FTP a travers pf pour une connexion locale

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

FTP a travers pf pour une connexion locale

Mik J
Bonjour à tous,

J'essaie de faire passer ce fameux protocole ftp à travers pf mais je rencontre des soucis. Je précise que j'utilise un OpenBSD 4.9 puisque la syntaxe semble beaucoup varier d'une version d'obsd à une autre.
Le client ftp est localisé sur la même machine que pf, c'est à dire sur le même système openbsd


D'après ce site
http://home.nuug.no/~peter/pf/en/long-firewall.html#FTPPROBLEM

J'ai les actions suivantes à effectuer

Démarrer ftp-proxy
# ftp-proxy
# ps aux | grep ftp
proxy    16931  0.0  0.0   356   896 ??  Is    Wed11PM    0:00.04 /usr/sbin/ftp-proxy


Ajouter les règles dans pf
anchor "ftp-proxy/*"
pass out proto tcp from any to any port ftp

pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021

Mon forwarding est activé
# sysctl net.inet.ip.forwarding
net.inet.ip.forwarding=1


Puis je recharge pf
# pfctl -f /etc/pf.conf

Et donc cela ne fonctionne pas :(



Le channel control fonctionne mais des que j'utilise le channel data (par exemple un ls en ftp) ca bloque
# tcpdump -n -e -ttt -i pflog0

Dec 23 09:27:05.852403 rule 0/(match) block out on re0: 192.168.1.7.15228 > 129.128.5.191.59709: S 1876128999:1876128999(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale 3,nop,nop,timestamp 1557152255[|tcp]> (DF)
ensuite il essaie le mode actif

D'après ce que je comprends, ftp-proxy ne joue pas bien son rôle et ne crée pas dynamiquement une règle pf pour ouvrir le channel ftp data

Quelqu'un a t-il une idée ?
Merci


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: FTP a travers pf pour une connexion locale

Toni Laupies
Le 23 déc. 2011 09:33, "Mik J" <[hidden email]> a écrit :
>
> Bonjour à tous,
>
> J'essaie de faire passer ce fameux protocole ftp à travers pf mais je
rencontre des soucis. Je précise que j'utilise un OpenBSD 4.9 puisque la
syntaxe semble beaucoup varier d'une version d'obsd à une autre.
> Le client ftp est localisé sur la même machine que pf, c'est à dire sur
le même système openbsd

>
>
> D'après ce site
> http://home.nuug.no/~peter/pf/en/long-firewall.html#FTPPROBLEM
>
> J'ai les actions suivantes à effectuer
>
> Démarrer ftp-proxy
> # ftp-proxy
> # ps aux | grep ftp
> proxy    16931  0.0  0.0   356   896 ??  Is    Wed11PM    0:00.04
/usr/sbin/ftp-proxy

>
>
> Ajouter les règles dans pf
> anchor "ftp-proxy/*"
> pass out proto tcp from any to any port ftp
>
> pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
>
> Mon forwarding est activé
> # sysctl net.inet.ip.forwarding
> net.inet.ip.forwarding=1
>
>
> Puis je recharge pf
> # pfctl -f /etc/pf.conf
>
> Et donc cela ne fonctionne pas :(
>
>
>
> Le channel control fonctionne mais des que j'utilise le channel data (par
exemple un ls en ftp) ca bloque
> # tcpdump -n -e -ttt -i pflog0
>
> Dec 23 09:27:05.852403 rule 0/(match) block out on re0: 192.168.1.7.15228
> 129.128.5.191.59709: S 1876128999:1876128999(0) win 16384 <mss
1460,nop,nop,sackOK,nop,wscale 3,nop,nop,timestamp 1557152255[|tcp]> (DF)
> ensuite il essaie le mode actif
>
> D'après ce que je comprends, ftp-proxy ne joue pas bien son rôle et ne
crée pas dynamiquement une règle pf pour ouvrir le channel ftp data

>
> Quelqu'un a t-il une idée ?
> Merci
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>

Salut Mik,

Je pense qu'il est plus sage de t'appuyer sur une doc sûre :
http://www.openbsd.org/faq/pf/fr/ftp.html

