Как настроить проброс портов через Cisco ASA 5520 на Ftp сервер?

Question

[Tupa_Kalich]

Доброго времени суток! Я еще зеленый в плане настройки ASA, так что строго не судите. Возникла такая проблема, необходимо пробросить порт из Outside в Inside на FTP сервак. До этой задачи пробрасывал порты для Radmin, что удивительно, но у меня все работает) А вот с FTP какой-то завтык. Связь по Ftp в локальной сети работает без проблем.
По софту: FileZilla Server 1.4.1, Cisco ASA 8.4. При необходимости могу скинуть конфиг асы.

Comments

[Tupa_Kalich]

Как итог дело оказалось в устройстве на котором был установлен FTP сервер, а так же в FTP инспекции. После включения FTP инспекции и установки FIleZilla на другой пк все заработало.

Answer 1

[Sergey Ryzhkin]

Без каких то логов с ошибкой или описанием того, что не получается, попробуйте вот так.

Comments

[Tupa_Kalich]

Хех, спасибо за подсказку) Как я понял, стандартный проброс портов тут не работает. Видимо есть какая-то волшебная команда, которая позволяет ходить FTP. Проблема заключается в том что FileZilla не может получить список каталогов, хотя подключается к серверу. Ошибки прикладываю ниже.
На скриншоте указана ошибка, которая вылезает в логах Cisco:
Со стороны FileZilla клиента:

[Sergey Ryzhkin]

Tupa_Kalich, Гуглите в сторону портов, которые использует filezilla. Я думаю там не голая ftp, а какая-нить sftp, которая не ограничивается одним портом, а использует 2-3 порта, скорее всего что-то просто не дооткрыто.

[Tupa_Kalich]

Да, все верно. упустил из внимания настройку в FileZilla внешнего ip. Старая ошибка была из-за этого) А так, да используется два порта. Один на управление, другой на передачу данных. Сделал проброс на порт передачи данных, возникла новая ошибка) Плюс добавилась папка в нижнем правом углу. До этого писал: "невозможно соединиться с сервером" Скрин новой проблемы прикладываю ниже:

Answer 2

[Valentin Barbolin]

Ты хоть пример конфигурации cisco покажи, можно до бесконечночти гадать что не так.
https://www.petenetlive.com/KB/Article/0000772

Comments

[Tupa_Kalich]

Этого хватит?
!
interface GigabitEthernet0/1.40
vlan 40
nameif Wi-Fi
security-level 97
ip address 192.168.4.1 255.255.255.224
!
boot system disk0:/asa847-k8.bin
ftp mode passive
clock timezone MSK 3
dns domain-lookup outside
dns server-group DefaultDNS
name-server 77.88.8.8
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect h323 h225
inspect h323 ras
inspect esmtp
inspect skinny
inspect sip
inspect ip-options
inspect icmp
inspect http
inspect ipsec-pass-thru
inspect snmp
inspect rtsp
inspect ftp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:87fa3de51be65787a55c7a9b920065ae
: end
!
Auto NAT Policies (Section 2)
1 (Inside) to (outside) source static Baza interface service tcp ftp ftp
translate_hits = 0, untranslate_hits = 143
2 (Inside) to (outside) source static Radmin interface service tcp 4899 4899
translate_hits = 0, untranslate_hits = 225
3 (Wi-Fi) to (outside) source dynamic Wi-Fi-subnet interface
translate_hits = 286358, untranslate_hits = 43707
4 (Inside) to (outside) source dynamic Inside-subnet interface
translate_hits = 4510262, untranslate_hits = 535961
5 (Voice) to (outside) source dynamic Voice-subnet interface
translate_hits = 1462254, untranslate_hits = 1181411
6 (Buh) to (outside) source dynamic Buh-subnet interface
translate_hits = 500003, untranslate_hits = 39817
7 (DMZ) to (outside) source dynamic dmz-subnet interface
translate_hits = 59, untranslate_hits = 0