[FreeBSD] IPFilter et serveur FTP
Le
Vincent Hiribarren
Bonjour à tous,
j'ai un problème pour gérer un serveur FTP anonyme Internet sur ma
machine.
Mon système est FreeBSD 5.4, et j'utilise comme parefeu IPFilter. En
faisant des tests avec une autre personne et avec un analyseur
réseau, j'ai situé le problème comme étant le suivant : je règle mal
la possibilité de faire du FTP passif, l'actif semblant bien
marcher.
J'utilise le serveur ftp de FreeBSD, mais je rencontre les mêmes
problèmes avec le serveur proftpd - ce qui me fait dire que mon
problème ne vient pas d'une mauvaise utilisation ou configuration du
daemon ftp, mais que ce serait plutôt à cause de mon parefeu.
Mon interface Internet est vr0.
Dans mon fichier de configuration ipfilter, j'ai bien :
pass in quick on vr0 proto tcp from any to any port = 20 flags S keep state
pass in quick on vr0 proto tcp from any to any port = 21 flags S keep state
La règle sur le port 20 ne me semble pas nécessaire, car j'ai aussi
plus bas :
pass out quick on vr0 proto tcp from any to any keep state
Pour le reste, c'est du genre : je bloque toute les connexions
entrantes de base, sauf pour des services spécifiques.
Aucune plage de ports particulière d'ouverte.
Dans celui d'ipnat, je n'ai que deux règles :
map vr0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp
map vr0 192.168.0.0/24 -> 0/32
la deuxième règle est là car j'ai une machine interne natée.
J'ai l'impression que je gère mal la règle proxy ftp. Ou alors je ne
la comprends pas. Je précise avoir bien potassé le handbook, et j'ai
même parcouru les exemples de /usr/share/examples/ipfilter
Au cas où, j'ai aussi essayé des variantes :
map vr0 0/0 -> 0/32 proxy port 21 ftp/tcp
map vr0 0.0.0.0/0 -> mon_adresse_ip/32 proxy port 21 ftp/tcp
Des idées sur ce qui pourrait ne pas aller ? Normalement la règle ftp
proxy est là pour m'éviter d'avoir à ouvrir une plage de ports sur le
pare-feu pour le ftp passif, c'est bien ça ?
Merci d'avance pour vos suggestions.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/
Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
j'ai un problème pour gérer un serveur FTP anonyme Internet sur ma
machine.
Mon système est FreeBSD 5.4, et j'utilise comme parefeu IPFilter. En
faisant des tests avec une autre personne et avec un analyseur
réseau, j'ai situé le problème comme étant le suivant : je règle mal
la possibilité de faire du FTP passif, l'actif semblant bien
marcher.
J'utilise le serveur ftp de FreeBSD, mais je rencontre les mêmes
problèmes avec le serveur proftpd - ce qui me fait dire que mon
problème ne vient pas d'une mauvaise utilisation ou configuration du
daemon ftp, mais que ce serait plutôt à cause de mon parefeu.
Mon interface Internet est vr0.
Dans mon fichier de configuration ipfilter, j'ai bien :
pass in quick on vr0 proto tcp from any to any port = 20 flags S keep state
pass in quick on vr0 proto tcp from any to any port = 21 flags S keep state
La règle sur le port 20 ne me semble pas nécessaire, car j'ai aussi
plus bas :
pass out quick on vr0 proto tcp from any to any keep state
Pour le reste, c'est du genre : je bloque toute les connexions
entrantes de base, sauf pour des services spécifiques.
Aucune plage de ports particulière d'ouverte.
Dans celui d'ipnat, je n'ai que deux règles :
map vr0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp
map vr0 192.168.0.0/24 -> 0/32
la deuxième règle est là car j'ai une machine interne natée.
J'ai l'impression que je gère mal la règle proxy ftp. Ou alors je ne
la comprends pas. Je précise avoir bien potassé le handbook, et j'ai
même parcouru les exemples de /usr/share/examples/ipfilter
Au cas où, j'ai aussi essayé des variantes :
map vr0 0/0 -> 0/32 proxy port 21 ftp/tcp
map vr0 0.0.0.0/0 -> mon_adresse_ip/32 proxy port 21 ftp/tcp
Des idées sur ce qui pourrait ne pas aller ? Normalement la règle ftp
proxy est là pour m'éviter d'avoir à ouvrir une plage de ports sur le
pare-feu pour le ftp passif, c'est bien ça ?
Merci d'avance pour vos suggestions.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/
Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
Poser une question
Grmbl. C'est vraiment dommage. Il y a moyen de faire mieux avec ipfw
ou pf ?
N'ouvrir que la liste des ports éphémères indiqués par l'IANA (49151 à
65535) est-il suffisant pour ftpd, et est-ce relativement correct du
point de vue sécurité ?
Ou proftpd auquel je suis plus habitué.
Merci.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet/
Un peu de zic pour se détendre ? http://julien.robinson.free.fr/
'Lut,
J'ai vu passer un truc récemment sur undeadly ou ailleurs qui causait
d'un proxy pf qui permettait de faire tourner un ftpd derrière pf avec
ouverture dynamique des ports.
Je n'ai plus le nom en tête désolé, mais je crois que c'est dispo sur
sf.net
Éric Masson
--
pardon mais je suis oblige de faire ce test ici, et pas sur fr.test
-+- L2 in www.le-gnu.net - Bien prendre les gens pour des cons -+-
ftpsesame peut-être ? C'est là : http://www.sentia.org/projects/ftpsesame
--
Serge
Rhahh merci, bookmarké le machin :)
Éric
--
je n'ai jamais repondu aux AAD car je pensais qu'on pouvais pas en tant
que personne qui propose un newgroup...
-+- A in GNU : C'est quoi un groupe de discussion d'ailleurs ? -+-
Ah oui, c'est vrai. Tu veux pas utiliser Open par hasard ? :-) Sinon
il ne te reste plus qu'à utiliser ftp-proxy(8).
--
Serge