FTP et firewalling

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

FTP et firewalling

Julien Escario
Bonjour,
Je cherche actuellement à firewaller des machines faisant (entre autre) du FTP.
Pour cela, j'ai deux routeurs (BGP) en frontal redondants CARP.

Bref, en bon admin, je ferme tous les ports et je discute après. Tous les
services roulent bien sauf le FTP, toujours aussi problématique. Avec
Linux/Iptables/netfilter, on a le module ftp_conntrack mais je ne retrouve rien
de tel dans pf. La méthode préconisée semble être ftp-proxy qui fonctionne bien
mais apporte un inconvénient majeur : les connexions FTP semblent provenir des
routeurs : pas idéal pour la gestion des quotas/session/IP ou les stats ...

Il semble qu'il ai existe (à une époque) le switch -n (ou -r peut être) qui
permet de faire du nat et donc de 'leurrer' le serveur sur l'adresse IP du
client mais cette option semble disparue.

J'ai également trouvé un projet appellé frox qui 'semble' permettre le
fonctionnement que je veux mais le projet est plutôt inactif.

Donc ma question : quelqu'un a t'il déjà rencontré le problème et comment l'a
t'il résolu ?
Est-ce que le support des ftp_conntrack est prévu dans pf un jour ?

Si toutefois, rien n'est possible, il me reste la solution de planter des
babasses iptables derrière mes routeurs. Ca aura au moins le mérite de séparer
routage et firewalling.

Merci de vos idées.

Julien Escario

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

patriotefr patriotefr
un firewall ca sert à rien dans la sécurité, tu fait gaffe à ce qui tourne
sur le serveur tu le met à jour et hop
pour le ftp chez moi la solution c'était ftp-proxy et tu nat les ports
--normal.... si ta un routeur qui passe avant
après voilà pf c'est clair que c'est lisible quand tu fait une régle alors
iptables c'est du langage extraterrestre donc bonne chance fils

tien nous au jus
Le 23 janvier 2009 17:08, Julien Escario <[hidden email]> a écrit :

> Bonjour,
> Je cherche actuellement à firewaller des machines faisant (entre autre) du
> FTP. Pour cela, j'ai deux routeurs (BGP) en frontal redondants CARP.
>
> Bref, en bon admin, je ferme tous les ports et je discute après. Tous les
> services roulent bien sauf le FTP, toujours aussi problématique. Avec
> Linux/Iptables/netfilter, on a le module ftp_conntrack mais je ne retrouve
> rien de tel dans pf. La méthode préconisée semble être ftp-proxy qui
> fonctionne bien mais apporte un inconvénient majeur : les connexions FTP
> semblent provenir des routeurs : pas idéal pour la gestion des
> quotas/session/IP ou les stats ...
>
> Il semble qu'il ai existe (à une époque) le switch -n (ou -r peut être) qui
> permet de faire du nat et donc de 'leurrer' le serveur sur l'adresse IP du
> client mais cette option semble disparue.
>
> J'ai également trouvé un projet appellé frox qui 'semble' permettre le
> fonctionnement que je veux mais le projet est plutôt inactif.
>
> Donc ma question : quelqu'un a t'il déjà rencontré le problème et comment
> l'a t'il résolu ?
> Est-ce que le support des ftp_conntrack est prévu dans pf un jour ?
>
> Si toutefois, rien n'est possible, il me reste la solution de planter des
> babasses iptables derrière mes routeurs. Ca aura au moins le mérite de
> séparer routage et firewalling.
>
> Merci de vos idées.
>
> Julien Escario
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/ml
>
>
Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien C-2
Bonjour,

un firewall ca sert à rien dans la sécurité,  ==> t 'es un peu radical la,
attends le jour ou tu es en prod pour dire ca...

