Hola gabyrosi,
con el cambio de escenario que se hizo, te matizo una cuestión:
<Acceso se da entre dos puntos en diferente ubicación pero por contra si pertenecen a la misma organización (direccionamiento privado en ambos)>
Por tanto el NAT no es necesario y únicamente cabe configurar las reglas en cuestión tanto en ida/vuelta, pues bien teniendo ahora mismo esa situación y haciendo las pruebas con ptos (20-21) no funciona, en cambio si permitimos el rango de puertos superior a 1023, es decir, del 1024-65534 funciona perfectamente con el ftp pasivo, eso sí y tal como he explicado antes esto es como abrir prácticamente un ANY, ya que habilita tanto ptos registrados/dinámicos, pero a día de hoy no encuentro otra forma de hacerlo funcionar a través de ftp pasivo.
Un saludo,
tucam06.
Habilitar FTP Pasivo sobre un fortigate
Re: Habilitar FTP Pasivo sobre un fortigate
hola, entonces esta configurado en otro puerto que no es el 21.
revisa las sesiones de esa politica y veras los puertos utilizados.
saludos
revisa las sesiones de esa politica y veras los puertos utilizados.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Habilitar FTP Pasivo sobre un fortigate
Pues al final no era necesario nada de eso, resulta que el propio forti dispone de una feature para llevarlo a cabo, sin necesidad de implementarlo por ptos:
***********************************
Primeramente configuración por CLI:
***********************************
FW_hostname (profile-group)
edit "FTP_Pasivo"
set av-profile "FTP_Pasivo"
set profile-protocol-options "FTP_Pasivo"
next
**********************
Configuración por web:
**********************
*Firewall: Protocol Options:
Crear un nuevo perfil Ftp_Pasivo
Options: seleccionar ftp, port 21,enable comfort clients, interval 1, Amount: 2048, oversized: pass, treshold: 10, enable monitor content
*UTM:Antivirus:
Crear nuevo profile ej: Ftp_Pasivo
Una vez lo creas seleccionamos protocolo ftp y listo.
*Asociar configuración anterior a la regla,-as correspondientes:
Editamos la regla y en la parte de UTM, seleccionamos la pestaña y habilitamos la primera casilla correspondiente a enable antivirus, desplegamos/seleccionamos el profile que hemos creado anteriormente (ftp_pasivo) y en la parte inferior dentro de Control: Protocol Options seleccionamos/desplegamos la pestaña e igualmente elegimos el profile creado(ftp_pasivo)
Con esto ya estaría hecho y así es como yo lo he configurado y funciona perfectamente.
Saludos y espero que os sirva.
Tucam.
***********************************
Primeramente configuración por CLI:
***********************************
FW_hostname (profile-group)
edit "FTP_Pasivo"
set av-profile "FTP_Pasivo"
set profile-protocol-options "FTP_Pasivo"
next
**********************
Configuración por web:
**********************
*Firewall: Protocol Options:
Crear un nuevo perfil Ftp_Pasivo
Options: seleccionar ftp, port 21,enable comfort clients, interval 1, Amount: 2048, oversized: pass, treshold: 10, enable monitor content
*UTM:Antivirus:
Crear nuevo profile ej: Ftp_Pasivo
Una vez lo creas seleccionamos protocolo ftp y listo.
*Asociar configuración anterior a la regla,-as correspondientes:
Editamos la regla y en la parte de UTM, seleccionamos la pestaña y habilitamos la primera casilla correspondiente a enable antivirus, desplegamos/seleccionamos el profile que hemos creado anteriormente (ftp_pasivo) y en la parte inferior dentro de Control: Protocol Options seleccionamos/desplegamos la pestaña e igualmente elegimos el profile creado(ftp_pasivo)
Con esto ya estaría hecho y así es como yo lo he configurado y funciona perfectamente.
Saludos y espero que os sirva.
Tucam.