Direccionamiento de puerto FTP

[Toralva]

Que tal Gaby, intente con una aplicación FileZilla Client y aun así no me dejo hacer la conexión, y si desde internet con un bat me hace lo mismo, ya no se por que me pide dicha autentificación, que mas pudiese hacer???, o ya no hay de otra mas que cargar un respaldo anterior??? , solo una pregunta, los equipos de fortigate cuando están conectados a internet ellos solos bajan alguna actualizacion o cargar aplicaciones por si mismos, por que antes me hacia bien todo pero ahora de la noche a la mañana me suele pasar este inconveniente, quedo en espera de comentarios, de antemano muchas gracias.

[gabyrossi]

hola, podemos ver la politica que tiene el vip del ftp pero por consola ???
No hay ninguna otra arriba que la este tomando el trafico?

saludos

[Toralva]

Vip.png

Hola, si mira comparto la imagen.
Así es como se ve configurado la Vip del FTP, quedo en espera de comentarios.

[Toralva]

Conforme a que haya otra política que este tomando el trafico, cabe mencionar que de políticas de WAN1 del servidor FTP es la única que se quiere implementar, todas las demás políticas son de la interna, quedo en espera de comentarios.

[gabyrossi]

hola, en el vip modificalo y hace el rango de port 20-21

saludos

[Toralva]

Hola, si ya lo habia modificado anteriormente por que tu me habías dicho que pusiera ese rango, y aun asi no funciono o lo regrese a como estaba, pero si eso ya lo probe..

vip 21.png

[gabyrossi]

hola, pero en la imagen que mostras abris 20-21 externos e internos 21-22 ???

[Toralva]

Si lo que pasa es que el fortigate me lo pone automáticamente, no me deja poner de manera externa ni interna 20-21 y 20-21, por tal motivo así es como lo coloca, y por tal motivo cambie al puerto 21 solamente para mantenerlo de manera normal.

[Toralva]

hola Gaby, buen día, sigo teniendo el mismo problema y nada mas no puedo solucionarlo, te comparto unas imágenes para ver si así me puedes asesorar mejor.

Cuando quiero conectar por ftp desde una maquina en red externa me manda este mensaje:

FTPFORTI.png

El mensaje es:

Firewall requires that you agree to the disclainer using a web browser before proceeding with this service.

Ahora esto me lleva a la misma situación que te comentaba que cuando conecto el forti y cada vez que quiero abrir una pagina de internet me manda la siguiente ventana:

forti.png

Y solo me funciona con dar clic en el botón de Yes, I agree y ya tengo salida a intermet, quiero suponer que eso mismo pasa con el ftp y otros puertos que quiero abrir, es decir que requieren esa autorizacion para poder acceder.

quedo en espera de tus comentarios y esperando y me puedas ayudar, de antemano muchas gracias.

[gabyrossi]

Hola, revisa las politicas por cli, debes haber habilitado un disclaimer

enb el vip podes poner 20 -21 externos y 20-21 internos... setealo vos a mano...


slaudos

[Toralva]

Que tal Gaby, realmente no entiendo a que te refieres con el disclaimer en el Cli, debido a que soy algo nuevo, buscare como hacer lo que me indicas, si me aclaras un poco el tema te lo agradeceré.

[gabyrossi]

hola, busca la politica (por cli) donde abris el ftp (vip) y hace un show
y mostranos la salida de ese comando

config system policy
edit (numero de ID politica en cuestion)
show

end
end

[Toralva]

Que tal Gaby, te comparto la imagen de la política que me solicitaste, no veo información extra, tal y como esta en el modo gráfico así me aparece.

politica.png

Quedo al pendiente de tus comentarios, en vdd ya tengo un buen de rato con este problema y nada mas no le puedo dar solución .

Saludos!!!!

[gabyrossi]

hace show full-configuration en esa apolicy

[Toralva]

Hola Gabyrosi, lo siguiente es la configuración que me sale

config firewall policy
edit 2
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "Access_FTP"
set rtp-nat disable
set action accept
set status enable
set schedule "always"
set schedule-timeout disable
set service "ALL"
set utm-status enable
set logtraffic disable
set logtraffic-start disable
set auto-asic-offload enable
set wanopt disable
set webcache disable
set session-ttl 0
set wccp disable
set fsso disable
set disclaimer disable
set natip 0.0.0.0 0.0.0.0
set match-vip disable
set diffserv-forward disable
--More-- set diffserv-reverse disable
--More-- set tcp-mss-sender 0
--More-- set tcp-mss-receiver 0
--More-- set comments ''
--More-- set label ''
--More-- set global-label ''
--More-- set block-notification disable
--More-- set replacemsg-override-group ''
--More-- set srcaddr-negate disable
--More-- set dstaddr-negate disable
--More-- set service-negate disable
--More-- set timeout-send-rst disable
--More-- set identity-based disable
--More-- set profile-type single
--More-- set av-profile ''
--More-- set webfilter-profile ''
--More-- set spamfilter-profile ''
--More-- set dlp-sensor ''
--More-- set ips-sensor ''
--More-- set application-list ''
--More-- set voip-profile ''
--More-- set icap-profile ''
--More-- set profile-protocol-options "default"
--More-- set deep-inspection-options "default"
--More-- set traffic-shaper ''
--More-- set traffic-shaper-reverse ''
--More-- set per-ip-shaper ''
--More-- set nat disable
--More-- next
--More-- end