Ce ne serait pas plutôt ftp-data qu'il te faut rediriger vers le 8021 ?
--
Toni
Reply | Threaded
Open this post in threaded view
|

Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

Mik J
----- Mail original -----

> De : Toni LAUPIÈS <[hidden email]>
> À : [hidden email]
> Cc :
> Envoyé le : Samedi 24 Décembre 2011 2h41
> Objet : Re: [obsdfr-misc] FTP a travers pf pour une connexion locale
>
> Le 23 déc. 2011 09:33, "Mik J" <[hidden email]> a écrit :
>>
>>  Bonjour à tous,
>>
>>  J'essaie de faire passer ce fameux protocole ftp à travers pf mais je
> rencontre des soucis. Je précise que j'utilise un OpenBSD 4.9 puisque la
> syntaxe semble beaucoup varier d'une version d'obsd à une autre.
>>  Le client ftp est localisé sur la même machine que pf, c'est à dire sur
> le même système openbsd
>>
>>
>>  D'après ce site
>>  http://home.nuug.no/~peter/pf/en/long-firewall.html#FTPPROBLEM
>>
>>  J'ai les actions suivantes à effectuer
>>
>>  Démarrer ftp-proxy
>>  # ftp-proxy
>>  # ps aux | grep ftp
>>  proxy    16931  0.0  0.0   356   896 ??  Is    Wed11PM    0:00.04
> /usr/sbin/ftp-proxy
>>
>>
>>  Ajouter les règles dans pf
>>  anchor "ftp-proxy/*"
>>  pass out proto tcp from any to any port ftp
>>
>>  pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
>>
>>  Mon forwarding est activé
>>  # sysctl net.inet.ip.forwarding
>>  net.inet.ip.forwarding=1
>>
>>
>>  Puis je recharge pf
>>  # pfctl -f /etc/pf.conf
>>
>>  Et donc cela ne fonctionne pas :(
>>
>>
>>
>>  Le channel control fonctionne mais des que j'utilise le channel data
> (par
> exemple un ls en ftp) ca bloque
>>  # tcpdump -n -e -ttt -i pflog0
>>
>>  Dec 23 09:27:05.852403 rule 0/(match) block out on re0: 192.168.1.7.15228
>>  129.128.5.191.59709: S 1876128999:1876128999(0) win 16384 <mss
> 1460,nop,nop,sackOK,nop,wscale 3,nop,nop,timestamp 1557152255[|tcp]> (DF)
>>  ensuite il essaie le mode actif
>>
>>  D'après ce que je comprends, ftp-proxy ne joue pas bien son rôle et ne
> crée pas dynamiquement une règle pf pour ouvrir le channel ftp data
>>
>>  Quelqu'un a t-il une idée ?
>>  Merci
>>
>
> Salut Mik,
>
> Je pense qu'il est plus sage de t'appuyer sur une doc sûre :
> http://www.openbsd.org/faq/pf/fr/ftp.html
>
> Ce ne serait pas plutôt ftp-data qu'il te faut rediriger vers le 8021 ?
> --
> Toni
>

Merci pour ta réponse Toni,

Mais justement la faq n'est pas bonne dans le sens où elle fait référence à 5.0 alors que j'utilise la 4.9: rdr-to a été remplacé par divert-to.
Je me suis donc basé sur la faq version 4.9.

J'ai remplacé suite à suggestion ftp par ftp-data et ca ne fonctionne toujours pas
anchor "ftp-proxy/*"
pass out proto tcp from any to any port ftp
pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port 8021

J'ai lancé ftp-proxy avec l'option -d pour qu'il reste en premier plan. Je remarque qu'aucune connexion ne lui arrive. Quand je fais un telnet sur 127.0.0.1 8021, il a par contre une réaction.
En fait, la règle
pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port 8021 (ou en remplacant ftp-data par ftp)
ne match pas

Bon noel

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

Toni Laupies
Le 24 déc. 2011 12:02, "Mik J" <[hidden email]> a écrit :

