Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3325 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP access Via Wan

Eli_DS
Hello All, 

ever since we have upgraded the Astaro to 7.4 we have been experiencing issues with our FTP server.

Our FTP server is running on ISS and the IIS is running on a DMZ server (on port 15470).

As DNAT rule we have the following setup:

Any => Port 15470 => Wan adress 62.72.*.237
Destination: DMZ (ip) Via FTP (FTP is set on port 21)

Packet Filter Setup:
Any => Wan address 62.72.*.237 
Over FTP

Any => Wan adress 62.72.*.237
Over CIFS

After checking the following in IE the connection just times out.

In Firefox (which is passive FTP connection), it gives the following error message (after about 10 seconds): 425 Can't open data connection.

When checking with an FTP Client it shows the following:
Connecting to 62.72.*.237:15470
Connected to 62.72.*.237:15470 in 0.031250 seconds, Waiting for Server Response
220 Microsoft FTP Service
Host type (1): AUTO
USER Eli
331 Password required for Eli.
PASS (hidden)
230 User Eli logged in.
SYST
215 Windows_NT
Host type (2): Microsoft NT
PWD
257 "/" is current directory.
TYPE A200 Type set to A.
PASV
227 Entering Passive Mode (10,0,0,21,49,117).
connecting data channel to (DMZIP):49,117(12661)
Substituting connection address 62.72.*.237 for private address 10.0.0.21 from PASV
Failed to connect data channel to 62.72.*.237:49,117(12661)
PORT 192,168,1,10,4,219
Error reading response from server

I'm pretty much clueless here [:(]


All help is appriciated ! 

Thanks in advance,

Eli


*****************Edit**************************

The wierd thing is if I change the DNAT rule to:
Any => FTP => Wan adress 62.72.*.237
Destination: DMZ (ip) Via FTP (FTP is set on port 21)

The site can be accessed via 62.72.*.237:21

**********************************************


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    The packet filter rules do not look correct, the destination should be the dmz server.

    Any -> ftp -> DMZ server

    Was this setup working prior to 7.4?  Do you have the automatic packet filters rule checked in the DNAT rule?

    Also, if you are running IPS have you checked to see if it is blocking the traffic?
  • 0 in reply to dilandau
    Thanks for your swift reply! 

    I have indeed automatic packet filter rule ticked on.
    It worked prior to 7.4 with this setup.

    I have also tried to change the packet filter rule => same result [:(]
  • 0 in reply to Eli_DS
    Ok,

    Then those auto packet filter rules will be processed first, nothing wrong with using them you just can't see any of the traffic in the packet filter log so it is harder to troubleshoot. Do you have IPS enabled, it may be blocking the traffic?
Reply
  • 0 in reply to Eli_DS
    Ok,

    Then those auto packet filter rules will be processed first, nothing wrong with using them you just can't see any of the traffic in the packet filter log so it is harder to troubleshoot. Do you have IPS enabled, it may be blocking the traffic?
Children
  • 0 in reply to dilandau
    IPS is disabled 

    and when turning of the auto packet rule i get the following in the log file:

    12:37:18  Default DROP  TCP 
    81.247.234.97 :1492  →  DMZ IP :21

    [SYN]  len=48  ttl=117  tos=0x00  srcmac=00:1a:8c:15:72:6a  dstmac=00:1a:8c:15:72:69
  • 0 in reply to Eli_DS
    After some more testing I found the following:

    In the Dnat rule: 

    Any -> Port 15470 -> Wan .237 adress
    Destination: DMZ -> FTP

    I have changed 
    Any -> Port FTP -> Wan .237 adress
    Destination DMZ -> Port 15470  (ofcourse i changed the port in the FTP server to respond to 15470 instead of 21)

    Now if i try to access the site via FTP://62.72.*.237:21 it works perfectly fine...

    So it doesn't seem to be related to the IPS that is blocking traffic, nor the FTP Proxy.



    Also when i change the rule back to it's original:
    (Any -> Port 15470 -> Wan .237 adress
    Destination: DMZ -> FTP)

    I can enter my credientials and it seems to connect to the FTP site but times out after several minutes.
    (in the buttom of the IE screen i get: Website Found. Waiting for Reply...)


    Would it be possible that the server is blocking the traffic from DMZ on port 21 to Wan address on port 15470 ? and if so, is there any rule to enable this traffic ?

    Ive tried to add some PF and NAT rules but my efforts were fruitless...


    Regards,
    Eli