Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 45288 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with FTP-Server behind ASL

graysonx22
Hi,

my problem is:

I have a ASL with 2 NIC (ext, int)

after this in the int. network runs a ftp-server on a "non-standard" port.

in definitions -> services there is the service-rule for this server 
name: ftp_4049 (source 1024:65535) (dest 4049)

in packet filter -> rules
source any, dest. internal serverip, service ftp4049

in network -> masq. 
dest. externalip from ASL, change source to: internalip server, service ftp_4049.

I can login, but can´t see any files, and after any seconds there is a timeout

did I forget any rule or the service ftp-data ? if so, what should I do
any ideas ?

ciao

danny [:S]


This thread was automatically locked due to age.
Parents
  • 0
     [ QUOTE ]

    in network -> masq. 
    dest. externalip from ASL, change source to: internalip server, service ftp_4049.
     

    [/ QUOTE ]

       but this can't work if you say change source to internalip server:. You have to say change destination to: internalip server and than you can choose the service destination ftp_4049. 
  • 0 in reply to bce
    sorry, wrote wrong, 

    Destination address = EXT IP / SERVICE ftp_4049
    change dest. to INT IP / SERVICE NO change

    Ciao

    Danny
  • 0 in reply to graysonx22
    that's the correct nat-rule:

    Source address = no match
    Destination address = wan addr
    Service = 4049 (if they really connect from outside to this port
    Change Source to: = no change
    Change Destination to:  Address = internal ftp server ip addr
    Service destination = no change


    packet filter:
    source = any
    service = 4049
    action = allow
    destination = internal ftp server addr


    also verry important:
    check your ips settings if ips is activated. there are many rules to drop dir, cwd, etc. - try with ips disabled.
  • 0 in reply to bce
    did it exactly ->

    Source address = no match
    Destination address = wan addr
    Service = 4049 (if they really connect from outside to this port
    Change Source to: = no change
    Change Destination to: Address = internal ftp server ip addr
    Service destination = no change


    packet filter:
    source = any
    service = 4049
    action = allow
    destination = internal ftp server addr
     ips settings if ips is activated. there are many rules to drop dir, cwd, etc. - try with ips disabled.
  • 0 in reply to graysonx22
    it's the intrusion protection in webmin.
    is there a lokal firewall on the ftp server (after xp sp2, etc)?
    does  it work with standard ftp port?
  • 0 in reply to bce
    also with ip disabled, the ftp didn´t answer,
    the server is w2k3, without additional fw.

    Ciao

    Danny
  • 0 in reply to graysonx22
    [ QUOTE ]
    also with ip disabled, the ftp didn´t answer,
    the server is w2k3, without additional fw.

    Ciao

    Danny 

    [/ QUOTE ]

    Did you already try to analize the packets? Such like a tcp dump on the FTP machine with ethereal? On this way you might see whether there are packet send back from your FTP server to ASL.
Reply
  • 0 in reply to graysonx22
    [ QUOTE ]
    also with ip disabled, the ftp didn´t answer,
    the server is w2k3, without additional fw.

    Ciao

    Danny 

    [/ QUOTE ]

    Did you already try to analize the packets? Such like a tcp dump on the FTP machine with ethereal? On this way you might see whether there are packet send back from your FTP server to ASL.
Children
No Data