>
> ----- Mail original -----
>
> > De : Toni LAUPIÈS <[hidden email]>
> > À : [hidden email]
> > Cc :
> > Envoyé le : Samedi 24 Décembre 2011 2h41
> > Objet : Re: [obsdfr-misc] FTP a travers pf pour une connexion locale
> >
> > Le 23 déc. 2011 09:33, "Mik J" <[hidden email]> a écrit :
> >>
> >>  Bonjour à tous,
> >>
> >>  J'essaie de faire passer ce fameux protocole ftp à travers pf mais je
> > rencontre des soucis. Je précise que j'utilise un OpenBSD 4.9 puisque la
> > syntaxe semble beaucoup varier d'une version d'obsd à une autre.
> >>  Le client ftp est localisé sur la même machine que pf, c'est à dire
sur

> > le même système openbsd
> >>
> >>
> >>  D'après ce site
> >>  http://home.nuug.no/~peter/pf/en/long-firewall.html#FTPPROBLEM
> >>
> >>  J'ai les actions suivantes à effectuer
> >>
> >>  Démarrer ftp-proxy
> >>  # ftp-proxy
> >>  # ps aux | grep ftp
> >>  proxy    16931  0.0  0.0   356   896 ??  Is    Wed11PM    0:00.04
> > /usr/sbin/ftp-proxy
> >>
> >>
> >>  Ajouter les règles dans pf
> >>  anchor "ftp-proxy/*"
> >>  pass out proto tcp from any to any port ftp
> >>
> >>  pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
> >>
> >>  Mon forwarding est activé
> >>  # sysctl net.inet.ip.forwarding
> >>  net.inet.ip.forwarding=1
> >>
> >>
> >>  Puis je recharge pf
> >>  # pfctl -f /etc/pf.conf
> >>
> >>  Et donc cela ne fonctionne pas :(
> >>
> >>
> >>
> >>  Le channel control fonctionne mais des que j'utilise le channel data
> > (par
> > exemple un ls en ftp) ca bloque
> >>  # tcpdump -n -e -ttt -i pflog0
> >>
> >>  Dec 23 09:27:05.852403 rule 0/(match) block out on re0:
192.168.1.7.15228
> >>  129.128.5.191.59709: S 1876128999:1876128999(0) win 16384 <mss
> > 1460,nop,nop,sackOK,nop,wscale 3,nop,nop,timestamp 1557152255[|tcp]>
(DF)

> >>  ensuite il essaie le mode actif
> >>
> >>  D'après ce que je comprends, ftp-proxy ne joue pas bien son rôle et ne
> > crée pas dynamiquement une règle pf pour ouvrir le channel ftp data
> >>
> >>  Quelqu'un a t-il une idée ?
> >>  Merci
> >>
> >
> > Salut Mik,
> >
> > Je pense qu'il est plus sage de t'appuyer sur une doc sûre :
> > http://www.openbsd.org/faq/pf/fr/ftp.html
> >
> > Ce ne serait pas plutôt ftp-data qu'il te faut rediriger vers le 8021 ?
> > --
> > Toni
> >
>
> Merci pour ta réponse Toni,
>
> Mais justement la faq n'est pas bonne dans le sens où elle fait référence
à 5.0 alors que j'utilise la 4.9: rdr-to a été remplacé par divert-to.
> Je me suis donc basé sur la faq version 4.9.
>
> J'ai remplacé suite à suggestion ftp par ftp-data et ca ne fonctionne
toujours pas
> anchor "ftp-proxy/*"
> pass out proto tcp from any to any port ftp
> pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port 8021
>
> J'ai lancé ftp-proxy avec l'option -d pour qu'il reste en premier plan.
Je remarque qu'aucune connexion ne lui arrive. Quand je fais un telnet sur
127.0.0.1 8021, il a par contre une réaction.
> En fait, la règle
> pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port 8021
(ou en remplacant ftp-data par ftp)
> ne match pas
>
> Bon noel
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>

Re

Désolé, j'ai oublié de corriger l'URL...

Pour creuser un peu plus :
. Ton serveur FTP fonctionne lorsque PF est arrêté ?
. Tu peux coller ton pf.conf entier ?

