Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6782 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP access through UTM

Amodin
OK, so I have researched here, read the several posts about FTP access through the UTM, tried them and I am still stuck.  I don't normally keep my network open for FTP, but now my wife works part-time from home and I have to set this up.  :\

I have a NAS beind the UTM firewall that is setup with a user/pass that has access to only one folder on the NAS, R/W capability.

I have a FreeDNS name that I can use for connectivity, and resolving appears to be working just fine.

FTP access using either my DNS name OR my external IP address, the Network protection log still shows my connection being dropped on port 21:

- After creating a rule specific to port 21 to be allowed access
- After creating a DNAT rule to pass traffic to my NAS
- After utilizing FTP Proxy

I get access denied in the FTP proxy log, tried both active and passive FTP client, changed from Transparent FTP, to both in the FTP proxy, and I cannot get ANYWHERE with is mess.  FTP Proxy also shows the Denied by ACLs error.

I've even tried Any--->FTP--->Any for a firewall rule just for the hell of it, and I am STILL showing being dropped in the network log.

Why would I get dropped on Network Protection when I would have made a specific rule to allow traffic on that specific port?


This thread was automatically locked due to age.
  • 0
    So you want your internal NAS to be accessible from the Internet via FTP?
    Then all you need is a DNAT:
    Source: ANY
    Service: FTP
    Destination: WAN (Address)
    Translate Dest. to: 
    and the Service to: 

    Automatic Firewall rule: yes

    No separate firewall rule needed.

    Also have a look at your NAS, it might block Connections from outside your internal network, so you might have to allow this.

    The FTP Proxy is only for FTP traffic from internal to external.
  • 0
    If that were the case, then Network Protection would not be dropping the connection, but it is.  So, there has to be more to it than just the DNAT rule.
    The funny part is, even creating the firewall rule, it still drops the FTP connection.
  • 0
    I know that it is that simple because I have configured it that way for my internal FTP server... [;)]

    Please show the relevant lines from the FULL firewall log (not the live log).
    Also show a screenshot of your DNAT rule.
    Also have a look at the IPS log.

    edit: BTW: Have you bound your NAS network object to a interface?
  • 0
    Bump...
    Having same issue with same symptoms.  Exactly the DNAT specified above was create.  Also tried any-any-any firewall rule to still have them dropped.  Could be on ftp server end. Am using Titan FTP on server.
  • 0 in reply to jerrylyoungii
    Bump...
    Having same issue with same symptoms.  Exactly the DNAT specified above was create.  Also tried any-any-any firewall rule to still have them dropped.  Could be on ftp server end. Am using Titan FTP on server.


    please get the relevant lines from the full log, and not the live log.
    the live log misses some relevant information that is needed to answer your question [;)]
  • 0 in reply to FrankBarmentlo
    please get the relevant lines from the full log, and not the live log.
    the live log misses some relevant information that is needed to answer your question [;)]


    Sorry. I can still go back and get the full log info if needed, but I found a resolution that worked for me this weekend.  My symptoms were like stated before but I will cover them again then the resolution.

    I could access my FTP sites from the outside using a client like Filezilla, but not through windows explorer or browser.  I watch the utm live log drop packets and it just didn't make sense.  My third party ftp software on my server has logging so I watched them side by side.  The browser and explorer traffic were both trying to connect anonymously without ever prompting for credentials.  With a client you put in your credential prior to connection.  So the issue made sense, but what was causing the lack of a credentials window to popup?  

    In my case it was IPS.  I added FTP services to the exceptions list and everything went back to working flawlessly.