web-dev-qa-db-ja.com

ForefrontTMGの背後からFTPSにアクセスする

IIS 7SSL対応サイトをホストするWebサーバーがあります。

接続しようとしているクライアントは、企業のForefrontTMGの背後にいます。アプリはTotalCommander(ファイルマネージャーシェル)であり、FTP接続設定でSSL/TLSにチェックマークを付けることでSSLFTPに接続できます。

FFのFTPアクセスフィルターが有効になっていると、FTP接続のTLSステップのネゴシエーションで接続の試行が失敗します。フィルタの設定で[アクティブFTPを許可]を有効にしても同じことが起こります。

しかし、FFでFTPアクセスフィルターを完全に無効にすると、正常に接続できます。

FTPSを許可するようにFFTMGを構成するにはどうすればよいですか?

2
Maxim V. Pavlov

TMGはFTPSをサポートしていません(SFTP、またはSSHファイル転送ではなくFTP + SSLであり、通常は正常に機能します)

FTP NATフィルターは、背後にあるクライアントNATがFTPサーバーに送信する情報を監視し、暗号化が原因であるため、FTPSをFTPフィルターで実行するのは非常に困難です。そして、それはNAT検査官を悩ませます。

Total CommanderがHTTPプロキシの使用をサポートしている場合は、代わりにHTTPS接続を使用するように構成することでこれをかなり簡単に回避できます(古いCONNECT-to-get-a-plain-TCP-channelハックを使用)。

これを機能させるには、SSLであるかのように宛先ポートを許可するようにTunnelPortRangesを構成する必要もあります。 http://technet.Microsoft.com/en-us/library/cc302450.aspx

代替代替案!

If(ここに長いリスト)

  • pASVのみを使用している(したがって、複数のアウトバウンド接続)
  • 最初の接続はポート21です
  • 「すべてのプロトコル」ルールを使用しているクライアントに不満はありません

その後、設定することができます

  • TCPアウトバウンド、宛先ポート21、FTPフィルターにバインドされていない( "NONFTP FTPS")のプロトコル定義
  • クライアントIPからサーバーIPへのNONFTPFTPSを許可するルール
    • (1つのクライアントとサーバーのみにロックダウンする必要があると想定しています。それ以外の場合は、問題がなければ「どこでも」問題ありません)
  • その直後のルール、同じ送信元/宛先のFTP(実際のFTP)を拒否する
  • 送信元IPと宛先IPの間のすべてのアウトバウンドトラフィックを許可するルール(または、少なくとも、予想されるポートでのすべてのTCP接続))

また、この一連のルールは、クライアントがすべてのプロトコルとポートに完全にアクセスできるようにする他のルールの前に注文する必要があります。

DENYFTPルールが重要です

a)アプリケーションフィルターがバインドされていないプロトコルを使用する特別なFTPルールの直後、および

b)クライアントがターゲットIPに対して古き良きFTPを使用できるようにする可能性のある他のルールの前(それ以外の場合、TMGはアプリケーションフィルターを使用したプロトコル定義を優先しますが、これはここでは必要ありません-TMGにストレートのように処理させますTCP)

私はthinkこれはすべてのFTPSシナリオをカバーすると思います。 this と同じ原理。

2
TristanK