Toni
Reply | Threaded
Open this post in threaded view
|

Re : [obsdfr-misc] Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

Mik J
> De : Toni LAUPIÈS <[hidden email]>
> À : [hidden email]
> Cc :
> Envoyé le : Samedi 24 Décembre 2011 12h15
> Objet : Re: [obsdfr-misc] Re : [obsdfr-misc] FTP a travers pf pour une connexion locale
>
> Le 24 déc. 2011 12:02, "Mik J" <[hidden email]> a écrit :
>>
>>  ----- Mail original -----
>>
>>  > De : Toni LAUPIÈS <[hidden email]>
>>  > À : [hidden email]
>>  > Cc :
>>  > Envoyé le : Samedi 24 Décembre 2011 2h41
>>  > Objet : Re: [obsdfr-misc] FTP a travers pf pour une connexion locale
>>  >
>>  > Le 23 déc. 2011 09:33, "Mik J" <[hidden email]> a
> écrit :
>>  >>
>>  >>  Bonjour à tous,
>>  >>
>>  >>  J'essaie de faire passer ce fameux protocole ftp à travers pf
> mais je
>>  > rencontre des soucis. Je précise que j'utilise un OpenBSD 4.9
> puisque la
>>  > syntaxe semble beaucoup varier d'une version d'obsd à une
> autre.
>>  >>  Le client ftp est localisé sur la même machine que pf, c'est
> à dire
> sur
>>  > le même système openbsd
>>  >>
>>  >>
>>  >>  D'après ce site
>>  >>  http://home.nuug.no/~peter/pf/en/long-firewall.html#FTPPROBLEM
>>  >>
>>  >>  J'ai les actions suivantes à effectuer
>>  >>
>>  >>  Démarrer ftp-proxy
>>  >>  # ftp-proxy
>>  >>  # ps aux | grep ftp
>>  >>  proxy    16931  0.0  0.0   356   896 ??  Is    Wed11PM    0:00.04
>>  > /usr/sbin/ftp-proxy
>>  >>
>>  >>
>>  >>  Ajouter les règles dans pf
>>  >>  anchor "ftp-proxy/*"
>>  >>  pass out proto tcp from any to any port ftp
>>  >>
>>  >>  pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
>>  >>
>>  >>  Mon forwarding est activé
>>  >>  # sysctl net.inet.ip.forwarding
>>  >>  net.inet.ip.forwarding=1
>>  >>
>>  >>
>>  >>  Puis je recharge pf
>>  >>  # pfctl -f /etc/pf.conf
>>  >>
>>  >>  Et donc cela ne fonctionne pas :(
>>  >>
>>  >>
>>  >>
>>  >>  Le channel control fonctionne mais des que j'utilise le
> channel data
>>  > (par
>>  > exemple un ls en ftp) ca bloque
>>  >>  # tcpdump -n -e -ttt -i pflog0
>>  >>
>>  >>  Dec 23 09:27:05.852403 rule 0/(match) block out on re0:
> 192.168.1.7.15228
>>  >>  129.128.5.191.59709: S 1876128999:1876128999(0) win 16384 <mss
>>  > 1460,nop,nop,sackOK,nop,wscale 3,nop,nop,timestamp
> 1557152255[|tcp]>
> (DF)
>>  >>  ensuite il essaie le mode actif
>>  >>
>>  >>  D'après ce que je comprends, ftp-proxy ne joue pas bien son
> rôle et ne
>>  > crée pas dynamiquement une règle pf pour ouvrir le channel ftp data
>>  >>
>>  >>  Quelqu'un a t-il une idée ?
>>  >>  Merci
>>  >>
>>  >
>>  > Salut Mik,
>>  >
>>  > Je pense qu'il est plus sage de t'appuyer sur une doc sûre :
>>  > http://www.openbsd.org/faq/pf/fr/ftp.html
>>  >
>>  > Ce ne serait pas plutôt ftp-data qu'il te faut rediriger vers le
> 8021 ?
>>  > --
>>  > Toni
>>  >
>>
>>  Merci pour ta réponse Toni,
>>
>>  Mais justement la faq n'est pas bonne dans le sens où elle fait
> référence
> à 5.0 alors que j'utilise la 4.9: rdr-to a été remplacé par divert-to.
>>  Je me suis donc basé sur la faq version 4.9.
>>
>>  J'ai remplacé suite à suggestion ftp par ftp-data et ca ne fonctionne
> toujours pas
>>  anchor "ftp-proxy/*"
>>  pass out proto tcp from any to any port ftp
>>  pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port 8021
>>
>>  J'ai lancé ftp-proxy avec l'option -d pour qu'il reste en
> premier plan.
> Je remarque qu'aucune connexion ne lui arrive. Quand je fais un telnet sur
> 127.0.0.1 8021, il a par contre une réaction.
>>  En fait, la règle
>>  pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port 8021
> (ou en remplacant ftp-data par ftp)
>>  ne match pas
>>
>>  Bon noel
>>
>>
>
> Re
>
> Désolé, j'ai oublié de corriger l'URL...
>
> Pour creuser un peu plus :
> . Ton serveur FTP fonctionne lorsque PF est arrêté ?
> . Tu peux coller ton pf.conf entier ?
>
> Toni
>
Il y a une incompréhension. Mon OpenBSD est le client ftp. Par exemple, je teste avec la commande $ ftp -p ftp://ftp.openbsd.org/
Ma politique par défaut est de bloquer
block log
En ajoutant les règles
pass out quick on $int_if inet proto tcp from $int_add to any port 21
pass out log quick on $int_if inet proto tcp from $int_add to any port 1024:65535
Ca fonctionne bien. Seulement, je ne souhaite pas ouvrir tous mes ports > 1024 en sortie.

