Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3902 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[FTP] Connection denied by ACLs - How to enable external FTP servers in FTP Proxy?

IngoPohlschneider
Hello
we are using ASG 7.509 in Clustermode (Hotstandby).

FTP Proxy is enabled for all internal VLANs. 
Allowed target servers are inside an DNS Host group.

When I try to connect using FileZilla 3.1.3 (or the current version..doesn't matter)
I am getting the following log output:


Status: Verbinde mit 87.***.***.***:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 501 Connection denied. Bye
Fehler: Kritischer Fehler
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen


The FTP Proxylog tells me the following:

2011:02:21-11:38:11 ***-***-1 frox[7075]: Connect from 10.0.***.***
2011:02:21-11:38:11 ***-***-1 frox[7075]: ... to 87.***.***.***()
2011:02:21-11:38:11 ***-***-1 frox[7075]: Denied by ACLs.
2011:02:21-11:38:11 ***-***-1 frox[7075]: Closing session 


The DNS entry within the DNS host group is unresolved (even after I used Tools ... to ping directly from the ASG (which was sucessfully done))

When I enter the IP of the host to the Host Group it works fine and I am able to connect (but this isn't the way I wanna do it [;)] )

How can I allow servers with their DNS hostname?

Greetz


This thread was automatically locked due to age.
Parents
  • 0
    Hmmm.  That sounds like your DNS Group isn't resolving like you think it is.  When you look in 'Definitions >> Networks', does the DNS Group definition show that it resolves to multiple IPs?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hmmm.  That sounds like your DNS Group isn't resolving like you think it is.  When you look in 'Definitions >> Networks', does the DNS Group definition show that it resolves to multiple IPs?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Bob...
    I am out of office until mid of next week.
    I would aprechiate if you`d subscribe to the topic.

    I will check on the DNS group as soon as I am back in the office

    Thanks
  • 0 in reply to IngoPohlschneider
    Hello
    just saw that I was wrong.

    The FTP Servers are DNS Host groups (since the servers may have several IPs)
    and all of them are grouped within a network group.

    Most of the DNS Host groups are resolved, but the one that caused problems last week isn't resolved yet.

    As I said this even doesn't change after manually pinging the DNS name via Tools menu.

    Greetings
    chaser

    edit:
    The DNS entry is now resolved but the connection is still impossible.
    When adding my hostname to the skiplist (so bypassing the FTP Proxy) I am able to connect.
    Allowed hosts are all VLANs (A networkgroup w/ all VLANs)
Cookie Information Banner