Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2466 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Server DNAT

MR-JP
I have an internal FTP server that I want to have open to the Internet for file transfers.

1. Created a WAN interface with a public IP address.
2. Created a FTP Server with a private IP address.
3. Created a DNAT rule that allow 
ANY > FTP service > WAN interface with Public IP > private IP address FTP server > FTP service

When I try to connect to the FTP server with the public IP I see the traffic in the Live Log, but the connection never happens. What am I missing?


Thanks,
JP


This thread was automatically locked due to age.
  • 0
    Hi JP,

    You should leave the target service in the DNAT empty if it is not changed.

    Regards
    Manfred
  • 0
    FTP connection tracking helper is enabled in Firewall > Advanced?
  • 0
    In the Host definition of your internal server, do you have the definition bound to a specific interface?  That almost always causes problems.  Always set all definitions to 'Interface: >'.

    Did that solve your problem?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you guys for all of the recommendations, but still can't connect to the FTP server. I did the 3 suggestion below:

    1. You should leave the target service in the DNAT empty if it is not changed.

    2. FTP connection tracking helper is enabled in Firewall > Advanced?

    3. In the Host definition of your internal server, do you have the definition  bound to a specific interface? That almost always causes problems. Always set all definitions to 'Interface: >'.

    When I am trying to connect to the FTP server I am viewing the Live Log and this is what I see, but it never passes the connect on to the FTP server.


    09:54:14 Connection using NAT TCP 72.211.252.16 : 6820
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    09:54:39 Connection using NAT TCP 72.211.252.16 : 6821
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    10:43:13 Connection using NAT TCP 72.211.252.16 : 6912
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    10:43:38 Connection using NAT TCP 72.211.252.16 : 6913
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    I did not mention it in my 1st post that I am using NAT IP translation at the vShield before the ASG firewall and after.

    64.18.223.106 >NAT>192.168.60.250>NAT>192.168.61.103>NAT>192.168.2.10


    I did try dropping the last NAT and just have it route to the 192.168.2.10.

    Any other suggestions?

    Thanks,
    JP
  • 0
    Now you have me confused, JP.  I was going to say that it appears that the device at 192.168.60.250 doesn't have the Astaro as its default gateway, but maybe it's more complicated than that!  If that's not the solution, I think you'll need to start with some packet captures as it seems certain that the Astaro is doing what it should.

    Cheers - Bob