roadmax
Goto Top

Watchguard ausgehender FTP Zugriff

Hallo Zusammen,

weiß jemand was eingestellt werden muss, damit eine Watchguard Firebox M370 FTP Verkehr nach aussen zu lässt? Derzeit können die User sich zwar an FTP Servern im Internet verbinden, bekommen aber kein Listing sonder nur ein Timeout. Im Internet finde ich dazu nicht viel.

Danke,
Roadmax

Content-ID: 667383

Url: https://administrator.de/contentid/667383

Printed on: December 9, 2024 at 03:12 o'clock

Deepsys
Deepsys Jun 07, 2021 at 10:53:03 (UTC)
Goto Top
Hi,

na eine Policy die FTP erlaubt face-wink

Die scheinst du ja zu haben, mit oder ohne Proxy?
Wenn mit Proxy, dann mal den genauen Log lesen, oder einfach mal ohne Proxy probieren.

Welche Fireware Version?

VG,
Deepsys
Roadmax
Roadmax Jun 07, 2021 at 11:05:44 (UTC)
Goto Top
Ich habe eine Regel mit Proxy aber die scheint es nicht zu tun und im Log steht nichts. Auf der Box läuft 12.7.

VG!
ChriBo
ChriBo Jun 07, 2021 at 11:15:45 (UTC)
Goto Top
Hi,
Welchen Client verwenden die User ?
Sieht nach aktivem FTP aus, wechsel mal zu passiven FTP (im Client).
-
ggf. schalte mal (kurzfristig) eine allow TCP/any to FTP Server Regel.
Log mal allen Verkehr auf der LAN und der WAN Seite von und zu dem FTP Client und von und zu dem Server.
Damit solltest du den Fehler schnell erkennen.

Gruß
CH
Deepsys
Deepsys Jun 07, 2021 at 11:17:11 (UTC)
Goto Top
Dann kurzen Prozess, ohne Proxy.

Es gab/gibt auch einen Fehler wenn die zu lange läuft, so 90 Tage und mehr, das dann der Proxy aus dem Tritt kommt. Sollte ja aber nicht der Fall sein.
Notfalls den Proxy log auf Debug stellen, eigentlich sieht man im Firebox System Manager immer ganz gut das Problem.
niklasschaefer
niklasschaefer Jun 07, 2021 at 16:00:36 (UTC)
Goto Top
Hallo, So sehe ich das auch entweder eine Regel ohne Proxy die Port 21 erlaubt. Oder beim Proxy mal IDs und IPS deaktivieren. Hilft bei der Watchguard auch öfters.

Helfen sollte dir auch wie vom Kollegen iben beschrieben das Log der Regel sein oder direkt das Log wenn du live den Traffic im System Manager mit verfolgst.


Grüße
Niklas
aqui
aqui Jun 07, 2021 at 16:14:04 (UTC)
Goto Top
Derzeit können die User sich zwar an FTP Servern im Internet verbinden
Wenn du auch Ports filterst musst du bei FTP natürlich TCP 20 und TCP 21 freigeben. Siehe dazu hier.
Es sei denn die Ziel FTP Server erzwingen den sog. Passive Mode (PASV) dann reicht ein Port.
Warum das so ist wird dir hier erklärt:
https://slacksite.com/other/ftp.html
https://www.jscape.com/blog/bid/80512/active-v-s-passive-ftp-simplified
https://backwpup.de/doku/was-ist-der-ftp-passiv-modus-wie-und-wann-nutze ...
usw. usw.