Bonjour,
J'ai suivi les recommandations d'OVH concernant la sécurité (Firewall plesk, fail2ban et firewall ovh) :
https://docs.ovh.com/pages/releaseview.action?pageId=18122075
d'un VPS mais je rencontre un soucis. Explications.
En activant les deux firewalls (plesk + ovh), je ne pouvais plus du tout me connecter avec FileZilla sur mon FTP.
J'ai désactivé le firewall ovh, je peux de nouveau me connecter à filezilla mais je ne peux pas récupérer le contenu des dossiers.
J'ai désactivé le firewall Plesk et maintenant je peux bien récupérer les dossiers avec mon client FTP… mais du coup, je n'ai plus du tout de firewall !!!
Ma question est donc le suivante :
Comment configurer le firewall OVH + le firewall PLESK pour accéder au serveur FTP de mon VPS avec Filezilla (ou n'importe quel autre logiciel FTP ceci dit) ?
J'ai beau cherché mais rien n'y fait, je ne trouve pas la solution (guide, forum…etc).
Je précise que j'ai suivi exactement ce qui est écrit dans le guide OVH (cf. lien ci-dessus).
Merci par avance pour vos réponses.
Salut moi aussi j'avais eu rencontré ce problèmes cette information tu le retrouve les information de KB de plesk ce trouve excatement sur http://kb.plesk.com/en/119525.
Bonjour,
je suis également intéressé pour savoir comment configurer le firewall au niveau infra OVH (pas celui de mon serveur) ; j'ai vu plusieurs fois la question mais jamais la réponse
Dans l'interface OVH, on ne peut pas indiquer une plage de ports, du coup comment fait-on pour autoriser le mode passif ?
Merci
NHL
Bonjour @NicolasL31
Vous trouverez le guide OVH de config du FW network (manager) ici :
https://docs.ovh.com/fr/dedicated/firewall-network/
A savoir que ce FW ne fonctionne qu'en entré du réseau OVH… il vient donc soulager le FW de votre serveur et non le suppléer.
Par conséquent, vous ne pouvez ouvrir que des ports unitaires. IL n'y a pas de mode Passif a ma connaissance.
Voyez ça comme un premier "bastion".
C'est loin d'être parfait mais c'est déjà sa !!
Jalinn
Bonjour,
A savoir que ce FW ne fonctionne qu'en entré du réseau OVH
et par défaut est seulement actif en cas de mitigation (du coup si on force le firewall il me semble que cela force la mitigation avec les effets de bord qui vont avec).
Cordialement, janus57
et par défaut est seulement actif en cas de mitigation (du coup si on force le firewall il me semble que cela force la mitigation avec les effets de bord qui vont avec).
Hello
Une fois activé il est actif oui.
C'est un FW séquentiel avec des règles "ACCEPT" par défaut.
Donc si aucune règle, tout passe.
Il s'active automatiquement en cas d'auto-activation de la mitigation... et reste opérationnel même après la fin de l'attaque DDoS.
Donc si vous avez mis des règles mais que vous ne l'utilisez pas, pensez bien à toute les effacer... ou tout du moins enlever les règles de drop.
Vous pouvez également passer en mitigation permanente via le même menu du manager (dedié > ip )
Jalinn
Bonjour,
En résumé, que faut-il mettre comme règle(s) dans le FW pour que le FTP (sous Plesk) fonctionne ?
Ce serait si simple de pouvoir inclure une 'range' de port.
Merci d'avance pour votre réponse
que faut-il mettre comme règle(s) dans le FW pour que le FTP (sous Plesk) fonctionne ?
Je ne connais pas Plesk, mais pour FTP vous devez déjà analyser 2 cas:
votre utilisateur distant emploie le mode normal
ou il emploie le mode passif
La connexion FTP passe toujours sur le port 21 pour les commandes, et un autre port (20) pour le transfert des données. Une liste de fichiers (DIR ou LS) est aussi un transfert de données.
Selon le mode passif ou non , c'est votre serveur FTP qu tentera d'établir la connexion de données, ou bien l'utilisateur distant.
Si c'est votre serveur (en mode normal), c'est une connexion sortante et ça ne posera généralement que peu de problème pour un firewall mais ça compliquera la vie à l'utilisateur final qui est derrière une box et un NAT à devoir traverser.
D'où l'intérêt pour le mode passif, mais dans ce cas c'est l'utilisateur final qui ouvre la connexion data vers votre serveur, vers un n° de port négocié via le canal de commande.
Si votre firewall analyse le trafic de données sur le port 21 pour savoir quelle connexion va arriver, il peut agir en conséquence.
S'il est agnostique et n'analyse pas le trafic FTP, il ne peut pas prévoir la connexion data qui va arriver.
Si votre machine doit être bien barricadée, il faudrait renoncer à FTP et employer un protocole sécurisé comme SFTP (sous ssh/22) ou bien des webservices avec SSL.