Effectivement, on peut utiliser ftp-proxy (sans oublier son ancre dans
pf.conf), sinon, tu as ftp-sesame, contenu dans les ports,  qui permet
egalement le proxying ftp.
J'ai aussi eut qq problème, avec le meme type d'archi et ce cher proto
FTP..avec ces cmd par port.
Deplus pourquoi integrer des linux en frontal, autant router avec un BSD no
??(juste une question de principe)
Deux Linux devant du carp, snif snif... oO ^^

# make search name=sesame
Port:   ftpsesame-0.95
Path:   net/ftpsesame
Info:   automagic packet filter configurator for FTP
Maint:  Nikolay Sturm <[hidden email]>
Index:  net
L-deps:
B-deps:
R-deps:
Archs:  any

++



Le 23 janvier 2009 17:20, patriotefr patriotefr <[hidden email]> a
écrit :

> un firewall ca sert à rien dans la sécurité, tu fait gaffe à ce qui tourne
> sur le serveur tu le met à jour et hop
> pour le ftp chez moi la solution c'était ftp-proxy et tu nat les ports
> --normal.... si ta un routeur qui passe avant
> après voilà pf c'est clair que c'est lisible quand tu fait une régle alors
> iptables c'est du langage extraterrestre donc bonne chance fils
>
> tien nous au jus
> Le 23 janvier 2009 17:08, Julien Escario <[hidden email]> a écrit :
>
> > Bonjour,
> > Je cherche actuellement à firewaller des machines faisant (entre autre)
> du
> > FTP. Pour cela, j'ai deux routeurs (BGP) en frontal redondants CARP.
> >
> > Bref, en bon admin, je ferme tous les ports et je discute après. Tous les
> > services roulent bien sauf le FTP, toujours aussi problématique. Avec
> > Linux/Iptables/netfilter, on a le module ftp_conntrack mais je ne
> retrouve
> > rien de tel dans pf. La méthode préconisée semble être ftp-proxy qui
> > fonctionne bien mais apporte un inconvénient majeur : les connexions FTP
> > semblent provenir des routeurs : pas idéal pour la gestion des
> > quotas/session/IP ou les stats ...
> >
> > Il semble qu'il ai existe (à une époque) le switch -n (ou -r peut être)
> qui
> > permet de faire du nat et donc de 'leurrer' le serveur sur l'adresse IP
> du
> > client mais cette option semble disparue.
> >
> > J'ai également trouvé un projet appellé frox qui 'semble' permettre le
> > fonctionnement que je veux mais le projet est plutôt inactif.
> >
> > Donc ma question : quelqu'un a t'il déjà rencontré le problème et comment
> > l'a t'il résolu ?
> > Est-ce que le support des ftp_conntrack est prévu dans pf un jour ?
> >
> > Si toutefois, rien n'est possible, il me reste la solution de planter des
> > babasses iptables derrière mes routeurs. Ca aura au moins le mérite de
> > séparer routage et firewalling.
> >
> > Merci de vos idées.
> >
> > Julien Escario
> >
> > ________________________________
> > French OpenBSD mailing list
> > [hidden email]
> > http://www.openbsd-france.org/ml
> >
> >
>
Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien Escario
In reply to this post by patriotefr patriotefr
Bonjour,

patriotefr patriotefr a écrit :
> un firewall ca sert à rien dans la sécurité, tu fait gaffe à ce qui tourne
> sur le serveur tu le met à jour et hop

Mouais, si j'avais demandé un conseil sur l'utilité d'un firewall, j'aurais
tourné ma question autrement. A la rigueur, je gère mes 70 serveurs comme un
grand va.

> pour le ftp chez moi la solution c'était ftp-proxy et tu nat les ports
> --normal.... si ta un routeur qui passe avant

Et non justement. Pas de NAT dans ma configuration puisque chaque serveur a son
adresse IP publique. Les routeurs font juste du BGP pour le moment mais ca n'a
pas d'influence sur le traffic IP.

