Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 6360 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot transfer FTP Server to Server via Astaro Security Gateway

lvnambk
Dear all,

I have problem with FTP transfer when using ASG 425, V8.

Our customer requires files are transfered from one FTP Server (A) to other FTP Server (B). These two FTP servers are on different networks.
A: 192.168.11.30/24
B: 192.168.20.200/24.

the software controls file transferring is on computer (C) in the same network with (A): 192.168.11.14/24. I have installed Flash FXP as FTP Client because it can support FTP Site to Site transfer.

I have turned off all firewall rules on ASG, (allow every protocol/service on any network), turn off IPS.

I have created Static Route for routing between two networks.

The problem as following:

if (A), (B), (C) on the same network, every thing is OK.

if (A), (B), (C) on different network as the above, It cannot transfer file from FTP A to FTP B.

I think problem is from routing on ASG. Please help me to solve this problem, any your idea is very useful for me, thank you very much.

The following is my network diagram and some configuration and test:



This thread was automatically locked due to age.
Parents
  • 0
    Hi, lvnambk, and welcome to the User BB!  In addition to the excellent ideas provided by Barry and Scott, ...

    In your diagram: 1. You do not need a static route for networks that both are attached to the Astaro.  You only need packet filter rules.

    Do you have the FTP Proxy enabled in the Astaro?  If you do, in which mode?

    Cheers - Bob
Reply
  • 0
    Hi, lvnambk, and welcome to the User BB!  In addition to the excellent ideas provided by Barry and Scott, ...

    In your diagram: 1. You do not need a static route for networks that both are attached to the Astaro.  You only need packet filter rules.

    Do you have the FTP Proxy enabled in the Astaro?  If you do, in which mode?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Thank you for your replies. 

    To the Scott's idea, I have enabled FTP service in Packet filtering but still cannot transfer files between A, B. I cannot see any usefull information in packet filter log.

    To the BALfson's idea, I have tried with FTP proxy enabled and disable. With FTP proxy enabled, I used Transparent mode. Transfering file still failured.
    Please note that I issue command for hos A transfer file to host B from host C. The transfering here is Site To Site FTP file transfer, not much FTP client software support this capacity (Flash Fxp software can support: Download FlashFXP - FTP, FTPS, SFTP Client software by OpenSight Software)

    In my test, If I run Flash FXP on the Host A or Host B then issue copy command for host A transfer file to host B, the transfering OK but when I run Flash FXP on host C then issue copy command, the transfer failures.

    I am a programmer and beginner to network security, I can summerize the site to site transfer mechanism as the following:

    1. Host C --> raises command to connect and login to host A via port 21

    2. Host C --> raises command to connect and login to host B via port 21

    3. Host C --> raises command PASV (this is raw FTP command (http://www.jtpfxp.net/rawcmd.htm): Tells the server to enter "passive mode". In passive mode, the server will wait for the client to establish a connection with it rather than attempting to connect to a client-specified port) to host A to require host A works in passive mode.
    Host A response a message via port 21 to host C that carries information for new connection: for example (ip:192.168.11.30, port: 45123)
    to notify that host A is listening on port 45123 at ip=192.168.11.30 (ip address of host A)

    4. Host C --> raise command PORT (this is raw FTP command: Specifies the host and port to which the server should connect for the next file transfer ) to host B with data like that (PORT 192.168.11.30,45123) that requires host B will connect with host at 192.168.11.30 on port 45123.

    5. Host C --> raise command STOR (raw FTP command: Begins transmission of a file to the remote site. Must be preceded by either a PORT command or a PASV command so the server knows where to accept data from) to host B with data like that (STOR test.mpg) to require host B prepare a transmission to get new file name "test.mpg" from remote site (192.168.11.30, port 45123 as the PORT command above).

    6. Host C --> raise command RETR (raw FTP command: Begins transmission of a file from the remote host) to host A with data like that (RETR test.mpg) to require host A begin transmission on port 45123 for sending file "test.mpg".

    7. host A and B establish connection on port 45123: B--> open a socket to A (192.168.11.30) on port 45123 to transfer data.


    I have install packet capture sofware (I used WireShark) on host B and C then I can see some transmission lost and require host B retransmit.

    Capture on Host C


    Capture on Host B


    And here is packet filter log on ASG:


    Do you have any idea ?

    At the moment, to transfer file from host A to host B I have to separate this into two phases (buffer in host C) :
    1. Download file from host A to host C via FTP,
    2. Upload file from host C to host B via fTP, then delete the file on host C.
    It works OK but It takes double time to transfer file from A -> B.

    In the future, host A and host B are linux operating systems  and all my applications only work on windows so I must control file transfering from application on host C (windows OS), neither host A nor B.