaire, car j'ai aussi
plus bas :
pass out quick on vr0 proto tcp from any to any keep state
Pour le reste, c'est du genre : je bloque toute les connexions
entrantes de base, sauf pour des services spécifiques.
Aucune plage de ports particulière d'ouverte.
... la deuxième règle est là car j'ai une machine interne natée.
J'ai l'impression que je gère mal la règle proxy ftp. Ou alors je ne
la comprends pas. Je précise avoir bien potassé le handbook, et j'ai
même parcouru les exemples de /usr/share/examples/ipfilter
Au cas où, j'ai aussi essayé des variantes :
map vr0 0/0 -> 0/32 proxy port 21 ftp/tcp
map vr0 0.0.0.0/0 -> mon_adresse_ip/32 proxy port 21 ftp/tcp
Des idées sur ce qui pourrait ne pas aller ? Normalement la règle ftp
proxy est là pour m'éviter d'avoir à ouvrir une plage de ports sur le
pare-feu pour le ftp passif, c'est bien ça ?
Merci d'avance pour vos suggestions.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/
Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent Hiribarren
Patrick Lamaizière writes:
Patrick Lamaizière écrivait :
Il faut limiter les ports du serveurs FTP (doit y avoir une option "portrange"), et ouvrir cette plage de ports dans ipfilter.
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw ou pf ?
Je n'ai pas trouvé d'option portange ou assimilée dans le ftpd de FreeBSD.
N'ouvrir que la liste des ports éphémères indiqués par l'IANA (49151 à 65535) est-il suffisant pour ftpd, et est-ce relativement correct du point de vue sécurité ?
J'utilise tnftpd que je trouve un poil plus convivial.
Ou proftpd auquel je suis plus habitué.
Merci.
-- Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/ Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
Patrick Lamaizière <adresse@est.invalid> writes:
Patrick Lamaizière écrivait :
Il faut limiter les ports du serveurs FTP (doit y avoir une option
"portrange"), et ouvrir cette plage de ports dans ipfilter.
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw
ou pf ?
Je n'ai pas trouvé d'option portange ou assimilée dans le ftpd de
FreeBSD.
N'ouvrir que la liste des ports éphémères indiqués par l'IANA (49151 à
65535) est-il suffisant pour ftpd, et est-ce relativement correct du
point de vue sécurité ?
J'utilise tnftpd que je trouve un poil plus convivial.
Ou proftpd auquel je suis plus habitué.
Merci.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/
Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
Il faut limiter les ports du serveurs FTP (doit y avoir une option "portrange"), et ouvrir cette plage de ports dans ipfilter.
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw ou pf ?
Je n'ai pas trouvé d'option portange ou assimilée dans le ftpd de FreeBSD.
N'ouvrir que la liste des ports éphémères indiqués par l'IANA (49151 à 65535) est-il suffisant pour ftpd, et est-ce relativement correct du point de vue sécurité ?
J'utilise tnftpd que je trouve un poil plus convivial.
Ou proftpd auquel je suis plus habitué.
Merci.
-- Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/ Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
Eric Masson
Vincent Hiribarren writes:
'Lut,
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw ou pf ?
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur sf.net
Éric Masson
-- pardon mais je suis oblige de faire ce test ici, et pas sur fr.test -+- L2 in www.le-gnu.net - Bien prendre les gens pour des cons -+-
Vincent Hiribarren <vynce@alea.invalid> writes:
'Lut,
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw
ou pf ?
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait
d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec
ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur
sf.net
Éric Masson
--
pardon mais je suis oblige de faire ce test ici, et pas sur fr.test
-+- L2 in www.le-gnu.net - Bien prendre les gens pour des cons -+-
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw ou pf ?
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur sf.net
Éric Masson
-- pardon mais je suis oblige de faire ce test ici, et pas sur fr.test -+- L2 in www.le-gnu.net - Bien prendre les gens pour des cons -+-
Serge Basterot
On 2005-07-16, Eric Masson wrote:
Vincent Hiribarren writes:
'Lut,
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw ou pf ?
