Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 45288 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with FTP-Server behind ASL

graysonx22
Hi,

my problem is:

I have a ASL with 2 NIC (ext, int)

after this in the int. network runs a ftp-server on a "non-standard" port.

in definitions -> services there is the service-rule for this server 
name: ftp_4049 (source 1024:65535) (dest 4049)

in packet filter -> rules
source any, dest. internal serverip, service ftp4049

in network -> masq. 
dest. externalip from ASL, change source to: internalip server, service ftp_4049.

I can login, but can´t see any files, and after any seconds there is a timeout

did I forget any rule or the service ftp-data ? if so, what should I do
any ideas ?

ciao

danny [:S]


This thread was automatically locked due to age.
Parents
  • 0
     [ QUOTE ]

    in network -> masq. 
    dest. externalip from ASL, change source to: internalip server, service ftp_4049.
     

    [/ QUOTE ]

       but this can't work if you say change source to internalip server:. You have to say change destination to: internalip server and than you can choose the service destination ftp_4049. 
Reply
  • 0
     [ QUOTE ]

    in network -> masq. 
    dest. externalip from ASL, change source to: internalip server, service ftp_4049.
     

    [/ QUOTE ]

       but this can't work if you say change source to internalip server:. You have to say change destination to: internalip server and than you can choose the service destination ftp_4049. 
Children
  • 0 in reply to bce
    sorry, wrote wrong, 

    Destination address = EXT IP / SERVICE ftp_4049
    change dest. to INT IP / SERVICE NO change

    Ciao

    Danny
  • 0 in reply to graysonx22
    that's the correct nat-rule:

    Source address = no match
    Destination address = wan addr
    Service = 4049 (if they really connect from outside to this port
    Change Source to: = no change
    Change Destination to:  Address = internal ftp server ip addr
    Service destination = no change


    packet filter:
    source = any
    service = 4049
    action = allow
    destination = internal ftp server addr


    also verry important:
    check your ips settings if ips is activated. there are many rules to drop dir, cwd, etc. - try with ips disabled.
  • 0 in reply to bce
    did it exactly ->

    Source address = no match
    Destination address = wan addr
    Service = 4049 (if they really connect from outside to this port
    Change Source to: = no change
    Change Destination to: Address = internal ftp server ip addr
    Service destination = no change


    packet filter:
    source = any
    service = 4049
    action = allow
    destination = internal ftp server addr
     ips settings if ips is activated. there are many rules to drop dir, cwd, etc. - try with ips disabled.
  • 0 in reply to graysonx22
    it's the intrusion protection in webmin.
    is there a lokal firewall on the ftp server (after xp sp2, etc)?
    does  it work with standard ftp port?
  • 0 in reply to bce
    also with ip disabled, the ftp didn´t answer,
    the server is w2k3, without additional fw.

    Ciao

    Danny
  • 0 in reply to graysonx22
    [ QUOTE ]
    also with ip disabled, the ftp didn´t answer,
    the server is w2k3, without additional fw.

    Ciao

    Danny 

    [/ QUOTE ]

    Did you already try to analize the packets? Such like a tcp dump on the FTP machine with ethereal? On this way you might see whether there are packet send back from your FTP server to ASL.
  • 0 in reply to graysonx22
    Traditional FTP servers use two TCP ports to operate, port 21 for command and control, and port 20 for the  data transfers. You have configured yours to operate on a single high order port, which is therefore replacing port 21 as the command port.  Are you configured for the data transfers on this port as well?
  • 0 in reply to VelvetFog
    No, don´t think so,
    what  must I do at the FW ?

    Ciao

    Danny
  • 0 in reply to graysonx22
    Some FTP servers can operate on a single port, in which case allowing just the single port through the firewall, using an appropriate SNAT rule and packet filter rule, will be OK. The real issue is what port your FTP server sends data on. First thing to do is eliminate any actual FTP server problems.  Can you access the FTP server OK  from a workstation on the internal network?

    My preferred approach is to leave servers configured to use their default ports (port 20 & 21 in the case of a FTP server), and then use SNAT rules on the ASL firewall to map them across to the port(s) I want them to be visible on to the outside world.
  • 0 in reply to VelvetFog
    The Server is accessible from the internal network, on standard (20,21) but also on the nonstandard-port

    with the standard I can also access through the FW, but not with the nonstandard.
    But th eproblem is, the ASL-logs doesn´t contain "any" activity with ftp int -> ext from the server
    Ciao

    Danny

    Many thanks for the answers [;)]