Problem with FTP-Server behind ASL

[ QUOTE ]
Hi,

my problem is:

I have a ASL with 2 NIC (ext, int)

after this in the int. network runs a ftp-server on a "non-standard" port.

in definitions -> services there is the service-rule for this server 
name: ftp_4049 (source 1024:65535) (dest 4049)

in packet filter -> rules
source any, dest. internal serverip, service ftp4049

in network -> masq. 
dest. externalip from ASL, change source to: internalip server, service ftp_4049.

I can login, but can´t see any files, and after any seconds there is a timeout

did I forget any rule or the service ftp-data ? if so, what should I do
any ideas ?

ciao

danny [:S] 

[/ QUOTE ]

What kind of FTP are you using? Passive or active FTP? What do the logs say, are there any drops?

 incoming to internal Server the log is ok,
but nothing int -> ext (really nothing)
IIS6 FTP (pasv)

Ciao


Danny

Thats the log from the FTP-Server

#Date: 2005-05-21 11:19:05
#Fields: time c-ip cs-method cs-uri-stem sc-status sc-win32-status 
11:19:05 82.82.xxx.xxx [126]USER ftptest 331 0
11:19:05 82.82.xxx.xxx [126]PASS - 230 0
11:19:43 82.82.xxx.xxx [127]USER ftptest 331 0
11:19:43 82.82.xxx.xxx [127]PASS - 230 0
11:19:43 82.82.xxx.xxx [127]CWD / 250 0
11:20:59 82.82.xxx.xxx [128]USER ftptest 331 0
11:20:59 82.82.xxx.xxx [128]PASS - 230 0
11:20:59 82.82.xxx.xxx [128]CWD / 250 0

Ciao

Danny

 [:S]

 [ QUOTE ]

in network -> masq. 
dest. externalip from ASL, change source to: internalip server, service ftp_4049.
 

[/ QUOTE ]

   but this can't work if you say change source to internalip server:. You have to say change destination to: internalip server and than you can choose the service destination ftp_4049. 

sorry, wrote wrong, 

Destination address = EXT IP / SERVICE ftp_4049
change dest. to INT IP / SERVICE NO change

Ciao

Danny

that's the correct nat-rule:

Source address = no match
Destination address = wan addr
Service = 4049 (if they really connect from outside to this port
Change Source to: = no change
Change Destination to:  Address = internal ftp server ip addr
Service destination = no change


packet filter:
source = any
service = 4049
action = allow
destination = internal ftp server addr


also verry important:
check your ips settings if ips is activated. there are many rules to drop dir, cwd, etc. - try with ips disabled.

did it exactly ->

Source address = no match
Destination address = wan addr
Service = 4049 (if they really connect from outside to this port
Change Source to: = no change
Change Destination to: Address = internal ftp server ip addr
Service destination = no change


packet filter:
source = any
service = 4049
action = allow
destination = internal ftp server addr
 ips settings if ips is activated. there are many rules to drop dir, cwd, etc. - try with ips disabled.

it's the intrusion protection in webmin.
is there a lokal firewall on the ftp server (after xp sp2, etc)?
does  it work with standard ftp port?

also with ip disabled, the ftp didn´t answer,
the server is w2k3, without additional fw.

Ciao

Danny

[ QUOTE ]
also with ip disabled, the ftp didn´t answer,
the server is w2k3, without additional fw.

Ciao

Danny 

[/ QUOTE ]

Did you already try to analize the packets? Such like a tcp dump on the FTP machine with ethereal? On this way you might see whether there are packet send back from your FTP server to ASL.