Dans cette configuration, nous allons mettre en place un accès à un serveur FTP à travers HAProxy. Ce guide vous aidera à configurer correctement HAProxy pour gérer le trafic FTP, en particulier en mode passif, où les transferts de données se font via des ports dynamiques. Nous prendrons en compte la configuration du serveur FTP (par exemple, vsftpd) ainsi que la gestion des règles de pare-feu nécessaires pour que les connexions FTP puissent passer correctement.
Table of Contents
Prérequis :
- HAProxy installé sur le serveur proxy.
- vsftpd (ou tout autre serveur FTP) installé sur un serveur backend.
- Accès administrateur pour configurer les règles de pare-feu (
iptablesou autre) et la configuration réseau.
Configuration du serveur FTP (vsftpd)
Le serveur FTP vsftpd doit être configuré pour prendre en charge le mode passif. Ce mode exige que le serveur spécifie une plage de ports pour les transferts de données, et que l’adresse IP publique (ou celle de HAProxy) soit fournie au client.
Exemple de configuration vsftpd :
Dans le fichier /etc/vsftpd/vsftpd.conf, ajoutez les options suivantes :
# Activer le mode passif
pasv_enable=YES
# Spécifier une plage de ports pour les connexions passives
pasv_min_port=20000
pasv_max_port=21000
# L'adresse IP publique de HAProxy (ou l'adresse publique si le serveur est accessible directement)
pasv_address=<adresse_IP_HAProxy>
# Activer les connexions sur le port 20 pour les transferts actifs
connect_from_port_20=YESConfiguration de HAProxy
HAProxy doit être configuré pour rediriger à la fois le canal de commande FTP (port 21) et les connexions passives (plage de ports définie dans vsftpd) vers le serveur FTP backend.
Exemple de configuration HAProxy :
Frontend pour le canal de commande FTP (port 21) :
frontend ftp_frontend
bind *:21
mode tcp
option tcplog
default_backend ftp_backendBackend pour le canal de commande FTP :
backend ftp_backend
mode tcp
option tcplog
server ftp_server 192.168.1.100:21 check send-proxyFrontend pour les connexions passives (plage de ports 20000-21000) :
frontend ftp_passive
bind *:20000-21000
mode tcp
option tcplog
default_backend ftp_passive_backendBackend pour les connexions passives :
backend ftp_passive_backend
mode tcp
option tcplog
server ftp_server 192.168.1.100 send-proxyConfiguration des flux réseau
Pour que les connexions FTP en mode passif fonctionnent correctement, tous les flux entre HAProxy et le serveur vsftpd doivent être ouverts sur les ports suivants :
- Port 21 pour le canal de commande FTP.
- Plage de ports passifs (dans cet exemple, de 20000 à 21000) pour les transferts de données FTP passifs.
Exemple de règles iptables pour ouvrir les flux entre HAProxy et vsftpd :
Sur le serveur FTP (vsftpd) :
# Autoriser le port 21 pour le canal de commande FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Autoriser la plage de ports passifs pour FTP (par exemple 20000-21000)
iptables -A INPUT -p tcp --dport 20000:21000 -j ACCEPT
# Autoriser les connexions établies pour FTP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Activer le suivi des connexions FTP (module conntrack)
modprobe nf_conntrack_ftpConclusion
Pour que le FTP passif fonctionne correctement via HAProxy, il est essentiel de :
- Configurer vsftpd pour qu’il utilise une plage de ports passifs spécifique et renvoie l’adresse IP publique ou celle de HAProxy.
- Configurer HAProxy pour rediriger à la fois le port 21 et la plage de ports passifs.
- Ouvrir les flux réseau nécessaires entre HAProxy et le serveur FTP pour garantir que les transferts de données passifs puissent avoir lieu.
En suivant cette configuration, vous garantirez un accès FTP fluide via HAProxy avec des transferts en mode passif.
