Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2683 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP access from DMZ not working

NathanPConvergent
I have a setup where there is an internal Windows 2008 IIS 7.5 FTP site on an internal network (1.1.1.1).  I have a client on a DMZ network (seperate interface, 2.2.2.2) that cant connect to the FTP site since updating to version 9.005.  The firewall log shows some weird traffic blocking on the way back from the FTP server to the client.

ALLOWED Rule 1 2.2.2.2:12345 ==> 1.1.1.1:21
Default Drop 1.1.1.1:12345 ==> 2.2.2.2:21

I've tried ANY ANY rules between the source and destination as well as creating a rule to handle the reverse FTP traffic.  I also deselected the FTP helper and had it log data connections.  No matter what it is dropping the connection going back even if their are firewall rules to allow it.  This exact same setup and config worked fine on Version 8 and didn't stop working until upgrading to Version 9.005.  Any one else seen this behavior or have any ideas as to what is going on?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Nathan,

    I'm having a similar since 9.004 that persists in 9.005, and I have a case open that's been escalated to Larry G.

    I'm a bit confused by your post though.  Please show the two complete lines from the full Firewall log file (not the Live Log).

    Here's what I'm seeing - ACK SYN packets being dropped inexpicably from the OUTPUT chain:

    2013:03:05-20:10:20 sophos ulogd[4499]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62004" initf="br0" srcmac="c8:XX:YY:ZZ:f6:85" dstmac="0:XX:YY:ZZ:1b:8" srcip="1x6.X.Y.102" dstip="1x8.y.z.121" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="49038" dstport="2443" tcpflags="SYN"
    2013:03:05-20:10:20 sophos ulogd[4499]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="br0" srcmac="0:XX:YY:ZZ:10:0" dstmac="0:XX:YY:ZZ:1b:8" srcip="1x8.y.z.121" dstip="1x6.X.Y.102" proto="6" length="48" tos="0x00" prec="0x00" ttl="61" srcport="2443" dstport="49038" tcpflags="ACK SYN"

    Cheers - Bob
Reply
  • 0
    Hi, Nathan,

    I'm having a similar since 9.004 that persists in 9.005, and I have a case open that's been escalated to Larry G.

    I'm a bit confused by your post though.  Please show the two complete lines from the full Firewall log file (not the Live Log).

    Here's what I'm seeing - ACK SYN packets being dropped inexpicably from the OUTPUT chain:

    2013:03:05-20:10:20 sophos ulogd[4499]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62004" initf="br0" srcmac="c8:XX:YY:ZZ:f6:85" dstmac="0:XX:YY:ZZ:1b:8" srcip="1x6.X.Y.102" dstip="1x8.y.z.121" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="49038" dstport="2443" tcpflags="SYN"
    2013:03:05-20:10:20 sophos ulogd[4499]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="br0" srcmac="0:XX:YY:ZZ:10:0" dstmac="0:XX:YY:ZZ:1b:8" srcip="1x8.y.z.121" dstip="1x6.X.Y.102" proto="6" length="48" tos="0x00" prec="0x00" ttl="61" srcport="2443" dstport="49038" tcpflags="ACK SYN"

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Here is the output from the firewall log.


    2013:03:11-15:19:11 firewall ulogd[4441]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="8" initf="eth1" outitf="eth0" srcmac="bb:bb:bb:bb:bb:bb" srcip="2.2.2.2" dstip="1.1.1.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="58516" dstport="21" tcpflags="SYN" 

    2013:03:11-15:19:11 firewall ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="aa:aa:aa:aa:aa:aa" srcip="1.1.1.1" dstip="2.2.2.2" proto="6" length="40" tos="0x00" prec="0x00" ttl="127" srcport="21" dstport="58516" tcpflags="ACK RST" 

    Basically traffic is sent from the DMZ network using random source port of 58516 to a destination port 21 on the Internal network.  This traffic is accepted.  The next thing logged is the Default Drop of the same random port as the destination to the DMZ network and a source port of 21 on the Internal network.  I created a packet filter rule to allow this reverse ftp traffic (i.e. FTP Reverse, source 21, destination 1:65***) but the firewall is ignoring the rule and still dropping the traffic.  Even with ANY ANY rules between the networks, the same exact thing is logged and blocked.
  • 0 in reply to NathanPConvergent
    Hi,

    can you please check if your network definitions are bound to an interface?

    I had a similar issue and after setting the interfaces of definitions to  it worked well. Don't know if it started with 9.005 or previous but it justed stoped working as before with the definitions bound to an interface...

    Anyway, maybe using the FTP proxy would be a workaround and if you don't want it scanned by the proxy use exceptions?

    Edit: In my case I also tried any any rule but it didn't worked. Only after changing the interface binding...
  • 0 in reply to Albeck
    There are no interface bindings on any of the network definitions used.
  • 0 in reply to NathanPConvergent
    I suspect a failure in the connection tracking in netfilter / iptables.  Nathan, probably would be a good idea to start an official support case on this one [:)]