Comunidad FORTIGATE.es

Hola a t2,

a ver si alguien me puede ayudar, necesito habilitar ftp pasivo dentro de una regla del fortigate que nos han solicitado, he probado cien mil cosas pero ninguna funciona, lo único que he visto es que si quiero implantarlo por puertos el rango a permitir prácticamente sería como permitir un ANY, ya que únicamente funciona con un rango: 1024-65000 y esto lógicamente no lo vamos hacer.

Por otro lado me han comentado de hacerlo por protocolo FTP, pero sinceramente no lo he hecho nunca. Si hay alguien que sepa como hacerlo agradecería que me lo pudiera explicar.

P.D: De cara a las pruebas la aplicación con la que estamos probando el ftp pasivo es con el FileZilla.

Saludos y gracias de antemano,

tucam.

Hola, no entiendo que necesitas hacer?
abrir un ftp a internet ? chequear un ftp desde tu red hacia internet? o que?

Perdona por no haberte respondido antes,

lo que se pretende hacer es que ciertos usuarios accedan desde unos servidores situados fuera de la red a unos recursos situados detrás del FW, para ello nos solicitan que la conexión se haga por ftp pasivo y en este caso cuando hacemos las pruebas resulta que no nos funciona, el resto de la información es la que ponía en el post anterior.

Saludos.

hola, bueno entonces contanos que fue lo que configuraste, asi vemos que paso.

slaudos

Hola de nuevo,

Lo primero de todo mencionar modelo/sw FW (fortigate 3810A) con fortiOS: 4.0 MR3

Actualmente disponemos de dos reglas configuradas en dicho FW, permitiendo el tráfico de la siguiente forma:

Dos zonas distintas: A y B

IDA: ZonaA(externa)------>ZonaB(interna) --Origen: all --Destino: Servidores internos de nuestra red ----Servicios: rango ftp_pasivo(1024-65534)

VUELTA: ZonaB(interna)------>ZonaA(externa) --Origen: Servidores internos --Destino: all ------Servicios: rango ftp_pasivo(1024-65534)

Ahora mismo y con motivo de las pruebas que hemos hecho se ha quedado así de forma eventual, pero lógicamente así no lo podemos habilitar, ya que sería como dejar un ANY.

En fin a ver si me podéis dar luz con dicho asunto.

Saludos y gracias de antemano,

tucam06.

Hola, como estas
eso esta mal, si tienen que acceder al server tuyo de ftp desde internet tenes que hacer un vip abriendo el port ftp 20-21 y luego la politica

te dejo este link, que es similar

viewtopic.php?f=7&t=2143&p=9609&hilit=vip#p9609

saludos

Hola de nuevo,

no sé, no acabo de verlo, lo suyo sería que independientemente que fuera ftp pasivo pudiera funcionar sólo con tener permitido el protocolo ftp, no entiendo el motivo de tener que utilizar una vip para dicho servicio y más si habilitando los ptos no funciona.

¿Podrías por favor ser más explícito? he estado mirando el ejemplo del link que mencionas pero no me saca de dudas, más bien me surgen más.

Saludos,

tucam06

hola, para abrir puertos de una ip privada tenes que hace run vip, para que desde internet puedan ver ese ftp privado.

saludos

Ok gracias por tú respuesta pero precisamente hoy han desmontado dicho escenario y ahora pretenden hacerlo de otra forma, sería:

Personal se desplazaría a nuestras dependencias, desde nuestra red les facilitaríamos acceso a los distintos servidores desde donde tienen que acceder vía ftp pasivo a las distintas dependencias situadas en el exterior, por tanto el flujo de tráfico ahora sería:

interno ------> exterior
servidores / delegaciones externas

En fin esto es lo poco que me han contado y aprovecho ya el post que tenía abierto con dicho asunto, la cuestión es ahora la siguiente, entiendo que debería mantener las reglas que tengo configuradas, únicamente cambiar las dir ip´s que correspondan, pero a la hora de configurar el servicio, tiene toda la pinta que si habilito sólo el ftp(21) no va funcionar, no sé aunque sea otro escenario sigo igual de perdido.

Gracias de antemano,

tucam06

hola, a ver.....

si desde adentro de tu red tienen que llegar a un ftp que esta en otro sitio por ip publica, basta con tenes abierto el port 21en la politica de navegacion hacias la ip publica que te pasen.

saludos

Hola de nuevo,

el acceso lo hacen a través de dir ip privada y si, como bien dices debería bastar con configurar las reglas en cuestión y habilitar el port 21 (ftp), pero así no funciona, por lo que me han dicho utilizan como cliente ftp (filezilla) y la conexión la hacen por ftp pasivo, pues bien realizan la conexión por el port 21 a una sede remota del tipo (10.44.X.Y) les conecta, pero a la hora de listar el contenido del directorio(no muestra ni archivos/subdirectorios), se les queda ahí y no les funciona, llegado a este punto me surge la duda de si el problema reside en dicha aplicación de ftp o por contra será necesario abrir un rango de puertos para el ftp pasivo que ahora mismo desconozco, lo único que si estoy seguro que funciona es que con dicho escenario si abrimos el rango de ptos (1024-65000) funciona perfectamente, pero ahora mismo no lo planteamos, ya que eso sería como dejar un ANY y no queremos dejarlo así.

En fin a ver si mañana puedo hacer pruebas con ellos y ya te cuento.

Un saludo y gracias por tú ayuda.

tucam06

Hola de nuevo,

con el nuevo escenario montado:

Personal conectado desde nuestra intranet con acceso a servidores detrás del FW intentan conectarse por ftp pasivo a delegaciones externas.

Reglas: Origen (all) -------> Destino(Servidores intranet) eq ftp
Origen(Servidores intranet) --------> Destino(all) eq ftp

Actualmente disponemos de estas dos reglas configuradas una en sentido entrante y otra para la vuelta por el port 21 (ftp), pues bien sigue sin funcionar. Utilizan la aplicacion filezilla como cliente ftp y cuando le dan a conectar se autentican bien, pero a la hora de establecer la conexión les arroja el mensaje: "Error al recuperar listado directorio".

En fin seguimos igual, no conseguimos hacer funcionar dicha conexión por ftp pasivo únicamente a través del puerto 21, si alguien tiene alguna otra idea agradecería la ayuda.

Saludos y gracias,

tucam06.

hola, como estas? aclaremos algo, el ftp "pasivo" no usa puerto distinto.
A lo sumo el ftp puede usar los port 20-21

segundo, podes probar con otro soft?
probaste destildando la opcion de pasivo?
la politica la estas nateando?

saludos

Hola gabyrosi,

te respondo entre lineas:

*el ftp puede usar los port 20-21:
Correcto y totalmente de acuerdo, pero tal y como pongo en las pruebas con ellos solos tampoco funciona.
*segundo, podes probar con otro soft?
Ahora mismo no puedo llevar a cabo esa prueba, la version actual es la 4.0 MR3
*probaste destildando la opcion de pasivo?
Si y tampoco iba.
*la politica la estas nateando?
No hago nat.

Saludos,

tucam06

hola, si la politica es saliente hacia internet siepre lleva nat.

saludos