Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2917 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

wanna allow only ftp traffic

sahib
Dear all,

Help me out, 

i have 4 ports on my astaro 120, 3 are in used , 1 port is remain.
so , i wanna connect a particular user with this port with my lan ip and also want only ftp traffic will pass through this port, is it possible to do that ?

If possible then please let me know the configuration steps.


Regards,
sahib khan


This thread was automatically locked due to age.
Parents
  • 0
    sahib,

    I'm certain what you want to do is possible, though your path seems unclear.  Am I correct in assuming that you want to connect one client to another physical interface on the Astaro, but you want it to be in the same subnet as your current LAN interface?

    You should be able to accomplish this by bridging the two interfaces, but I'm not sure this is what you want to do because it seems like a waste of an interface to me.

    Please, try to describe your goal a little more clearly and we'll do what we can to help!

    Thanks!

    Chris
  • 0 in reply to ChristopherRuh
    Hi,

    yes you right , i want connect this interface to one client with internal ip address subnet, and only want to allow ftp traffic to pass through.

    sahib
    sahib,

    I'm certain what you want to do is possible, though your path seems unclear.  Am I correct in assuming that you want to connect one client to another physical interface on the Astaro, but you want it to be in the same subnet as your current LAN interface?

    You should be able to accomplish this by bridging the two interfaces, but I'm not sure this is what you want to do because it seems like a waste of an interface to me.

    Please, try to describe your goal a little more clearly and we'll do what we can to help!

    Thanks!

    Chris
  • 0 in reply to sahib
    When Sophos operates interfaces in Bridged mode, you will still be required to add firewall rules to allow clients connected to different bridged interfaces to communicate with each other.  I imagine this is what you're looking for.  Remember though, that the FTP client is still governed by the Internal (Network) object.  So rules that are built with this object as source will apply to the new client unless you deny everything but FTP.  This is easy to do with rules, they just need to be at the top of your rule stack to prevent accidental rule matches with other Internal rules.

    For example, in rule position 1 allow FTP service from the FTP client to whatever destination you wish.  I can help you build a more precise set of rules, but you need to be more specific with what this client should be able to access.  I would need to know specific services and destinations, whether or not they should only have FTP to Internal and then all WWW services outbound, etc.  After setting your specific permits, in the very next rule position DROP or REJECT all traffic from FTP client address to any on any service.

    Also, make sure that if you've enabled any proxy services that the FTP client is listed as an exception in each proxy configuration or it can potentially use these for outbound services regardless of what blocking rules you apply in the firewall.
Reply
  • 0 in reply to sahib
    When Sophos operates interfaces in Bridged mode, you will still be required to add firewall rules to allow clients connected to different bridged interfaces to communicate with each other.  I imagine this is what you're looking for.  Remember though, that the FTP client is still governed by the Internal (Network) object.  So rules that are built with this object as source will apply to the new client unless you deny everything but FTP.  This is easy to do with rules, they just need to be at the top of your rule stack to prevent accidental rule matches with other Internal rules.

    For example, in rule position 1 allow FTP service from the FTP client to whatever destination you wish.  I can help you build a more precise set of rules, but you need to be more specific with what this client should be able to access.  I would need to know specific services and destinations, whether or not they should only have FTP to Internal and then all WWW services outbound, etc.  After setting your specific permits, in the very next rule position DROP or REJECT all traffic from FTP client address to any on any service.

    Also, make sure that if you've enabled any proxy services that the FTP client is listed as an exception in each proxy configuration or it can potentially use these for outbound services regardless of what blocking rules you apply in the firewall.
Children
  • 0 in reply to ChristopherRuh
    Thanks for the reply , ok tell me one thing what is the role of Ftp option in web application filters ?

    When Sophos operates interfaces in Bridged mode, you will still be required to add firewall rules to allow clients connected to different bridged interfaces to communicate with each other.  I imagine this is what you're looking for.  Remember though, that the FTP client is still governed by the Internal (Network) object.  So rules that are built with this object as source will apply to the new client unless you deny everything but FTP.  This is easy to do with rules, they just need to be at the top of your rule stack to prevent accidental rule matches with other Internal rules.

    For example, in rule position 1 allow FTP service from the FTP client to whatever destination you wish.  I can help you build a more precise set of rules, but you need to be more specific with what this client should be able to access.  I would need to know specific services and destinations, whether or not they should only have FTP to Internal and then all WWW services outbound, etc.  After setting your specific permits, in the very next rule position DROP or REJECT all traffic from FTP client address to any on any service.

    Also, make sure that if you've enabled any proxy services that the FTP client is listed as an exception in each proxy configuration or it can potentially use these for outbound services regardless of what blocking rules you apply in the firewall.
  • 0 in reply to sahib
    The role of the FTP Proxy under the Web Filtering section is to keep external hosts from having a direct FTP session with the Internal host it is protecting.  Much like what Web Filtering does for HTTP/S connections except for FTP.

    What the internal host sees, is that it is connecting to the IP address of UTM.  That's because Astaro/Sophos relays all of your commands exactly as its outside interface to the original host (say ftp.astaro.com).  It does this with a completely separate TCP connection.

    This allows the proxy to have its way with the data before it sends it to you, to include Antivirus and Antimalware scanning.  It's the easiest and safest way to transport FTP traffic from your network to the outside hands down.

    The ftp proxy, like most of the other proxies in UTM, can be run in standard mode or transparent mode.  Transparent mode is the easiest to implement because the FTP proxying is automatic and pretty much invisible to the average user.  Take care to remember though that UTM will hijack any FTP connection that comes sourced from the Allowed Networks field and force it through its proxy operating transparently.  So if you have specific connection that need to NOT be proxied, you must make sure the source of that specific connection is bypassed in Web Protection -> FTP ->  Advanced (tab).