Ces trois règles suffisent à recréer le problème (en rajoutant peut être set skip on lo)

Merci

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Re : [obsdfr-misc] Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

Toni Laupies
Le 24 déc. 2011 13:03, "Mik J" <[hidden email]> a écrit :
>
> > De : Toni LAUPIÈS <[hidden email]>
> > À : [hidden email]
> > Cc :
> > Envoyé le : Samedi 24 Décembre 2011 12h15
> > Objet : Re: [obsdfr-misc] Re : [obsdfr-misc] FTP a travers pf pour une
connexion locale

> >
> > Le 24 déc. 2011 12:02, "Mik J" <[hidden email]> a écrit :
> >>
> >>  ----- Mail original -----
> >>
> >>  > De : Toni LAUPIÈS <[hidden email]>
> >>  > À : [hidden email]
> >>  > Cc :
> >>  > Envoyé le : Samedi 24 Décembre 2011 2h41
> >>  > Objet : Re: [obsdfr-misc] FTP a travers pf pour une connexion locale
> >>  >
> >>  > Le 23 déc. 2011 09:33, "Mik J" <[hidden email]> a
> > écrit :
> >>  >>
> >>  >>  Bonjour à tous,
> >>  >>
> >>  >>  J'essaie de faire passer ce fameux protocole ftp à travers pf
> > mais je
> >>  > rencontre des soucis. Je précise que j'utilise un OpenBSD 4.9
> > puisque la
> >>  > syntaxe semble beaucoup varier d'une version d'obsd à une
> > autre.
> >>  >>  Le client ftp est localisé sur la même machine que pf, c'est
> > à dire
> > sur
> >>  > le même système openbsd
> >>  >>
> >>  >>
> >>  >>  D'après ce site
> >>  >>  http://home.nuug.no/~peter/pf/en/long-firewall.html#FTPPROBLEM
> >>  >>
> >>  >>  J'ai les actions suivantes à effectuer
> >>  >>
> >>  >>  Démarrer ftp-proxy
> >>  >>  # ftp-proxy
> >>  >>  # ps aux | grep ftp
> >>  >>  proxy    16931  0.0  0.0   356   896 ??  Is    Wed11PM    0:00.04
> >>  > /usr/sbin/ftp-proxy
> >>  >>
> >>  >>
> >>  >>  Ajouter les règles dans pf
> >>  >>  anchor "ftp-proxy/*"
> >>  >>  pass out proto tcp from any to any port ftp
> >>  >>
> >>  >>  pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
> >>  >>
> >>  >>  Mon forwarding est activé
> >>  >>  # sysctl net.inet.ip.forwarding
> >>  >>  net.inet.ip.forwarding=1
> >>  >>
> >>  >>
> >>  >>  Puis je recharge pf
> >>  >>  # pfctl -f /etc/pf.conf
> >>  >>
> >>  >>  Et donc cela ne fonctionne pas :(
> >>  >>
> >>  >>
> >>  >>
> >>  >>  Le channel control fonctionne mais des que j'utilise le
> > channel data
> >>  > (par
> >>  > exemple un ls en ftp) ca bloque
> >>  >>  # tcpdump -n -e -ttt -i pflog0
> >>  >>
> >>  >>  Dec 23 09:27:05.852403 rule 0/(match) block out on re0:
> > 192.168.1.7.15228
> >>  >>  129.128.5.191.59709: S 1876128999:1876128999(0) win 16384 <mss