> après voilà pf c'est clair que c'est lisible quand tu fait une régle alors
> iptables c'est du langage extraterrestre donc bonne chance fils

Si ce n'est que ça, les règles seront générées automatiquement par un robot à terme.

Julien

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien Escario
In reply to this post by Julien C-2
Bonjour,

julien c a écrit :
> Effectivement, on peut utiliser ftp-proxy (sans oublier son ancre dans
> pf.conf), sinon, tu as ftp-sesame, contenu dans les ports,  qui permet
> egalement le proxying ftp.

Mais ça a l'air exactement ce dont j'ai besoin d'après la doc.

> J'ai aussi eut qq problème, avec le meme type d'archi et ce cher proto
> FTP..avec ces cmd par port.
> Deplus pourquoi integrer des linux en frontal, autant router avec un BSD no
> ??(juste une question de principe)

Oui, je préfèrerais. Disons que si je peux limiter le nombre de systèmes et de
machines pour des questions de haute dispo, c'est nettement mieux. Dans tous les
cas, tout est redondé.

> Deux Linux devant du carp, snif snif... oO ^^

Meuh non, meuh non, c'était pour rire, aller.

Merci et bonne journée,
Julien

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

patriotefr patriotefr
Je dit qu'il sert à rien quand tu fait un petit serveur uniquement et ça
c'est claire maintenant c'est obligatoire d'en posséder un pour une
passerelle car c'est son role si tu souhaite filtrer au maximum avec plus de
config qu'un routeur (programme divers etc...)

pour le firewall tu achéte un routeur sonicwall (pour entreprise) ou un
linksys (chez toi) et tu t'embéte pas avec pf.. si ta rien d'autre à faire
avec tes 70 machines tourne ta langue dans ta bouche car le monsieur s'il
galère à configurer un nat ftp avec pf je crois pas qu'il va exploiter à
100% pf car c'est pas donné au débutant,le routeur c'est plus friendly
d'accord pas de ligne de commande et c'est plus abordable tu as des tableau
bref je vais pas te dire ce que c'est ;)

donc te complique pas la vie avec pf si tu galere, un routeur à 30E c'est
suffisant

Le 26 janvier 2009 13:32, Julien Escario <[hidden email]> a écrit :

> Bonjour,
>
> julien c a écrit :
>
>> Effectivement, on peut utiliser ftp-proxy (sans oublier son ancre dans
>> pf.conf), sinon, tu as ftp-sesame, contenu dans les ports,  qui permet
>> egalement le proxying ftp.
>>
>
> Mais ça a l'air exactement ce dont j'ai besoin d'après la doc.
>
>  J'ai aussi eut qq problème, avec le meme type d'archi et ce cher proto
>> FTP..avec ces cmd par port.
>> Deplus pourquoi integrer des linux en frontal, autant router avec un BSD
>> no
>> ??(juste une question de principe)
>>
>
> Oui, je préfèrerais. Disons que si je peux limiter le nombre de systèmes et
> de machines pour des questions de haute dispo, c'est nettement mieux. Dans
> tous les cas, tout est redondé.
>
>  Deux Linux devant du carp, snif snif... oO ^^
>>
>
> Meuh non, meuh non, c'était pour rire, aller.
>
> Merci et bonne journée,
> Julien
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/ml
>
>
Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien Escario
http://fr.wikipedia.org/wiki/Border_Gateway_Protocol

Ils font ça les linksys ? J'ai loupé un truc ? Ils routent du gigabit ?

