[PF Sense] problème data FTP dans une DMZ en IPs Publiques

[BlueBenjamin]

Bonjour,

Je rencontre des difficultés à autoriser l'accès à mes serveurs FTP dans la DMZ depuis l'exterieur au travers de mon PFSense.

Voici ma configuration :

J'ai un pool de 16 adresses IP Publiques dispatché selon l'exemple ci dessous :
84.0.0.1 : routeur du FAI
84.0.0.2 : interface wan du PFSense
84.0.0.3 : interface lan (bridged sur la wan) du PFSense
84.0.0.4 : serveur WEB/FTP
...


Mon PFsense sert de firewall entre internet et ma DMZ. Les règles concernant le HTTP, VNC, SSH et autres protocoles ne m'ont pas posées de problèmes et fonctionnent correctement.

J’ai une règle qui autorise le protocole FTP (port 21) mais cela ne laisse passer que les commandes mais pas la data. Ainsi au travers du PFSense je peux me connecter au serveur FTP mais pas lister, uploader ou récupérer des fichiers.

Je cherche donc à utiliser le proxy FTP pftpx (FTP Helper) afin de pouvoir autoriser les ports data à passer, dès qu’une connexion sur le port 21 est ouverte. J’ai essayé de jouer avec le FTP Helper du port wan et lan (DMZ pour moi) mais rien de probant. J’ai essayé d’y associé des règles de NAT pour le port 21 vers le 127.0.0.1 pour utilisé le proxy ftp mais toujours pas de réussite. Lorsque je regarde les processus qui tournent sur PFsense le service « pftpx » n’est pas systématiquement en marche. J’ai l’impression qui se déclenche à la demande.

Ma question est donc : Est-ce que quelqu’un à déjà rencontré ce cas là et aurai une solution propre sans ouvrir une grosse plage de port correspondant aux ports data attribué à la volé.

De même, je ne souhaite pas modifié la configuration des mes serveurs FTP et jouer avec les paramètres Passif/Actif car les clients sont des utilisateurs standards ne désirant pas forcement joué avec les paramètres de leurs clients FTP.

Je reste à votre disposition pour toute précision que vous souhaiteriez et je vous remercie d’avances pour votre attention et vos possibles réponses.

Benjamin