Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 9599 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No connections in or out with FTP

narna4ever
Hi

I have a UTM 9 ASG220 - Firmware version: 9.307-6

On night to the 24.jan I schedule the upgrade on the FW. The update itself went good, but after that - our FTP server wont accept any connections. 

I also try to connect to other FTP sites externally, but I cant do that as well. 

Sophos has been contacted (on the 28.jan) - but so far, they have yet been able to help me - so maybe some of you can?

The FTP server that I have, is standard Microsoft IIS, on Win Server 2008. 

On this I have several external users that connect on a daily basis to deliver files etc to us. Everything as been working fine until the upgrade. 
They have there one folders on our FTP site.

So when I try to connect no to our FTP site, I get 2 errors:
Error: Connection timed out
Error: Failed to retrieve directory listing

See attachment FTP_Inbound.txt

When I try to connect to a FTP site outside our domain- I get the same error as inbound.

Error: Connection timed out
Error: Failed to retrieve directory listing

See attachment FTP_Outbound.txt

And I know that one works. I have tried it home and with at mobile-Internet access that I have.

Why....[:S]

Sophos said that I need to take a look at this site, Failed to retrieve directory listing filezilla connecting to IIS FTP behind NAT » Grant Curell 

Did that but same result.

They also said: Typically the IP returned for passive mode from the server would be the public IP that the FTP server is accessible on. The FTP Connection Tracker Helper would then monitor the FTP traffic to dynamically allow a one off inbound NAT on the port request by the PASV to the FTP server. Based on this, it would also be worth checking that you have FTP selected under Network protection > Firewall > Advanced.

It was on, turned it on and off, but no result. 

Last ting I heard from them, was that they wanted the FW log, sendt it to them, and not heard from them again, that was on Tuesday. 


Any of you guys might know what the problem is?

Regards.

K


This thread was automatically locked due to age.
  • 0
    Maybe this is related to the Case here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29859 

    From my expirience, Sophos's Support has allways to be pushed on daily basis - otherways the case will never be solved [8-)]
  • 0
    I think I need to find the big whip 

    Well that post was me as well - forgot to put that on in this post.

    But am no longer a solution ... [:(] 

    Thought I could try a post in this sections..maybe someone could help out.
  • 0
    Hi

    So when I try to connect no to our FTP site, I get 2 errors:
    Error: Connection timed out
    Error: Failed to retrieve directory listing

    See attachment FTP_Inbound.txt

    When I try to connect to a FTP site outside our domain- I get the same error as inbound.

    Error: Connection timed out
    Error: Failed to retrieve directory listing

    See attachment FTP_Outbound.txt


    Hey narna4ever.

    So I have to prefix this with I have never done this with IIS FTP but have done this with ipswitch, filezilla server, and wsftp pro server so the same concepts apply.

    You have to publish the passive port ranges back through to the FTP server.
    By default IIS FTP In Passive-mode IIS FTP will randomly choose to response with port ranging within 1024 - 65535 by default which is where you are running into the issue.

    First thing I always do is set this range so you can publish these.
    http://www.iis.net/learn/publish/using-the-ftp-service/configuring-ftp-firewall-settings-in-iis-7

    I would recommend 2 ports per user that you expect to be connecting so if your user load is 100, you will want to publish a range that has 200 ports.  Something like 5500-5700.

    Next go to your utm, under Network Protection -> NAT -> NAT create a rule that looks like
    https://www.astaro.org/attachment.php?attachmentid=13335&stc=1&d=1423151447

    Things should be working after that.
  • 0
    If John's suggestion didn't solve the problem and #1 in Rulz doesn't give the answer, it's probably time for a packet capture.

    Cheers - Bob
  • 0
    Thanx for the reply. Going to try this weekend to se if I get it up and working.

    And read about rule nr 1 [;)] 

    -k
  • 0
    Just an update from me. 

    It did not work what JohnLiss said. But I have got contact with Sophos Support, and after several e-mails, this is what they said.

    "Just a quick update on this for you. This is still being investigated but the current opinion is that a problem occurred with the FTP Connection Tracker Helper module during upgrade, our escalation team believe that backing the configuration up and reimaging the UTM to the current firmware version then restoring the configuration would resolve this. In the meantime they will continue to look into the root cause and if there is another option."

    So I guess they are coming with a patch or something... soon I hope [:)] 

    -N
  • 0
    I don't read that as anything other than "please backup, reimage and restore," so I'm not expecting any patch.

    If you're certain that the problem didn't exist before the 9.307 Up2Date, there is a trick that will let you reload that Up2Date.  At the command line as root:
    cat /etc/version
    echo ' 9.306006'>/etc/version
    cat /etc/version

    cd /var/up2date/sys
    wget ftp.astaro.com/.../u2d-sys-9.306006-307006.tgz.gpg
    /sbin/auisys.plx --showdesc

    And then apply the Up2Date in WebAdmin.  Did that help?

    Cheers - Bob
  • 0
    Yes, am sure that the problem did not exist before the 9.307 Up2Date. 

    I really hope so that they are coming with a fix... 

    Do you use Putty to connect or do you have any other program to connect to the UTM?
  • 0
    In WebAdmin, go to Management > System Settings > Shell Access.  Enable Shell access and set the passwords for loginuser and root.  Using Putty, connect to the UTM.  First login as loginuser.  Now use "su -" (without quotes) to elevate to root.  Run the commands Bob placed above.
  • 0
     loginuser@firewall:/home/login > su -
    Password:
     firewall:/root # cat /etc/version
     9.307006
     firewall:/root # echo "9.306006">etc/version
    -bash: etc/version: No such file or directory
     firewall:/root # echo ' 9.306006'>etc/version
    -bash: etc/version: No such file or directory
     firewall:/root # echo ' 9.306006'>etc/version
    -bash: etc/version: No such file or Directory

    Just wondering. The first part Bob wrote, what is that fore? I just get this error over...

    This is what Bob wrote

    cat /etc/version
    echo ' 9.306006'>etc/version
    cat /etc/version