Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2467 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Server DNAT

MR-JP
I have an internal FTP server that I want to have open to the Internet for file transfers.

1. Created a WAN interface with a public IP address.
2. Created a FTP Server with a private IP address.
3. Created a DNAT rule that allow 
ANY > FTP service > WAN interface with Public IP > private IP address FTP server > FTP service

When I try to connect to the FTP server with the public IP I see the traffic in the Live Log, but the connection never happens. What am I missing?


Thanks,
JP


This thread was automatically locked due to age.
Parents
  • 0
    In the Host definition of your internal server, do you have the definition bound to a specific interface?  That almost always causes problems.  Always set all definitions to 'Interface: >'.

    Did that solve your problem?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you guys for all of the recommendations, but still can't connect to the FTP server. I did the 3 suggestion below:

    1. You should leave the target service in the DNAT empty if it is not changed.

    2. FTP connection tracking helper is enabled in Firewall > Advanced?

    3. In the Host definition of your internal server, do you have the definition  bound to a specific interface? That almost always causes problems. Always set all definitions to 'Interface: >'.

    When I am trying to connect to the FTP server I am viewing the Live Log and this is what I see, but it never passes the connect on to the FTP server.


    09:54:14 Connection using NAT TCP 72.211.252.16 : 6820
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    09:54:39 Connection using NAT TCP 72.211.252.16 : 6821
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    10:43:13 Connection using NAT TCP 72.211.252.16 : 6912
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    10:43:38 Connection using NAT TCP 72.211.252.16 : 6913
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    I did not mention it in my 1st post that I am using NAT IP translation at the vShield before the ASG firewall and after.

    64.18.223.106 >NAT>192.168.60.250>NAT>192.168.61.103>NAT>192.168.2.10


    I did try dropping the last NAT and just have it route to the 192.168.2.10.

    Any other suggestions?

    Thanks,
    JP
Reply
  • 0 in reply to BAlfson
    Thank you guys for all of the recommendations, but still can't connect to the FTP server. I did the 3 suggestion below:

    1. You should leave the target service in the DNAT empty if it is not changed.

    2. FTP connection tracking helper is enabled in Firewall > Advanced?

    3. In the Host definition of your internal server, do you have the definition  bound to a specific interface? That almost always causes problems. Always set all definitions to 'Interface: >'.

    When I am trying to connect to the FTP server I am viewing the Live Log and this is what I see, but it never passes the connect on to the FTP server.


    09:54:14 Connection using NAT TCP 72.211.252.16 : 6820
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    09:54:39 Connection using NAT TCP 72.211.252.16 : 6821
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    10:43:13 Connection using NAT TCP 72.211.252.16 : 6912
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    10:43:38 Connection using NAT TCP 72.211.252.16 : 6913
    → 192.168.60.250 : 21
    [SYN] len=52 ttl=114 tos=0x00 srcmac=0:50:56:1:8:2f dstmac=0:50:56:1:b:5

    I did not mention it in my 1st post that I am using NAT IP translation at the vShield before the ASG firewall and after.

    64.18.223.106 >NAT>192.168.60.250>NAT>192.168.61.103>NAT>192.168.2.10


    I did try dropping the last NAT and just have it route to the 192.168.2.10.

    Any other suggestions?

    Thanks,
    JP
Children
No Data