> >>  > 1460,nop,nop,sackOK,nop,wscale 3,nop,nop,timestamp
> > 1557152255[|tcp]>
> > (DF)
> >>  >>  ensuite il essaie le mode actif
> >>  >>
> >>  >>  D'après ce que je comprends, ftp-proxy ne joue pas bien son
> > rôle et ne
> >>  > crée pas dynamiquement une règle pf pour ouvrir le channel ftp data
> >>  >>
> >>  >>  Quelqu'un a t-il une idée ?
> >>  >>  Merci
> >>  >>
> >>  >
> >>  > Salut Mik,
> >>  >
> >>  > Je pense qu'il est plus sage de t'appuyer sur une doc sûre :
> >>  > http://www.openbsd.org/faq/pf/fr/ftp.html
> >>  >
> >>  > Ce ne serait pas plutôt ftp-data qu'il te faut rediriger vers le
> > 8021 ?
> >>  > --
> >>  > Toni
> >>  >
> >>
> >>  Merci pour ta réponse Toni,
> >>
> >>  Mais justement la faq n'est pas bonne dans le sens où elle fait
> > référence
> > à 5.0 alors que j'utilise la 4.9: rdr-to a été remplacé par divert-to.
> >>  Je me suis donc basé sur la faq version 4.9.
> >>
> >>  J'ai remplacé suite à suggestion ftp par ftp-data et ca ne fonctionne
> > toujours pas
> >>  anchor "ftp-proxy/*"
> >>  pass out proto tcp from any to any port ftp
> >>  pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port
8021
> >>
> >>  J'ai lancé ftp-proxy avec l'option -d pour qu'il reste en
> > premier plan.
> > Je remarque qu'aucune connexion ne lui arrive. Quand je fais un telnet
sur
> > 127.0.0.1 8021, il a par contre une réaction.
> >>  En fait, la règle
> >>  pass in log quick proto tcp to port ftp-data rdr-to 127.0.0.1 port
8021

> > (ou en remplacant ftp-data par ftp)
> >>  ne match pas
> >>
> >>  Bon noel
> >>
> >>
> >
> > Re
> >
> > Désolé, j'ai oublié de corriger l'URL...
> >
> > Pour creuser un peu plus :
> > . Ton serveur FTP fonctionne lorsque PF est arrêté ?
> > . Tu peux coller ton pf.conf entier ?
> >
> > Toni
> >
> Il y a une incompréhension. Mon OpenBSD est le client ftp. Par exemple,
je teste avec la commande $ ftp -p ftp://ftp.openbsd.org/
> Ma politique par défaut est de bloquer
> block log
> En ajoutant les règles
> pass out quick on $int_if inet proto tcp from $int_add to any port 21
> pass out log quick on $int_if inet proto tcp from $int_add to any port
1024:65535
> Ca fonctionne bien. Seulement, je ne souhaite pas ouvrir tous mes ports >
1024 en sortie.
>
> Ces trois règles suffisent à recréer le problème (en rajoutant peut être
set skip on lo)
>
> Merci
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>

Effectivement, navré pour le bruit...

Ta redirection est-elle bien placée avant la première règle qui match
(genre "block log") ?

