Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 13264 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.103-5]Need hints on ftp incoming

RFCat_vk_01
Hi folks,
I have a production UTM which has a server on one side running IIS ftp.
The good part is windows ftp connects and allows file transfers.

The sad part is neither filezilla or winscp can maintain a connection because they fail to get the file structure.

I am using a dnat with auto rules. ftp helpers are enabled. I can see some dropped rst packets, there is nothing in the log showing any useful information.

Any hints as to what other ports need to be opened for filezilla and winscp would be very helpful.

Thank you 

Ian  M


helpful.


This thread was automatically locked due to age.
  • 0
    OK.
    We have an FTP server behind Astaro with NAT currently, but it's only accessed by a few other systems, so we're able to control what kind of FTP connection is made.

    Previously, we had a public FTP server behind Astaro, but there was no NAT, so it tended to work fine.
    If you have extra IPs, maybe you can setup a DMZ with public IPs?

    Barry
  • 0
    Ian, what happens if, in FileZilla, you set the access to your server to Active instead of Passive or Default?  I But, I'm confused - I thought you said there was nothing in the logs (Firewall/IPS/AppCon) about this issue...

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,
    initially there wasn't or at least I thought there wasn't untill I started relating my attempts to connect with log entries. There are dropped packets way outside of the range where I expected to see them, so I thought they were just network noise, you generally MS application network chatter.

    Setup is

    www -> Telstra f/w -> server 
  • 0 in reply to RFCat_vk_01
    Update.
    FTP helpers work for incoming traffic. I re-enabled the helpers and the dos version of ftp started working again.
    Using applications like winscp or cuteftp i can see the initial connection go through and then the list requests fail.

    Not sure what steps to take for this.

    Ian
  • 0
    Yes, the behavior is the same as we have.

    So, in the conntrackt table there are some corresponding and right entries.
    The connection estamblished and then: 
    [DESTROY] tcp      6 src=*WAN-FTP Client* dst=*WAN-Port* sport=58038 dport=21 packets=11 bytes=527 src=*FTP-Server* dst=*WAN-FTP Client* sport=21 dport=58038 packets=18 bytes=1068 [ASSURED] mark=17301666


    I'm waiting for a response from sophos, they have actually all logs.
    presumption: Faulty behavior of FTP module

    Nice greetings
  • 0
    Short feedback, we have some customers, with this problem.

    First solution 
    We get a connection, but the folder tree is not displayed (probably with filezilla) - test it with another FTP transfer tool.

    And the other problems are in work.

    Nice greetings