Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2121 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem opening 6969-7169

Allsop
Why can't I open the following portrange 6969-7169 with Astaro, when I can forward single ports without any problems? 

I'm using DNAT to forward them to my ftp server on a private network. They are used for FXP externally.

Please help.

Regards
Kris   


This thread was automatically locked due to age.
Parents
  • 0
    Allsop,

    I think your problem is related to the ftp protocol. It needs a connection tracking module but this is listen
    on port 21 for ftp connections only. It would need some command line hacking to make the module listen
    on other ports as well.

    [ QUOTE ]

    - change default Port for ftp

             1. login on ASL
             2. su -
             3. joe /usr/local/fw/firewall_on.sh
             4. change following lines

                 $IN ip_conntrack_ftp ports=new_port,new_port

                 $IN ip_nat_ftp ports=new_port,new_port

             5. reboot and test


    [/ QUOTE ]

    Please note that all changes you apply manually to the systems may be overwritten by an Up2Date in the future.

    HTH
    o|iver

      
  • 0 in reply to oliver.desch
    So I should edit the ftp protocol and enter the FXP ports 6969-7169 instead of 20-21? 

    I forgot to mention that the FTP itself uses port 5000. 

    Does this change anything?  
  • 0 in reply to Allsop
    Can anyone else give some help please? 
    I don't want to mess with the ftp protocol unless I know what exactly what I'm doing. 

    Look in my prev posts to read my questions. 
Reply Children
  • 0 in reply to Allsop
    First are you sure that the daemon supports the fxp protocol?
    If so, making FTP servers work behind the firewall can be done as follows unless u wanna go for o|iver suggestion.

    1. The ftp daemon must be configurable to specify the passive port range. Or it will use any port above 1024 for data.

    2. Define services for both active port and passive port range.

    3. DNAT both active and passive port range services to the internal FTP server.

    4. Set up corresponding SNAT rules.

    5. Set up packet filter rules allowing inbound (active and passive port  range) and outbound traffic.

    6. Client software may have to be configurable to set the remote server as a "behind NAT/IPMASQ" server. For ex. flashFxP (win32) allow you to do this. 

    ... hope that helps  [:)] 
  • 0 in reply to AJo
    i've used Winroute Kerio before and the only thing i had to do was forward these ports to the ftp-deamon and it would work, in this case with  Fashfxp wihout having to change anything in the client.

    Anyway the main problem is still that I can't open 6969-7169 on the firewall. Theye are shown as stelth if I scan individual ports in that range (grc.com). Is it that you just can't open a range of ports in astaro unless you edit the ftp protocoll module?   
  • 0 in reply to Allsop
     [ QUOTE ]
    Anyway the main problem is still that I can't open 6969-7169 on the firewall. Theye are shown as stelth if I scan individual ports in that range (grc.com).

    [/ QUOTE ]
    Unless you have enabled the ASL box to respond to IMCP portscan will end up like that.

    [ QUOTE ]
    Is it that you just can't open a range of ports in astaro unless you edit the ftp protocoll module?  

    [/ QUOTE ] 
    No, as far as I know there is no problem to define a port range in ASL.

    service_name  protocol src_port dst_port_range
    ex.
    foo tcp 1024:65535 6969:7169