Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 2610 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Proxy - passive mode - multipath

Moose
Hi folks,

I'm running ASG 8.202 on a dedicated machine with 5 NICs.

Two of them (WAN1, WAN2) are connected to the internet using different providers. Provider at WAN1 offered a limited data transfer volume per month, let's say 10 GB. But, he's routing a /29 subnet with offical ip addresses to me [:)] WAN1 has a static ip address not belonging to this /29 net.

The other one at WAN2 offers a flat rate with dynamic ip address.

Following this article I implemented a multipath rule to force outgoing http/s traffic to WAN2. Furthermore I'm running webfilter as http/s proxy. This works fine for me without any problems.

But, now I decided to send outgoing ftp-connections through WAN2 also.

Doing so I defined a new multipath-rule: 

  Any =>  FTP (Control, TCP Port 21) => Any => WAN2

After activating this rule, active FTP-Traffic works fine, using the FTP-proxy, anyway if in transparent or non-transparent mode.

But, this is not what I really want. Actually I'd like to use passive mode only. Trying to establish a passive mode connection with the settings described above I got the following ftp (client) log:

Connect to: (30.10.2011 22:10:00)
hostname=ftp.astaro.de
username=anonymous
startdir=
ftp.astaro.de=79.125.108.166
220 Welcome to Astaro FTP Service.
USER anonymous
331 Please specify the password.
PASS ***********
230 Login successful.
SYST
215 UNIX Type: L8
FEAT
502 Command not implemented.
HELP SITE
214-The following commands are recognized.
 ABOR ACCT ALLO APPE CDUP CWD  DELE EPRT EPSV FEAT HELP LIST MDTM MKD
 MODE NLST NOOP OPTS PASS PASV PORT PWD  QUIT REIN REST RETR RMD  RNFR
 RNTO SITE SIZE SMNT STAT STOR STOU STRU SYST TYPE USER XCUP XCWD XMKD
 XPWD XRMD
214 Help OK.
CLNT Total Commander (UTF-8)
502 Command not implemented.
OPTS UTF8 ON
502 Command not implemented.
Connect ok!
PWD
257 "/"
Verzeichnis einlesen
TYPE A
200 Switching to ASCII mode.
PASV
227 Entering Passive Mode (79,125,108,166,220,129)
LIST
425 Security: Bad IP connecting.


Well, actually the new multipath rule should work for ftp controll session (TCP port 21) only. So I added a further multipath rule for outgoing ftp data sessions (TPC port 20), but this didn't help to fix the problem. The result using passive mode ftp connections is the same as described above - none!

Any idea what's going wrong and what to do for fixing it? Can't FTP proxy be used with multipath rules and passive ftp?

Running FTP-Proxy on WAN1 anything works fine, i.e. in both modes (transparent / non-transparent) and in active and passive transfer mode.

Greetinx

Guido


This thread was automatically locked due to age.
Parents
  • 0
    Well, because I didn't get any answer so far I disabled FTP Proxy, defined firewall rules for each network I want to go out using ftp and checked if it works in active and passive mode.

    Sadly, the ftp traffice isn't scanned for viruses like it is when using FTP proxy, but this solution works for me as expected.

    May be, I'll get the actually required a hint/tip from one of the ASG gurus here later ...  so far I'll take my own solution described above.

    Greetinx

    Guido
Reply
  • 0
    Well, because I didn't get any answer so far I disabled FTP Proxy, defined firewall rules for each network I want to go out using ftp and checked if it works in active and passive mode.

    Sadly, the ftp traffice isn't scanned for viruses like it is when using FTP proxy, but this solution works for me as expected.

    May be, I'll get the actually required a hint/tip from one of the ASG gurus here later ...  so far I'll take my own solution described above.

    Greetinx

    Guido
Children
No Data