Назад | Перейти на главную страницу

Доступ к FTPS из-за Forefront TMG

У меня есть веб-сервер, на котором IIS 7 размещает сайт с поддержкой SSL.

Клиент, с которым я пытаюсь связаться, стоит за корпоративным Forefront TMG. Приложение представляет собой Total Commander - оболочку файлового менеджера, которая имеет возможность подключаться к SSL FTP, установив галочку через SSL / TLS в настройках FTP-соединения.

Когда фильтр доступа к FTP в FF включен, моя попытка подключения не удалась на этапе Negociating TLS FTP-подключения. То же самое происходит, даже если я включу «Разрешить активный FTP» в настройках фильтра.

Но когда я полностью отключаю фильтр доступа к FTP на FF, я могу нормально подключаться.

Как настроить FF TMG для разрешения FTPS?

TMG не поддерживает FTPS (это FTP + SSL, а не SFTP или SSH File Transfer, который обычно работает нормально)

FTPS действительно сложно сделать с фильтром FTP, потому что фильтр FTP NAT отслеживает информацию, которую клиент за NAT отправляет на FTP-сервер, а шифрование делает ее невидимой. И это раздражает инспекторов NAT.

Если Total Commander поддерживает использование HTTP-прокси, вы можете довольно легко обойти это, настроив вместо него использование HTTPS-соединения (с помощью старого взлома CONNECT-to-get-a-plain-TCP-channel).

Чтобы это работало, вам также необходимо настроить TunnelPortRanges, чтобы разрешить порт назначения, как если бы это был SSL. http://technet.microsoft.com/en-us/library/cc302450.aspx

Альтернативная альтернатива!

Если (длинный список здесь)

  • вы используете только PASV (поэтому несколько исходящих подключений)
  • ваше первоначальное соединение находится на порту 21
  • вы не недовольны тем, что клиент использует правило "все протоколы"

тогда вы могли бы настроить

  • определение протокола для исходящего TCP, порт назначения 21, не привязанный к фильтру FTP ("NONFTP FTPS")
  • правило, разрешающее NONFTP FTPS с IP-адреса клиента на IP-адрес сервера
    • (Я предполагаю, что он должен быть привязан только к одному клиенту и серверу; в противном случае «где угодно» подойдет, если вас это устраивает)
  • правило, следующее сразу за этим, ОТКАЗЫВАЕТ FTP (настоящий FTP) с тем же источником / назначением
  • правило, следующее за тем, которое разрешает весь исходящий трафик между IP-адресом источника и IP-адресом назначения (или, по крайней мере, все соединения TCP на ожидаемых портах)

И этот набор правил должен быть упорядочен перед любыми другими правилами, разрешающими клиенту полный доступ ко всем протоколам и портам.

Важно, чтобы правило DENY FTP

a) сразу после специального правила FTP, использующего протокол с несвязанным фильтром приложений, и

б) перед любыми другими правилами, которые могут позволить клиенту использовать старый добрый FTP для целевого IP (в противном случае TMG предпочитает определение протокола с фильтром приложения, чего мы здесь не хотим - мы хотим, чтобы TMG рассматривал его как прямое TCP)

я считать это охватывало бы все сценарии FTPS. Тот же принцип, что и этот.