Bien le bonjour !
Si je me permets de créer un topic sur ce forum, c'est parce que je suis un peu perdu ! :(
Je vais essayer d'être clair, ce n'est pas évident ^^
Je suis actuellement entrain de mettre en place mon projet de stage en entreprise, remplacer un ancien proxy ISA 2000 par un proxy filtrant firewall Linux dans une grosse infrastructure en réseaux !
Pour l'instant, tout va bien ! J'ai réussi pas mal de choses comme l’authentification des groupes d'utilisateurs LDAP Active Directory sur Squid, les règles IPtables etc.
Malheureusement je bloque sur la chose suivante :
Nous voulons autoriser le FTP sur le réseau (mais seulement sur une section du réseau, grâce à une plage d'adresses IP, via IPtables).
L'histoire de règles IPtables, je me débrouille !
PAR CONTRE, j'ai de gros soucis avec Squid...
Si je laisse mon " squid.conf " sans rien changer, la connexion FTP (via FileZilla) est bloquée.
J'ai deux solutions (mais non viables) pour que la connexion FTP fonctionne :
- Commenter la ligne " http_access deny CONNECT !SSL_ports " pour qu'elle ne soit pas prise en compte.
- Ajouter dans l'ACL " acl SSL_ports port " TOUS les ports imaginables (0-65535)
J'ai remarqué dans l'access.log de Squid que lors d'une connexion FTP, le port du serveur FTP (AdresseIP:Port) changeait à chaque tentative de connexion. Je me suis dit que cela est normal, il s'agit sûrement de ports dynamiques.
Alors je me suis demandé (oui je sais, j'écris comme je parle lol ) comme puis-je savoir à l'avance quels ports indiquer dans l'ACL " acl SSL_ports port " pour qu'ils soient validés par la requête " CONNECT " et que la connexion FTP fonctionne ?
J'ai pensé alors à autoriser TOUS les ports pour la requête " CONNECT " MAIS uniquement quand c'est une connexion FTP qui est initiée.
Quelque chose du genre :
acl FTP proto FTP
acl PORTS_FTP port 0-65535
http_access allow CONNECT FTP PORTS_FTP
Mais ça ne fonctionne pas... j'ai cherché sur des tas de sites, sans résultats.
Peut-être que mon idée est mauvaise ou encore que c'est tout simplement impossible à mettre en place.
Je voudrais simplement faire fonctionner le FTP, ça ne doit pas être sorcier d'autant plus que c'est uniquement cette ligne qui me pose problème étant donné que quand je la vire, la connexion marche très bien ^^
Je vous serais très reconnaissant de m'aider, je suis bloqué sur cette étape depuis trop longtemps
Merci d'avance et bonne soirée !
clpeter