Salut,

je m'avance peut être, mais si un client FTP situé derrière ton PF tente de se connecter a un serveur en mode passif, ça ne peut effectivement pas fonctionner. en admettant que tu te connecte à un serveur FTP utilisant le port 21, tu vas donc autoriser ce port en sortie, la connexion va s'établir,  mais ensuite le serveur distant va choisir un port pour les données, et aucun moyen de savoir à l'avance dans qu'elle plage de ports il va faire son choix. donc par conséquent aucun moyen de savoir non plus ce que tu dois laisser passer au travers de PF.

En somme, soit tu laisses tout ouvert en "IN" ce qui me parait impensable d'un point de vue sécurité, soit tu utilise ftp-proxy.

enfin à mon avis.

Elrohir wrote on 06. May 2008 at 11:56:

Oui c'est possible
Je l'avais fait sur une machine (qui était le firewall) en limitant un nombre de ports ouverts via 'inetd".
Il faut obligaoirement ouvrir les ports 21/20 + un certains nombres de ports  en entrées > 1024 si tu veux travailler en passif.

j'avais quelque chose dans ce genre dans inedt.conf
Code:

ftp-proxy	 stream  tcp     nowait  proxy   /usr/libexec/ftp-proxy  ftp-proxy -m 49551 -M 51552 

et sur pf:
Edited:

Je ne sais plus si tout est complet, c'est une vieille config que j'avais archivée. J'espère que cela pourra t'aider.

Quote:


Le port 21 (sauf erreur) c'est celui utilisé pour les commandes, le 20 est ensuite utilisé pour les données, mais ça c'est justement dans le cas d'un serveur fonctionnant en mode "actif", en mode "passif" il va négocier un ports pour les données dans une plage qui à été défini par l'admin du serveur et qui peut avoir n'importe qu'elle valeur entre 1024 et 65535, le plus courant étant situé entre 49152 et 65535.

et Elrohir ne veut "justement pas" ouvrir en permanence des centaines de ports, en même temps il a raison, ensuite ftp-proxy paraît être une solution mais il est vrai qu'on ne trouve aucune doc pour l'utiliser dans ce contexte mais plutôt dans l'autre sens.

je donne ma langue.

Bonjour,

Pour FTP , c'est effectivement le Bronx..

Tu as 2 modes Passif et Actif, le plus facile à régler au niveau de PF c'est l'actif :

Port 21 en sorti vers n'importe qui avec un keep state pour la réponse.
Port 20 en entrée depuis nimporte qui (ftp-data)

21 c'est le canal de commande, 20 c'est le canal de données.

En passif c'est effectivement une négociation de port entre le client et le serveur. Personnelement je n'ai pas eu de succès avec ftp-proxy.
J'ai je n'ai jamais eu le temps d'approfondir la chose.

Vous vous prenez la tête pour rien avec le mode, actif et passif. Pour utiliser correctement FTP sur une station de travail seule, il faut tout simplement utiliser ftpsesame.

Exemple:
Code:

tcp_services="{ www, https, ftp, ssh }"

# www, https, FTP & SSH
anchor "ftpsesame/*" on $int_if
pass out $log_pass quick on $int_if proto tcp from ($int_if) to \
any port $tcp_services $tcpflags keep state 

Pour démarrer ftpsesame au démarrage, il faut modifier le fichier /etc/rc.conf.

++ 

PS: j'en ai déjà parlé dans un autre post