vous devez connaitre la liste

Commencez par indiquer le système et le serveur utilisé. Apparemment vous utilisez Windows et le serveur IIS. Indiquez aussi quel parefeu vous utilisez.

Il faut consulter la configuration du serveur ftp et déterminer la liste des ports utilisés.

Il suffit ensuite d'ouvrir ces ports au niveau du parefeu et les rediriger vers le serveur écoutant sur ces ports.

Le serveur IIS de Microsoft utiliserait une plage de ports pour le mode passif. Il faut donc choisir une plage (pas trop grande) puis ouvrir tous ports de la plage sur le parefeu et les rediriger vers le serveur FTP. C'est expliqué sur la page suivante en anglais:

Configuring FTP Firewall Settings in IIS 7

Ne confondez pas le parefeu de votre réseau et le parefeu de chaque machine Windows située dans la DMZ car chaque machine a en théorie son propre parefeu.

Cette page indique comment configurer le parefeu sur le serveur mais comme votre serveur est dans une DMZ, cette manoeuvre ne vous concerne pas. Mais vous devez communiquer la liste des ports utilisés par le serveur au parefeu de votre réseau et c'est bien expliqué sur la page précédente.

Bonne chance.

Firewall-DMZ-mode passif

Bonjour;
dans notre cas, on n'a pas installé un serveur ftp sur le serveur web, on a activé et configuré uniquement le service ftp de windows qui ne permet pas de limiter les ports utilisés pour le mode passif (fonctionnalité inexistante contrairement au serveur ftp).
avec le même environnement, les mêmes ports ouverts pour les protocoles http, ftp et ftp data, j'ai pu télécharger les données en mettant ce serveur web derrière le firewall directement. dès que je l'ai branché dans la DMZ, la lecture et le téléchargement à partir du répertoire partagé se bloque; sachant qu'on utilisant un client ftp (file zella), la connexion aux données (data connexion) à partir de ce client, se faisait correctement même pour la lecture du répertoire partagé.
environnement : systeme windows 2003 ; serveur IIS ;service ftp windows; Firewall cisco PIX
merci pour votre collaboration.

Redirection de ports

Vous dites que tout fonctionne bien lorsque vous placez ce serveur web derrière le firewall directement. Qu'entendez-vous par directement ?

Lorsque vous placez le serveur web dans la DMZ, existe-t-il une ou des machines entre le serveur web et le pare-feu ? L'adresse IP du serveur web est-elle la même selon qu'il est branché directement sur le pare-feu ou qu'il est placé dans la DMZ ?

Vous devriez effectuer un schéma de votre dispositif, c'est indispensable pour la compréhension du trafic réseau.

Je pense que ce doit être un problème de redirection de ports. Le pare-feu est configuré pour filtrer le trafic. Les requêtes qui lui sont adressées sur des ports quelconques sont bloquées alors que les requêtes adressées sur les ports http; ftp et ftp-data sont redirigées vers la machine assurant ces services (votre serveur web). C'est la redirection de ports. Mais s'il existe une ou des machines entre le firewall et le serveur alors ces machines doivent elles aussi rediriger le trafic sur les ports http, ftp et ftp-data vers le serveur.

Voici une capture d'un schéma tiré de la documentation Cisco (page 426) disponible ici. Il explique bien le principe de redirection et montre l'importance du schéma

Exemple de dispositif utilisant la redirection de ports.

Dmz

Bonjour;
je voulais dire par directement; le branchement du serveur web dans le switch, connecté au firewall et rassemblant les autres serveurs du LAN, dans ce cas là, le téléchargement des données (images) fonctionne, par contre en débranchant ce serveur web du switch en le mettant seul dans la DMZ, le téléchargement de l'image devient impossible. (l'adresse IP du serveur change bien sur en le mettant dans la DMZ , elle n'est pas la même lorsqu'on le branche dans le switch du LAN des autres serveurs)
mes remerciements

topologie et schéma

Donc il s'agit bien d'un problème de redirection des ports http et ftp.

Comment le trafic est-il routé entre le parefeu et la DMZ ?

S'il existe un routeur intermédiaire, il faut configurer le parefeu afin qu'il redirige le trafic entrant (http ftp ...) vers ce routeur puis configurer ce routeur pour qu'il achemine le même trafic vers le serveur web.

Cela dépend de la topologie de votre réseau.

