Acesse o FTPS de trás do Forefront TMG

Navegue suas respostas
2

Eu tenho um servidor web no qual o IIS 7 hospeda um site habilitado para SSL.

O cliente em que estou tentando se conectar está por trás do Forefront TMG corporativo. O aplicativo é Total Commander - um shell gerenciador de arquivos, que tem a capacidade de se conectar ao FTP SSL, colocando uma marca de verificação sobre SSL / TLS nas configurações de conexão FTP.

Quando o filtro de acesso ao FTP no FF está ativado, minha tentativa de conexão falha na etapa Negociando TLS da conexão FTP. O mesmo acontece mesmo se eu ativar o Allow Active FTP nas configurações do filtro.

Mas quando desativo completamente o filtro de acesso ao FTP no FF, consigo me conectar bem.

Como configurar o FF TMG para permitir FTPS?

    
por Maxim V. Pavlov 29.09.2011 / 11:51

1 resposta

2

TMG não suporta FTPS (FTP + SSL, em vez de SFTP ou SSH File Transfer, que geralmente funciona bem)

O FTPS é realmente difícil de fazer com um filtro FTP, porque o filtro NAT do FTP observa informações que o cliente por trás do NAT envia ao servidor FTP, e a criptografia faz com que elas não fiquem visíveis. E isso incomoda os inspetores de NAT.

Se o Total Commander for compatível com o uso de proxies HTTP, você poderá contornar isso com bastante facilidade, configurando-o para usar uma conexão HTTPS (via olde CONNECT-para-obter-um-TCP-channel).

Para que isso funcione, você também precisará configurar o TunnelPortRanges para permitir a porta de destino como se fosse SSL. link

Alternativa alternativa!

Se (lista longa aqui)

  • você está usando apenas o PASV (portanto, várias conexões de saída)
  • sua conexão inicial está na porta 21
  • você não está satisfeito com o cliente usando uma regra "todos os protocolos"

você pode configurar

  • uma definição de protocolo para saída TCP, porta de destino 21, não vinculada ao filtro FTP ("NONFTP FTPS")
  • uma regra que permite NONFTP FTPS do IP do cliente para o IP do servidor
    • (Estou supondo que precisa ser bloqueado para apenas um cliente e servidor; caso contrário, "em qualquer lugar" é bom se estiver tudo bem com você)
  • uma regra imediatamente após, DENYING FTP (o verdadeiro FTP) com a mesma fonte / dest
  • uma regra após aquela que permite todo o tráfego de saída entre o IP de origem e de destino (ou pelo menos, todas as conexões TCP nas portas esperadas)

E este conjunto de regras deve ser ordenado antes de qualquer outra regra que permita ao cliente acesso total a todos os protocolos e portas.

É importante que a regra DENY FTP seja

a) imediatamente após a regra de FTP especial que usa o protocolo com o filtro de aplicativo não vinculado e

b) antes de quaisquer outras regras que permitam ao cliente usar o Good Old FTP para o IP de destino (caso contrário, o TMG prefere a definição de protocolo com o filtro de aplicativo, que não queremos aqui - queremos que o TMG trate como TCP direto)

Eu acho que isso cobriria todos os cenários do FTPS. O mesmo princípio que este .

    
por 27.10.2011 / 10:40

Tags

Força um processo para atualizar o cwd após a montagem? Duas URLs para um site com SSL