Meilleures Pratiques du Proxy FTP
WatchGuard vous recommande d'utiliser les stratégies proxy FTP pour le trafic FTP entre votre réseau et les hôtes externes, ou depuis les utilisateurs externes vers un serveur FTP de votre réseau.
Lorsque vous configurez le proxy FTP, assurez-vous de choisir l'action de proxy correcte pour la stratégie. Pour une stratégie qui gère le trafic depuis votre réseau vers les hôtes externes, utilisez l'action FTP-Client. Pour une stratégie qui gère le trafic vers les serveurs de votre réseau depuis les utilisateurs externes, utilisez l'action FTP-Server.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour obtenir des informations sur le proxy TCP/UDP, consultez À Propos du Proxy TCP-UDP.
Pour des instructions détaillées sur la manière d'ajouter le proxy FTP à la configuration de votre Firebox, consultez Ajouter une Stratégie de Proxy à Votre Configuration.
Configuration du serveur FTP et Mode PASV
Certaines configurations de serveur FTP répondent avec l'adresse IP de la passerelle externe pour le réseau.
Cela n'est pas nécessaire car le proxy FTP de votre Firebox traduit les réponses PASV vers l'adresse IP externe et ajoute des règles pour les ports de données supplémentaires spécifiés dans la réponse PASV. Ce problème s'applique également aux filtres de paquets FTP avec SNAT.
Si vous hébergez un serveur FTP derrière votre périphérique Firebox qui prend en charge les connexions en mode passif (PASV), assurez-vous que l'adresse IP de réponse PASV corresponde à l'adresse IP de l'interface du serveur.