FTP uppkoppling lyckas, kommandon nekas

Permalänk
Medlem

FTP uppkoppling lyckas, kommandon nekas

Kliar mig lite i huvudet över något som hände i helgen på jobbet.
En förening lånade lokaler av oss och fick ett nät som de även suttit på tidigare.
De skulle ladda upp något på en FTP som inte ligger på vårat nät, kikade i asan och ser att både 20 och 21 går fram till en publik adress. Kollade med packet tracer från insidan. Source port 12345 (random) till en publik ip och dest port 20 samt 21.
Allt grönt.
De lyckas ansluta till servern, får login prompt. Men försöker man skriva vilket kommando som helst, dir tex, så får man connection refused.

Någon som varit med om liknande tidigare?
Hade givetvis varit optimalt om man hade kunnat sniffa trafiken vid tillfället, men var som sagt i helgen och fick höra om det nu.

Visa signatur

*Citera för svar*
Work smart, not hard.

Permalänk
Medlem

Låter som att det är problem med passive-anslutningar.
Be dem testa att köra active för att se om det löser problemet.

Här finns nog lite hjälp att få:
https://www.cisco.com/c/en/us/support/docs/content-networking...

Permalänk
Inaktiv

Försök att använda passiv ftp om du har möjligt och slå på ftp-inspection på asan.

Permalänk
Medlem

Med standard FTP så behövs dels en upppkoppling från klient till server, och dels en uppkoppling från server till klient. Det låter som om det är uppkopplingen från servern till klienten som går fel i det här fallet.
Om både server och klient stöder passiv FTP (det gör de antagligen) så prova det. Med passiv FTP så är det bara klienten som behöver kunna koppla upp sig mot servern.

För mer detaljer om hur aktiv och passiv FTP skiljer sig åt, se https://slacksite.com/other/ftp.html

Permalänk
Medlem

Hade faktiskt inte en aning att det fanns passiv och aktiv FTP!
Man lär sig något nytt varje dag!
Ska kolla upp det! Ty!

Visa signatur

*Citera för svar*
Work smart, not hard.

Permalänk
Medlem

Inspekterar du FTP i servicepolicyn?

ftp mode passive policy-map global_policy class inspection_default inspect ftp

Visa signatur

ecce
#NATisNotASecurityFeature