Bonne chance.

plus d'info seraient les bienvenu

quels adressage retenus pour le lan et la dmz?
tu te place ou pour accéder au serveur dans la dmz dans le wan ou le lan? mappages nécessaires si tu veux accéder wan vers la dmz ou lan vers dmz (interconnexion déconseillé)

Dmz

au niveau du routeur, une route a été definie reliant les deux réseaux: WAN (direction distante) et le serveur web dans la DMZ
au niveau du firewall: autorisation (ACL) http, ftp, ftp data entre les machines de la direction distante et serveur web dans la DMZ.
schéma


------------- LAN siège principal (@ IP 10.X.Y.0)
------------------|
siège principal ---Firewall---Routeur___WAN___Routeur---Firewall---direction
--------------------- |
----------- ------ DMZ : serveur
------------------ web (@IP 10.M.N.P)

mes remerciements

La documentation Cisco aide bien

Vous cherchez à connecter deux sites distants, le second offrant au premier des services web, ftp et ftp-data.

Vous devez donc configurer le parefeu du deuxième site afin qu'il redirige le trafic http, ftp et ftp-data arrivant sur son interface WAN (outside) vers le serveur web dont l'adresse est 10.M.N.P.

D'après la documentation Cisco dont je vous ai donné le lien plus haut, un parefeu est appelé Security Appliance (sa). L'exemple capturé plus haut montre justement comment rediriger le trafic arrivant sur le port 80 (www) du parefeu (sa) vers un serveur web situé dans le réseau interne (DMZ ou autre n'a pas d'importance car c'est l'adresse IP du serveur qui importe).

La documentation est reproduite ci-après. J'ai remplacé l'adresse IP du serveur web de l'exemple (10.1.1.5) par celle de votre serveur web (10.M.N.P):

La commande apparait en gras. Le texte qui précède ( hostname(config)# ) est le prompt (invite) d'un shell unix apparement. hostname est le nom d'hôte du parefeu. Je pense que ces commandes d'administration sont tapées au niveau du parefeu en s'y connectant via une console sèrie.

Essayez de vous connecter au serveur web depuis le site 1 et si cela fonctionne refaites la même chose en remplaçant www par ftp puis par ftp-data. Il faudra ajouter aussi les ports utilisés dans le mode passif (voir la configuration du serveur FTP pour avoir la liste de ces ports).

Il est évident que le trafic entre les interfaces WAN (outside ou internet) des deux sites doit être sécurisé dans un tunnel VPN. De même le parefeu du site 2 doit être configuré pour n'accepter que les connections venant de l'adresse WAN du site 1.

Lorsque le dispositif est fonctionnel, n'hésitez pas à faire des tests d'intrusion depuis une troisième machine connectée à internet et ne disposant pas d'une adresse IP apparaissant dans la configuration de l'un ou l'autre des parefeux.

Bonne chance.

Redirection des ports

Bonjour;
j'ai connecté le serveur web sur un réseau LAN portant la même plage d'adressage que l'interface du firewall (inside) , sachant que la ligne de transmission est une ligne X25 (debit 64 b/s); ça a marché sans toucher au routeur. une fois le serveur a été remis à la DMZ (autre plage d'adressage) , avec le même débit, ça ne marche pas. sachant qu'on a autorisé, dans le firewall, les deux cas de figures (LAN et DMZ).
mes remerciements

route entre parefeu et DMZ

Le protocole X25 a été abandonné au profit du protocole XOT (X25 Over Tcp) de Cisco.

Je pensais que vous utlisiez des connexions ethernet.

Apparemment votre parefeu est déja configuré pour rediriger le trafic mais vers une mauvaise plage ou plutòt vers le mauvais réseau.

Si l'interface interne du parefeu et la DMZ sont sur deux réseaux distincts (LAN et DMZ) alors cela signifie qu'il existe un routeur entre le parefeu et la DMZ. C'est surement le routeur de la DMZ. Le rôle d'un routeur est justement de connecter deux réseaux distincts (routeur ou passerelle).

Il faut donc rediriger le trafic arrivant sur le parefeu vers ce routeur puis paramétrer ce routeur afin qu'il redirige le trafic vers le serveur.

Tapez la commande traceroute depuis le serveur web en indiquant l'adresse IP du parefeu pour connaitre la liste des machines situées entre le serveur web et le parefeu.