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur sf.net
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
-- Serge
On 2005-07-16, Eric Masson <emss@free.fr> wrote:
Vincent Hiribarren <vynce@alea.invalid> writes:
'Lut,
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw
ou pf ?
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait
d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec
ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur
sf.net
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw ou pf ?
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur sf.net
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
-- Serge
Eric Masson
Serge Basterot writes:
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Rhahh merci, bookmarké le machin :)
Éric
-- je n'ai jamais repondu aux AAD car je pensais qu'on pouvais pas en tant que personne qui propose un newgroup... -+- A in GNU : C'est quoi un groupe de discussion d'ailleurs ? -+-
Serge Basterot <sergeNOSP@Mgakoz.net> writes:
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Rhahh merci, bookmarké le machin :)
Éric
--
je n'ai jamais repondu aux AAD car je pensais qu'on pouvais pas en tant
que personne qui propose un newgroup...
-+- A in GNU : C'est quoi un groupe de discussion d'ailleurs ? -+-
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Rhahh merci, bookmarké le machin :)
Éric
-- je n'ai jamais repondu aux AAD car je pensais qu'on pouvais pas en tant que personne qui propose un newgroup... -+- A in GNU : C'est quoi un groupe de discussion d'ailleurs ? -+-
Serge Basterot
On 2005-07-16, Patrick Lamaizière wrote:
Serge Basterot écrivait :
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur sf.net
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Mais c'est pour OpenBSD. Ça ne compile pas sous FreeBSD
Ah oui, c'est vrai. Tu veux pas utiliser Open par hasard ? :-) Sinon il ne te reste plus qu'à utiliser ftp-proxy(8).
-- Serge
On 2005-07-16, Patrick Lamaizière <adresse@est.invalid> wrote:
Serge Basterot écrivait :
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait
d'un proxy pf qui permettait de faire tourner un ftpd derrière pf
avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur
sf.net
ftpsesame peut-être ? C'est là :
http://www.sentia.org/projects/ftpsesame
Mais c'est pour OpenBSD. Ça ne compile pas sous FreeBSD
Ah oui, c'est vrai. Tu veux pas utiliser Open par hasard ? :-) Sinon
il ne te reste plus qu'à utiliser ftp-proxy(8).
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur sf.net
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Mais c'est pour OpenBSD. Ça ne compile pas sous FreeBSD
Ah oui, c'est vrai. Tu veux pas utiliser Open par hasard ? :-) Sinon il ne te reste plus qu'à utiliser ftp-proxy(8).
-- Serge
Serge Basterot
On 2005-07-16, Eric Masson wrote:
Serge Basterot writes:
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Rhahh merci, bookmarké le machin :)
Je mets un autre lien vers un mail récent de Camiel Dobbelaar au sujet des proxy ftp dispo sur OpenBSD. Une bonne explication de chacun (ftp-proxy traditionnel, ftpsesame et pftpx le nouveau ftp-proxy d'Open pour dans quelques temps, post 3.8 apparemment) :
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Rhahh merci, bookmarké le machin :)
Je mets un autre lien vers un mail récent de Camiel Dobbelaar au sujet
des proxy ftp dispo sur OpenBSD. Une bonne explication de chacun
(ftp-proxy traditionnel, ftpsesame et pftpx le nouveau ftp-proxy d'Open
pour dans quelques temps, post 3.8 apparemment) :
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
Rhahh merci, bookmarké le machin :)
Je mets un autre lien vers un mail récent de Camiel Dobbelaar au sujet des proxy ftp dispo sur OpenBSD. Une bonne explication de chacun (ftp-proxy traditionnel, ftpsesame et pftpx le nouveau ftp-proxy d'Open pour dans quelques temps, post 3.8 apparemment) :