Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5246 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Opening a range of ports - 20:22

JAbbott
Let me start off by saying that I'm completely new to the Astaro game. So I will go ahead and thank you all for your patience.

I have a Astaro Security Gateway V8 that I'm working with at a client's site. They are trying to connect to an external FTP server using ports between 20:22. and for the life of me I cannot figure out how to get the NAT and Firewall to open that port to any local IP address.

What i have tried is set a DNAT rule with 
Traffic Source:        External(WAN) (Network) 
Traffic Service:       FTP 20:22
Traffic Destination:  Internal (Network)
NAT Mode:   DNAT
Destination: Internal (Address)

With the Auto Firewall rule selected and I'm having no luck. If anyone can get me going in the right direction I would greatly appreciate it!


This thread was automatically locked due to age.
  • 0
    are you trying to make this accessible for one pc or the entire internal network?
  • 0
    Let me start off by saying that I'm completely new to the Astaro game. So I will go ahead and thank you all for your patience.

    I have a Astaro Security Gateway V8 that I'm working with at a client's site. They are trying to connect to an external FTP server using ports between 20:22. and for the life of me I cannot figure out how to get the NAT and Firewall to open that port to any local IP address.

    What i have tried is set a DNAT rule with 
    Traffic Source:        External(WAN) (Network) 
    Traffic Service:       FTP 20:22
    Traffic Destination:  Internal (Network)
    NAT Mode:   DNAT
    Destination: Internal (Address)

    With the Auto Firewall rule selected and I'm having no luck. If anyone can get me going in the right direction I would greatly appreciate it!


    you don't really need DNAT unless you only want one client to access this server..if that is the case the traffic destination should be External(address).  If you want it open for the entire network DNAT goes away and you need a simply firewall rule.
    source: Internal(Network)
    service: ftp service you create with 20:22 port range
    Destination: any
    action allow
  • 0
    Hi, JAbbott, and welcome to the User BB!

    An alternative to William's solution is to use the FTP Proxy if the client has a Web Security subscription.  The advantage to that is that Anti-Virus, extension-blocking and server-limiting is possible.

    The FTP Transparent mode works well when you have the Web Proxy in the Transparent mode (the Web Proxy in Standard mode handles FTP requests made via the browser).  The FTP 'Non-transparent mode' is meant for working with FTP clients like FileZilla.

    Cheers - Bob
  • 0
    Thanks for the reply guys!!! 

    I have tried both of your suggestions and via a web browser i do get the opportunity to login. but after the login window, nothing. And with FileZilla my session connects but doesn't display the directory on the server side. Did I do something wrong?

    I did test outside the network to verify that is does work and to make sure I'm not going crazy.
  • 0
    via a web browser i do get the opportunity to login. but after the login window, nothing

    Is this in FTP "Transparent" mode with the Web Proxy also in "Transparent" mode?  And, what do you see blocked in the Packet Filter (Firewall) logfile at the same time?

    with FileZilla my session connects but doesn't display the directory on the server side

    Is this with the FTP Proxy in "Non-Transparent" or "Both" mode?  Is FileZilla configured to use port 2121 at the IP of "Internal (Address)"?  Again, is there anything relevant that appears in the  Firewall logfile?

    Cheers - Bob
  • 0 in reply to BAlfson
    I have the same issue.  I have tried to make FTP connects thru ASG using both a browser and Filezilla.  I have tried both with and without FTP proxy and FTP proxy in all different modes.

    I have the rule Internal--> FTP -->Any with logging turned on.

    If I don't use the FTP proxy  I can see my system show up in the network log as an allowed traffic on port 21.  I then get a bunch of drop messages from the FTP server on various ports.

    I get the same thing in Filezilla.

    If I run the network configuration in Filezilla, I accept all the defaults of using passive mode and then run the test, everything looks good right up to the LIST command and then nothing.

    If I turn on the proxy, nothing seems to change.  I put my machine in the skiplist and again nothing different.

    I would prefer to have this work with just a browser window, but I don't know what to try next.
  • 0
    Hi, pacotx, and welcome to the User BB!

    This really should be straighforward.  Please post a relevant line or two from the full Firewall logfile (not the Live Log) if the following doesn't work.  Set FileZilla to access the FTP Proxy at the IP of "Internal (Address)" on port 2121. Set the FTP Proxy in "Both" mode.

    I prefer to use the "Standard" mode for the Web Proxy and leave the FTP Proxy in "Non-Transparent" mode, but that may present too much complication for you at this point.

    Cheers - Bob
  • 0 in reply to BAlfson
    Log file entries


    2012:01:01-20:12:06 pelillo ulogd[5196]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="8" initf="eth0" outitf="eth1" srcmac="0:21:70:7e:c1:a2" dstmac="0:19:b9:2b:4:89" srcip="192.168.10.115" dstip="79.125.108.166" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="52168" dstport="21" tcpflags="SYN" 
    2012:01:01-20:12:09 pelillo ulogd[5196]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:26:99:8a:75[:D]9" dstmac="0:8:c7:5d[:D]b:ef" srcip="61.91.88.105" dstip="24.206.64.184" proto="6" length="40" tos="0x00" prec="0x00" ttl="46" srcport="16882" dstport="53159" tcpflags="RST" 
    2012:01:01-20:12:32 pelillo ulogd[5196]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:26:99:8a:75[:D]9" dstmac="0:8:c7:5d[:D]b:ef" srcip="200.52.173.211" dstip="24.206.64.184" proto="6" length="40" tos="0x00" prec="0x00" ttl="49" srcport="16884" dstport="41794" tcpflags="RST"


    The above line are my Win7 laptop trying to connect to ftp.astaro.com using Firefox (doesn't matter if I use Chrome or IE either).  The initial connection is accepted, but the next two entries are the browser asking for a list command which never comes back.  Sometimes I get more then two drop packets.

    2012:01:01-20:11:37 pelillo ulogd[5196]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="8" initf="eth0" outitf="eth1" srcmac="0:f:20:3b:ee:5d" dstmac="0:19:b9:2b:4:89" srcip="192.168.10.84" dstip="79.125.108.166" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="46023" dstport="21" tcpflags="SYN"

    The above line is my linux box doing the same thing from a terminal windows and working.  I am able to list and download files without a problem.  I can also use the browser on my linux box to get to the site and download files.

    In both cases, I the FTP proxy turned off.  I would really like to understand why the win7 box doesn't seem to understand what it is doing.  I have another Windows box that I will try to see if it is just the win7 box or Windows in general.
  • 0
    Sorry all! Just getting back into to flow of things with the new year being over.

    I have fixed my issue. The server I was trying to connect to was using port 19. The firewall logs clearly showed that once i figured out the filter function [:)]

    I fixed my firewall rule's range and now everything is working!

    Thank you all for your help! I look forward to learning all I can about this firewall.