[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] ftp-proxy et pf

Laurent Cheylus a écrit :

Bonsoir,

On Mon, May 05, 2008 at 05:38:43PM +0200, Nicolas Letellier wrote:
J'ai encore essaye pleins de trucs, mais rien a faire, j'y arrive pas, quand je suis en block out, les connections FTP marchent pas :-( 
(...)

Je sais plus trop quoi faire la, j'ai un peu tout essaye...


Faut utiliser les "grands moyens" (si ce n'est deja fait) :

- lancer ftp-proxy avec logs de debug : -D level (de 0 a 7 : 7 etant le
  + verbeux)
- ajouter le flag -v a ftp-proxy pour que tes regles PF relatives au
  proxy FTP soient loguantes
- test d'une session FTP via le proxy vers un serveur donne avec
  captures tcpdump pour voir la ou "ca bloque"

Bonjour,
J'ai activé le logging dans ftp-proxy, rien. A croire qu'il n'est même pas utilisé ! J'ai essayé de suivre dans tcpdump l'interface pflog0 (j'ai tout loggué dans pf.conf). 
Revoici mon pf.conf :

 ext_if="sk0"

set skip on lo

nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr log on $ext_if proto tcp from 127.0.0.1 to any port ftp -> 127.0.0.1 port 8021 
anchor "ftp-proxy/*"
block in log
block out log

pass on $ext_if proto icmp
antispoof quick for { lo $ext_if }

pass in on $ext_if proto tcp to $ext_if port ssh
pass in on $ext_if proto tcp to $ext_if port smtp

pass out log on $ext_if proto tcp from $ext_if to port ftp
pass out on $ext_if proto tcp from $ext_if to port ssh
pass out on $ext_if proto tcp from $ext_if to port smtp
pass out on $ext_if proto tcp from $ext_if to port domain


J'initie une connection ftp avec :
ftp ftp://login:password AT serveur
Ca se logue bien, je suis connecté... Je viens pour faire un "ls" pour voir le contenu : 
200 Commande PORT executee
425 Impossible d'ouvrir une connexion de donnees sur le port 62825: Operation not permitted 

Voici ce qui c'est passé dans mon pflog0:
tcpdump: listening on pflog0, link-type PFLOG
May 06 09:52:07.199643 esgaroth.nicoelro.net.14249 > helm.nicoelro.net.ftp: [|tcp] (DF) May 06 09:52:09.843905 esgaroth.nicoelro.net.19948 > helm.nicoelro.net.30110: [|tcp] (DF)
A savoir, rien. Je vois bien la connection sur :21 pour le login, mais rien pour le transfert. Je crois que ftp-proxy n'est pas même utilisé (ma règle rdr serait fausse ???).
Je commence à douter de la faisabilité de mon truc là... Je lis partout des tutos pour ftp-proxy pour que des clients derrière un pf puissent faire du ftp... Mais quid du serveur pf lui-même ?? Peut-il faire des connections FTP sortantes avec ftp-proxy ? 

--
 - Nicolas.