Allé, bonne soirée, on arrête les frais
Julien Escario

patriotefr patriotefr a écrit :

> Je dit qu'il sert à rien quand tu fait un petit serveur uniquement et ça
> c'est claire maintenant c'est obligatoire d'en posséder un pour une
> passerelle car c'est son role si tu souhaite filtrer au maximum avec plus de
> config qu'un routeur (programme divers etc...)
>
> pour le firewall tu achéte un routeur sonicwall (pour entreprise) ou un
> linksys (chez toi) et tu t'embéte pas avec pf.. si ta rien d'autre à faire
> avec tes 70 machines tourne ta langue dans ta bouche car le monsieur s'il
> galère à configurer un nat ftp avec pf je crois pas qu'il va exploiter à
> 100% pf car c'est pas donné au débutant,le routeur c'est plus friendly
> d'accord pas de ligne de commande et c'est plus abordable tu as des tableau
> bref je vais pas te dire ce que c'est ;)
>
> donc te complique pas la vie avec pf si tu galere, un routeur à 30E c'est
> suffisant
>
> Le 26 janvier 2009 13:32, Julien Escario <[hidden email]> a écrit :
>
>> Bonjour,
>>
>> julien c a écrit :
>>
>>> Effectivement, on peut utiliser ftp-proxy (sans oublier son ancre dans
>>> pf.conf), sinon, tu as ftp-sesame, contenu dans les ports,  qui permet
>>> egalement le proxying ftp.
>>>
>> Mais ça a l'air exactement ce dont j'ai besoin d'après la doc.
>>
>>  J'ai aussi eut qq problème, avec le meme type d'archi et ce cher proto
>>> FTP..avec ces cmd par port.
>>> Deplus pourquoi integrer des linux en frontal, autant router avec un BSD
>>> no
>>> ??(juste une question de principe)
>>>
>> Oui, je préfèrerais. Disons que si je peux limiter le nombre de systèmes et
>> de machines pour des questions de haute dispo, c'est nettement mieux. Dans
>> tous les cas, tout est redondé.
>>
>>  Deux Linux devant du carp, snif snif... oO ^^
>> Meuh non, meuh non, c'était pour rire, aller.
>>
>> Merci et bonne journée,
>> Julien
>>
>>
>> ________________________________
>> French OpenBSD mailing list
>> [hidden email]
>> http://www.openbsd-france.org/ml
>>
>>
>


--
---------------------------------------------------------------------------
  ______                   ___                   Julien Escario
/\  _  \                 /\_ \                   [hidden email]
\ \ \L\ \  ____    __  __\//\ \     ___      __   Tél. : +33.677583199
  \ \  __ \/\_ ,`\ /\ \/\ \ \ \ \   / __`\  /'_ `\
   \ \ \/\ \/_/  /_\ \ \_\ \ \_\ \_/\ \L\ \/\ \L\ \ Azylog
    \ \_\ \_\/\____\\/`____ \/\____\ \____/\ \____ \ Rte de Champagnole
     \/_/\/_/\/____/ `/___/> \/____/\/___/  \/___L\ \ F-39300 Les Nans
                        /\___/                /\____/ SIRET 49130560300020
                        \/__/                 \_/__/
Hébergement mutualisé & dédié - infogérance - noms de domaines
GnuPG KeyID : 0x96E81867
Fingerprint : 2275 A56D FF0E 252D AAB3 3C04 2016 F00A 96E8 1867
---------------------------------------------------------------------------

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien C-2
Bonsoir,

Ça fonctionne avec ftp-sesame alors ?

==> "patriotefr patriotefr
c'est claire maintenant c'est obligatoire d'en posséder un pour une
passerelle car c'est son role si tu souhaite filtrer au maximum avec plus de
config qu'un routeur (programme divers etc...)

Vous n'etes pas au courant PF V2 incluera des objets comme sur les livebox
^^
ainsi pour ouvrir un flux vers ton pc, tu choisira directement msn dans la
liste, pas mal non ??

Nice ^^


Le 26 janvier 2009 20:50, Julien Escario <[hidden email]> a écrit :

> http://fr.wikipedia.org/wiki/Border_Gateway_Protocol
>
> Ils font ça les linksys ? J'ai loupé un truc ? Ils routent du gigabit ?
>
> Allé, bonne soirée, on arrête les frais
> Julien Escario
>
> patriotefr patriotefr a écrit :
>
>  Je dit qu'il sert à rien quand tu fait un petit serveur uniquement et ça
>> c'est claire maintenant c'est obligatoire d'en posséder un pour une
>> passerelle car c'est son role si tu souhaite filtrer au maximum avec plus
>> de
>> config qu'un routeur (programme divers etc...)
>>
>> pour le firewall tu achéte un routeur sonicwall (pour entreprise) ou un
>> linksys (chez toi) et tu t'embéte pas avec pf.. si ta rien d'autre à faire
>> avec tes 70 machines tourne ta langue dans ta bouche car le monsieur s'il
>> galère à configurer un nat ftp avec pf je crois pas qu'il va exploiter à
>> 100% pf car c'est pas donné au débutant,le routeur c'est plus friendly
>> d'accord pas de ligne de commande et c'est plus abordable tu as des
>> tableau
>> bref je vais pas te dire ce que c'est ;)
>>
>> donc te complique pas la vie avec pf si tu galere, un routeur à 30E c'est
>> suffisant
>>
>> Le 26 janvier 2009 13:32, Julien Escario <[hidden email]> a écrit :
>>
>>  Bonjour,
>>>
>>> julien c a écrit :
>>>
>>>  Effectivement, on peut utiliser ftp-proxy (sans oublier son ancre dans
>>>> pf.conf), sinon, tu as ftp-sesame, contenu dans les ports,  qui permet
>>>> egalement le proxying ftp.
>>>>
>>>>  Mais ça a l'air exactement ce dont j'ai besoin d'après la doc.
>>>
>>>  J'ai aussi eut qq problème, avec le meme type d'archi et ce cher proto
>>>
>>>> FTP..avec ces cmd par port.
>>>> Deplus pourquoi integrer des linux en frontal, autant router avec un BSD
>>>> no
>>>> ??(juste une question de principe)
>>>>
>>>>  Oui, je préfèrerais. Disons que si je peux limiter le nombre de
>>> systèmes et
>>> de machines pour des questions de haute dispo, c'est nettement mieux.
>>> Dans
>>> tous les cas, tout est redondé.
>>>
>>>  Deux Linux devant du carp, snif snif... oO ^^
>>> Meuh non, meuh non, c'était pour rire, aller.
>>>
>>> Merci et bonne journée,
>>> Julien
>>>
>>>
>>> ________________________________
>>> French OpenBSD mailing list
>>> [hidden email]
>>> http://www.openbsd-france.org/ml
>>>
>>>
>>>
>>
>
> --
> ---------------------------------------------------------------------------
>  ______                   ___                   Julien Escario
> /\  _  \                 /\_ \                   [hidden email]
> \ \ \L\ \  ____    __  __\//\ \     ___      __   Tél. : +33.677583199
>  \ \  __ \/\_ ,`\ /\ \/\ \ \ \ \   / __`\  /'_ `\
>  \ \ \/\ \/_/  /_\ \ \_\ \ \_\ \_/\ \L\ \/\ \L\ \ Azylog
>   \ \_\ \_\/\____\\/`____ \/\____\ \____/\ \____ \ Rte de Champagnole
>    \/_/\/_/\/____/ `/___/> \/____/\/___/  \/___L\ \ F-39300 Les Nans
>                       /\___/                /\____/ SIRET 49130560300020
>                       \/__/                 \_/__/
> Hébergement mutualisé & dédié - infogérance - noms de domaines
> GnuPG KeyID : 0x96E81867
> Fingerprint : 2275 A56D FF0E 252D AAB3 3C04 2016 F00A 96E8 1867
> ---------------------------------------------------------------------------
>
>
> ________________________________
> French Op
>
Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien Escario
Bonjour,

julien c a écrit :
> Bonsoir,
>
> Ça fonctionne avec ftp-sesame alors ?