Toni
Reply | Threaded
Open this post in threaded view
|

Re: Re : [obsdfr-misc] Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

TeXitoi-4
Toni LAUPIÈS <[hidden email]> writes:

> > >>  >>  anchor "ftp-proxy/*"
> > >>  >>  pass out proto tcp from any to any port ftp
> > >>  >>
> > >>  >>  pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
> >
> > Il y a une incompréhension. Mon OpenBSD est le client ftp. Par exemple,
> je teste avec la commande $ ftp -p ftp://ftp.openbsd.org/
> > Ma politique par défaut est de bloquer
> > block log

Ta connection ftp est seulement en sortie dans ce cas. Du coup, je ne
pense pas que ftp proxy puisse marcher.  La solution serait de faire

pass out quick proto tcp to port ftp rdr-to 102.0.0.1 port 8021

mais du coup, lorsqu'ftp-proxy va essayer de se connecter au serveur
distant, il risque de se connecter à lui même.

Bref, soit c'est un cas prévu et ça marchera (mais j'en doute), soit
ça ne marchera pas non plus. Quoi qu'il arrive, ftp-proxy n'est pas
vraiment fait pour ça.

--
Guillaume Pinot                               http://www.texitoi.eu

« Il semble que la perfection soit atteinte non quand il n'y a plus
rien à ajouter, mais quand il n'y a plus rien à retrancher. »
                      -- Antoine de Saint-Exupéry, Terre des hommes

()  ASCII ribbon campaign      -- Against HTML e-mail
/\  http://www.asciiribbon.org -- Against proprietary attachments


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: FTP a travers pf pour une connexion locale

Maxime DERCHE-3
In reply to this post by Mik J
Bonsoir,

On Fri, 23 Dec 2011 08:32:59 +0000 (GMT)
Mik J <[hidden email]> wrote:

> Bonjour à tous,
>
> J'essaie de faire passer ce fameux protocole ftp à travers pf mais (...)

C'est complètement hors sujet, mais pourquoi continuer en 2011 (presque 2012)
à s'embêter avec FTP alors que SFTP fait mieux et plus simplement ?

Côté serveur il suffit d'un OpenSSH et côté client il y a Filezilla pour les
clients humanoïdes et scp/sftp en ligne de commande pour les automates...


Bien cordialement,

--
Maxime DERCHE
OpenPGP public key ID : 0x9A85C4C0
(fingerprint : 0FDC 16AF 5A5B 1908 786C  2B85 2D3C C83E 9A85 C4C0)
http://www.mouet-mouet.net/maxime/blog/index.php

attachment0 (202 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

Mik J
----- Mail original -----

> De : Maxime DERCHE <[hidden email]>
> C'est complètement hors sujet, mais pourquoi continuer en 2011 (presque 2012)
> à s'embêter avec FTP alors que SFTP fait mieux et plus simplement ?

Typiquement pour installer les ports et plus généralement car on ne contrôle pas comment est configuré un serveur distant qui n'est pas sous notre responsabilité.
De plus, je ne pense pas qu'on puisse se connecter en sftp en mode anonyme.

Merci à tous pour vos réponses. Fabrice je prends note de ta solution, mais je ne l'appliquerai pas car je n'ai pas envie d'installer squid pour faire du ftp une fois de temps en temps.

Bonne semaine


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Re : [obsdfr-misc] FTP a travers pf pour une connexion locale

Antoine Jacoutot-7
On Tue, Jan 03, 2012 at 08:58:35PM +0000, Mik J wrote:
> ----- Mail original -----
>
> > De : Maxime DERCHE <[hidden email]>
> > C'est complètement hors sujet, mais pourquoi continuer en 2011 (presque 2012)
> > à s'embêter avec FTP alors que SFTP fait mieux et plus simplement ?
>
> Typiquement pour installer les ports et plus généralement car on ne contrôle pas comment est configuré un serveur distant qui n'est pas sous notre responsabilité.
> De plus, je ne pense pas qu'on puisse se connecter en sftp en mode anonyme.

sftp en anonyme fonctionne. Mais je vois pas trop l'intérêt, le mieux est d'utiliser http.

--
Antoine

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php