Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 5490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Proxy DOesnt always let us connect to the allow list of ftps

gnsec
I have created network definitions for ftp hosts and added them to a group.  I assigned this group as the ftp allowed list in the ftp proxy.  I cannot understand why does astaro sometimes block access to these sites and in that instance i have to disable ftp proxy to be able to connect???  Something is definately wrong with Astaro, someone must have a solution as this is totally stupid!  Also this is happening everyday so sometimes it allows us to connect and sometimes it doesn't.  Is it the Intrusion Prevension rules that are triggered for this false alarm?  If so which rule is it so I can disable it, this is rediculous, so many issued with Astaro on the forum and we had so many issues since we bought it.  Fortinet doesnt have these issues.  Can Balfson solve this mystery for me please.


This thread was automatically locked due to age.
Parents
  • 0
    They are using Windows 7 Pro machines, they joined the domain.  There are no GPOs that affect the way they conenct to FTP.  They all use Filezilla version 3.3.5.1 in Passive mode, thats the default setting, we kept all settings default on Filezilla clients, we never changed any settings.  And finally, I am not using HTTP/S in profile mode, only HTTP/S, the first button under Web Security, and it is set in transparent mode.  Also the FTP proxy is set to transparent mode.  The ftp we connect are port 21 ftp servers, not on other ports like SFTP.  They never use ftp capability of web browsers because it is unreliable, they use ftp clients which is Filezilla.  This problem happens every day, at around midshift.
Reply
  • 0
    They are using Windows 7 Pro machines, they joined the domain.  There are no GPOs that affect the way they conenct to FTP.  They all use Filezilla version 3.3.5.1 in Passive mode, thats the default setting, we kept all settings default on Filezilla clients, we never changed any settings.  And finally, I am not using HTTP/S in profile mode, only HTTP/S, the first button under Web Security, and it is set in transparent mode.  Also the FTP proxy is set to transparent mode.  The ftp we connect are port 21 ftp servers, not on other ports like SFTP.  They never use ftp capability of web browsers because it is unreliable, they use ftp clients which is Filezilla.  This problem happens every day, at around midshift.
Children
  • 0 in reply to gnsec
    They are using Windows 7 Pro machines, they joined the domain.  There are no GPOs that affect the way they conenct to FTP.  They all use Filezilla version 3.3.5.1 in Passive mode, thats the default setting, we kept all settings default on Filezilla clients, we never changed any settings.  And finally, I am not using HTTP/S in profile mode, only HTTP/S, the first button under Web Security, and it is set in transparent mode.  Also the FTP proxy is set to transparent mode.  The ftp we connect are port 21 ftp servers, not on other ports like SFTP.  They never use ftp capability of web browsers because it is unreliable, they use ftp clients which is Filezilla.  This problem happens every day, at around midshift.


    Forgive me if I'm way off on this answer as I'm trying to understand the question at hand (it seems to be all over the map)

    If the users are trying to access offsite FTP servers through the local proxy and sometimes it fails, most notabily when LISTING the contents of the FTP site, then these are RULE issues, not PROXY issues. Meaning that the server is NOT likely transmitting on the same ports each and every time.

    Example:
    Some servers only use ports 20/21/22 for FTP style traffic. Meaning they both SEND and RECEIVE on port 21.

    While others might listen for connections on port 21 but SEND from ports 4000-5000. (Or any other range of ports for that matter)

    The way to check this is to watch the LIVE LOG on your ASG. 

    If you are seeing blocked traffic to and from the IP addresses you're testing with, then you know you need to adjust your FTP RULE to meet you're needs. 

    All server admins are different. I personally force my FTP traffic to be spread out on a range of ports, but thats just me.

    In the end this is NOT a fault of the ASG or Astaro simply because it is doing what it's supposed to be doing which is blocking traffic that hasn't been Ok'd by its administrator. OK the correct ports (The ones being blocked) and the problem should be solved.