FTP et TLS Résolu

Question

Bonjour,

Voila, j'ai mis en place un serveur FTP dans une DMZ, mais lorsque je veux me connecter avec l'authentification TLS, ça bloque... Je ne comprend pas vraiment pourquoi!!! TLS passe aussi par le port 21, le serveur fonctione en mode passif et les ports hauts sont ouverts (de ce coté tout roule, car sans TLS ça passe...).
Quelqu'un peu m'expliqué pourquoi, ou comment permettre l'authentification TLS!!!
Merci!

sebsauvage · Answer

Ton serveur FTP supporte-t-il TLS ?

Normalement le port pour SFTP est le port 22 (le même que ssh) ou 115.

sebsauvage · Answer

Ah oui pardon, je mélange.

En principe avec du FTP (mai je ne sais pas si c'est pareil en FTPS), si tu fais la connection sur le port 21 du serveur en FTP non passif il y a une connexion retour du serveur vers le client sur le port 20.

Avec un serveur en DMZ, cette connexion retour ne fonctionne plus (puisque la DMZ empêche le serveur d'accéder au réseau local).

Il faudrait ouvrir le firewall pour autoriser le serveur à se connecter sur le port 20 de n'importe quelle machine du LAN, mais du coup ça diminue un peu l'intérêt de la DMZ, non ?

Dans ce cas, pourquoi pas passer carrément à du SFTP ?  Il n'y a qu'une connexion du client vers le serveur, et c'est bon pour les DMZ.

sebsauvage · Answer

Mais je crois savoir ou est le pb? le firewall ne traiterai pas les données crypté par SSL/TLS à travers le port 21... 

Ton firewall filtre à un niveau aussi haut ?  Généalement les firewall ne filtrent qu'au niveau port/ip/etat du paquet, pas au niveau du contenu des paquets.
C'est un firewall ou un proxy ?

sebsauvage · Answer

Ah oui... d'après leur site, il filtre effectivement au niveau applicatif.  Beau joujou.

A mon avis, il détecte SSL comme un traffic non standard sur un port censé être réservé au FTP et coupe.

Bon ben reste plus qu'à contacter celui qui administre le biniou et lui demander de modifier les règles.

snouts · Answer

Si ca peut aider, entre le firewall et le proxy, un seul de ces deux est "autorisé" à reconstituer le paquet pour le valider. Mais me souviens plus duquel des deux oOO

Makss · Answer

sebsauvage
C'est moi qui administre le "Joujou", j'ai accès a tout, mais quoi modifier???!!!

snouts
J'ai pas de proxy!!!

sebsauvage · Answer

C'est moi qui administre le "Joujou", j'ai accès a tout, mais quoi modifier???!!! 

Où là, mais je ne sais absolument pas comment on configure un "Firewall WatchGuard Firebox 700" !
Là il faut regarder la doc du routeur.

Je pense que dans les règles par défaut, il doit examiner le traffic sur le port 21 et couper tout ce qui ne ressemble pas à du FTP pur.
Il faut donc assouplir cette règle.

Makss · Answer

Bah écoute, j'ai parcouru la doc du routeur, qui est totalement naze... Et c'est pasmieu sur leur site internet...
J'ai déja fai 2 fois le tour diu logiciel d'administration ,sans résultats concluants...
On verra par la suite!!

sebsauvage · Answer

Bon courage !

FTP et TLS

9 réponses

Votre réponse

Discussions similaires