Alors non, pas tout à fait.
Lorsque je lance ftpsesame (ftpsesame -D 7 -d), j'ai bien des choses du type :
#4 session init: client xx.xx.xx.xx:16051, server xx.xx.xx.xx:21


A priori, l'anchor ftpsesame existe :
# pfctl -vs Anchors
   ftpsesame

Mais, je n'ai aucune règle qui se créé :
# pfctl -a ftpsesame -s rules
#

J'ai lu quelque part qu'il devrait me créer des sub-achors mais visiblement, il
n'y en a aucune.

Une idée ?

Cordialement,
Julien Escario

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/ml

Reply | Threaded
Open this post in threaded view
|

Re: FTP et firewalling

Julien C-2
Bonsoir,

Je pense qu'il faudrait préciser l'if,
car les règles changent en fonction de l'interface ou ftp-sesame écoute, si
je ne dis pas de bêtises.

*CONFIGURATION EXAMPLES*
     To use the rules set up by *ftpsesame*, pf.conf(5) should be modified to
     use the anchor.  Below are examples that show most of the possibilities.

       # (1) Allow internal LAN to access FTP servers anywhere.
       #     (passive mode only if $lan is subject to NAT, see below)
       # cmd: ftpsesame -i $ext_if
       anchor "ftpsesame/*" on { $int_if, $ext_if }
       pass in  quick on $int_if proto tcp from $lan to any port 21 keep state
       pass out quick on $ext_if proto tcp from $lan to any port 21 keep state

       # (2) Allow access to FTP servers in the DMZ, while queueing the data
       #     transfers.
       # cmd: ftpsesame -i $dmz_if -q ftp
       queue ftp bandwidth 10%
       # passive
       anchor "ftpsesame/*" in  on $ext_if proto tcp from any to {
$ftp_servers }
       anchor "ftpsesame/*" out on $dmz_if proto tcp from any to {
$ftp_servers }
       # active
       anchor "ftpsesame/*" in  on $dmz_if proto tcp from {
$ftp_servers } to any
       anchor "ftpsesame/*" out on $ext_if proto tcp from {
$ftp_servers } to any
       # ... rules for port 21 omitted ...

       # (3) Allow access to FTP servers in the DMZ, using tagging for fine
       #     grained control.
       # cmd: ftpsesame -i $dmz_if -t ftpok
       anchor "ftpsesame/*"
       # passive
       pass in  quick on $ext_if proto tcp from to any to $realftp \
           port > 49151 tagged ftpok keep state
       pass in  quick on $ext_if proto tcp from any to $msftp \
           port 1023 >< 5001 tagged ftpok keep state
       pass out quick on $dmz_if all tagged ftpok keep state
       # active
       pass in  quick on $dmz_if proto tcp from $realftp to any \
           tagged ftpok keep state
       pass in  quick on $dmz_if proto tcp from $msftp port 20 to any \
           tagged ftpok keep state
       pass out quick on $ext_if all tagged ftpok keep state
       # ... rules for port 21 omitted ...

source :http://www.sentia.org/projects/ftpsesame/manpage.shtml

si ça peut aider.
++

2009/1/27 Julien Escario <[hidden email]>

> Bonjour,
>
> julien c a écrit :
>
>> Bonsoir,
>>
>> Ça fonctionne avec ftp-sesame alors ?
>>
>
> Alors non, pas tout à fait.
> Lorsque je lance ftpsesame (ftpsesame -D 7 -d), j'ai bien des choses du
> type :
> #4 session init: client xx.xx.xx.xx:16051, server xx.xx.xx.xx:21
>
>
> A priori, l'anchor ftpsesame existe :
> # pfctl -vs Anchors
>  ftpsesame
>
> Mais, je n'ai aucune règle qui se créé :
> # pfctl -a ftpsesame -s rules
> #
>
> J'ai lu quelque part qu'il devrait me créer des sub-achors mais
> visiblement, il n'y en a aucune.
>
> Une idée ?
>
> Cordialement,
> Julien Escario
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/ml
>
>