Hello all,

Je deviens fou !

Je bataille depuis une semaine en vain, sur un FTP inaccessible en secureNAT .Depuis notre très récent passage à Isa 2006 Edition Standard SP1 à la place d'un proxy autre, certains sites nous posent problème dont celui ci :  ftp://ftp.etat-ge.ch/ et evidemment, ce dernier est très utilisé par quelques uns de nos utilisateurs.

Via IE7 sans passer par le module proxy, j'ai droit à une page blanche !
La journalisation sur Isa ne revele rien de particulier.
Via Filezilla, en accès direct, je reste bloqué sur la commande LIST qui du coup ne liste rien.

A noter qu' en passant par le module proxy, j'accède au site via IE 7 mais suis dans l'incapacité d'uploader sur ce même site (ce n'est pas un probleme de droit), l'affichage du site dans l'exporateur windows nous donnant un time out.

En clair, toute transaction sur ce site en secureNAT échoue !
si quelqu'un a une idée, je prends ;-)

ps : l'adresse donnée n'accède à aucun dossier mais à la racine du site.

Bonjour Phil,

 j'accède à ce site sans problème (à travers un ISA 2006) en mode SecureNat.

 J'ai le même résultat avec IE (sans proxy), et avec FTP.EXE

 La liste est vide, mais répond sans problème !

 Peux-tu nous donner plus d'éléments?

 Merci.

Merci de ta réponse

J'ai trouvé d'autres sites FTP qui ne fonctionnent pas en secureNAT. C'est notre config qui a un problème mais je vois vraiment pas.
A noter que le traffic pop/smtp fonctionne sans problème a travers l'ISA.

J'ai une regle qui autorise tout le traffic à tout le monde à destination de l'IP du site.
j'ai une passerelle par défaut sur la patte WAN du ISA.
J'ai décoché "lecture seule" dans les proprietes des regles concernant le FTP.
le filtre d'accès FTP est activé.

Isa est installé en mode périmètre 3 parties.

J'ai mal apprécié le problème.
En fait, c'est tous les sites FTP qui sont inaccessible (le LIST ne fonctionne pas, que ce soit au niveau de IE ou filezilla).

Par contre du nouveau,

ça fonctionne dorénavant avec Filezilla en activant le mode ACTIF.
Par contre avec IE7 et en secureNAT, que ce soit en mode actif ou passif, ça ne fonctionne pas (idem avec firefox portable en secureNAT)

phil:

...A noter qu' en passant par le module proxy, j'accède au site via IE 7 mais suis dans l'incapacité d'uploader sur ce même site (ce n'est pas un probleme de droit), l'affichage du site dans l'exporateur windows nous donnant un time out.

En clair, toute transaction sur ce site en secureNAT échoue !
si quelqu'un a une idée, je prends ;-)

ps : l'adresse donnée n'accède à aucun dossier mais à la racine du site.

Pour info Quand un ordinateur client fait une demande en tant que client du proxy Web, les demandes FTP sont transmises sur HTTP et uniquement les téléchargements FTP sont pris en charge.(donc pas d'upload FTP)

L'upload FTP est pris en charge uniquement avec les client SecureNat et les client Pare-feu ISA.

Pour le probleme d'acces FTP avec les client SecureNat verifier les point suivant :

• assurez vous que Les clients ont comme passerelle l'adresse IP de la machine ISA
• les clients doivent être en mesure de résoudre le nom du serveur FTP eux-mêmes. Veiller à ce que la résolution de nom fonctionne correctement pour les clients SecureNAT
• assurez vous que le filtre FTP est activé
• Vérifiez que la règle d'accès est configuré pour autoriser l'accès FTP sortant, La règle devrait être appliquée à tous les utilisateurs vu que les clients SecureNAT ne peuvent pas utiliser les règles d'accès nécessitant l'authentification.

Cordialement,

Merci mais tous ces points ont déjà été vu et revus.
Je vais tenter cette manip ..> http://support.microsoft.com/kb/817829/fr

Pour info, on a un deuxieme firewall (appliance) derriere Isa mais visiblement, il n'empeche pas le traffic de passer.
Par contre, je me demande si deux NAT consécutifs ne sont pas la source du problème.
J'ai essayé en changeant les regles de reseau (interne ---> externe en routage au lieu de NAT sur le ISA ) ... mais plus aucun traffic ne passe.

Bonsoir,

Si ISA Server et mis en place en tantque "pare-feu" avant dans votre architecture, vous devez configurer ISA avec le modèle réseau "pare-feu avant ".

Merci de nous expliquer l'architecture de votre reseau et la position de ISA Server.

Bonjour,

 Le problème est plus général qu'un accès FTP en fait.
Je crée un autre topic avec un schéma réseau

oussema:

Si ISA Server et mis en place en tantque "pare-feu" avant dans votre architecture, vous devez configurer ISA avec le modèle réseau "pare-feu avant ".

Bonsoir,

Pour le coup, ca serait plutot parefeu arriere.
On a préféré laisser le ISA s'occuper de la gestion des DMZ.