Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 3 subscribers
  • Views 35503 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access any external FTP server

Jeff x
I host an internal FTP server and I can access it just fine from internal and external hosts.
 
However, I cannot access any external/public FTP servers from any internal hosts.
 
I have the following rule for external FTP access:
 
It does not matter if I make it the first rule or any other position.

 
For testing, I have turned off all DNAT and Full NAT rules for my internal FTP server but I still cannot access any external FTP servers.
 
I'm not using the FTP proxy under Web Protection.
 
Below are the DNAT and Full NAT rules for my internal FTP Server:

 
Below is the Full NAT rule that allows internal hosts to access the internal FTP server:

 
What am I doing wrong? I see nothing related in the Firewall or IPS logs.


This thread was automatically locked due to age.
  • 0
    Suppose you run your own internal DNS server, this server could be used as an alternate server to resolve DNS queries for a domain you do not want to be resolved by DNS forwarders 
    You don't have an internal DNS Server, but if in the DHCP lease you have internal address of UTM as primary DNS, your UTM is the DNS Server

    Request Routing
    If in that server (No2) is configured a domain name for LDAP or Email, Request Routing will tell to the end user go to look to that Dns host and the host will tell to the user Yes I have that name and here is the IP

    Static Entries 
    In this case UTM himself will tell to the end user Yes I have it, here is the IP

    In both cases you will have success [:)]
  • 0
    The No2 DNS service can handle 
    mail.domain.com
    branch.domain.com
    www.domain.com 

    With Request Routing you don't need to configure all the sub-domains in Static Entries

    Hope this is helpful
  • 0 in reply to Ol Deda
    The No2 DNS service can handle 
    mail.domain.com
    branch.domain.com
    www.domain.com 
     
    With Request Routing you don't need to configure all the sub-domains in Static Entries
     
    Hope this is helpful

     
    Yes, very helpful. It is making more sense to me now. The manual does not explain any of this. I wish it was more descriptive.
     
    Thank you [:)]
  • 0
    oldeda, the No2 machine has multiple internal IP addresses, a webserver, email server and a FTP server. Each server listens on different ports and IP addresses for different FQDN's and subdomains. Some domains will have multiple IP addresses because each subdomain has its own SSL cert.
     
    For my steup, I'm assuming Static Entries would work but Request Routing would not?
  • 0
    Yes, since you're not running an internal name server, you have to use the UTM to provide name resolution with Static Entries.  Compared to using Full NATs, you will find that this results in a clearer, easier-to-manage setup.

    Cheers - Bob
  • 0
    you can test it without and tell us the result cause i just olny tested once long time ago
    Another thing, Static entries will work better if you don't want to do the hard work in No2 server configuring Dns zones etc. One host for one domain, even if the host name is different.
    domain.com is fpr all services in that ip ftp, smtp, http etc
    Defining very well the host No2 with 3 dns names will be easier
  • 0
    OK. I'll try Static DNS again and report back.
     
    I had a major configuration issue with dropped connections and weird traffic when I originally set up Sophos and I never determined the cause. I attributed it to a conflict with the Static DNS Entries because since switching to FNATs, the problem never reoccurred with my new install. May not be related but that was the only difference between my old and new configuration.
  • 0
    One more question... This is a home network/lab and I'm still learning. Do you recommend setting up the DNS service on the No2 server instead of setting Static Entries in Sophos? The No2 server is Windows 2008 R2 and already has a web server, email server and an FTP server. Will enabling the DNS service on No2 be wise since that server is already running those other services? It's a home network with less than 25 PC's/devices so it does not get a ton of traffic and the public websites I host don't get that many hits either.
  • 0
    Satic Entries will be the best thing to do! It will remain in UTM, and you have the choice to test with 2008. In UTM 9.1, Host Definition has nice features for easy job. You don't have the plan to point No2 ip as primary dns in those 25 pc [:)] let the Utm handle that cause will never turned off
  • 0
    Thanks guys [:)]
     
    I went ahead and removed all FNAT's and set up the Static Entries and it seems to be working just fine.
     
    FYI - Because of this KB article (Accessing Internal or DMZ Webserver from Internal network (Astaro Security Gateway), I originally thought I had to use Full NATs instead of Static DNS Entries since I'm not currently using the HTTP proxy. At least that's the way I read the KB article.