Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1200 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Passiv FTP drops

schaefer
Hi,
we are trying to run an passiv FTP behind our Astaro but it Drops the Connection while using the passiv Ports.
We have activated Connection tracking helpers and can follow the connection. FTP Proxy is off.
In active mode everything works fine.

We have made an D/NAT Rule like this:
Traffic selector: Any → FTP → WAN(Address)
Destination translation: ftpserver
Automatic packet filter rule: yes
Initial packets are logged: yes

If we open up port 50000-60000 additionally in the dnat rule it works.

We dont want to open up the whole passiv ports...  



On another Astaro we only have to open port 21 and it runs..

Anybody an idea?


This thread was automatically locked due to age.
  • 0
    Hi,
    we are trying to run an passiv FTP behind our Astaro but it Drops the Connection while using the passiv Ports.
    We have activated Connection tracking helpers and can follow the connection. FTP Proxy is off.
    In active mode everything works fine.

    We have made an D/NAT Rule like this:
    Traffic selector: Any → FTP → WAN(Address)
    Destination translation: ftpserver
    Automatic packet filter rule: yes
    Initial packets are logged: yes

    If we open up port 50000-60000 additionally in the dnat rule it works.

    We dont want to open up the whole passiv ports...  



    On another Astaro we only have to open port 21 and it runs..

    Anybody an idea?


    Have you tried connecting to the FTP site with a dedicated FTP program and not via the browser?

    We had a similar problem and it was the http proxy intercepting the FTP traffic via the browser.  By using a dedicated FTP program or a FTP add-on in Firefox this fixed the issue.

    Also you can add it as an exception in  the Web Security -> HTTP/s -> Exceptions if you still want to use the browser.
  • 0
    BarryG and I discussed this about a year ago: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39117

    More recently, I think it was again Barry who commented that the FTP helper on the 'Advanced' tab of 'Packet Filter' should take care of managing the inbound ports in passive mode.  I understood that you shouldn't need to open them with an explicit PF rule.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA