Netscreen, connecteren port natted (vip) ftp server

Situatie:
Een ftp server geconfigureerd achter een netscreen firewall.
extern ip firewall: 123.123.123.123
intern ip server: 10.10.10.10
client local ip: 172.16.1.2

Op deze firewall zijn een paar VIP's (port natting) aangemaakt.
123.123.123.123:21 -> 10.10.10.10:6666
123.123.123.123:6666 -> 10.10.10.10:6666
Zowel publieke poort 21 als poort 6666 worden dus geforward naar server poort 6666.

Poort 6666 is als service aangemaakt. Poort 21 is een predefined service.
ftp-6666 TCP src:1-65k, dst: 6666-6666
FTP TCP src port 1-65535, dst port:21

Als we nu proberen te connecteren naar poort 21 werkt alles. Maar als we connecteren naar poort 6666 werkt de ftp niet, active faalt (logisch) maar ook passive faalt.
Hieronder de ftp outputs. Zoals je kan zien krijgt de client netjes het externe ip adres terug voor passive mode indien je connecteerd op poort 21.
Indien geconnecteerd op poort 6666 krijgt de client echter het intern ip adres terug voor passive mode.

De gebruikte ftp server is IIS6. Hier heb je blijkbaar geen optie om het extern ip adres door te geven voor passive ftp. "Google zegt" dat goeie firewalls de vertalign doen naar het externe ip adres. Blijkbaar doet de netscreen/juniper dat dus wel voor poort 21, maar niet voor poort 6666. Is er een manier om de netscreen wijs te maken dat poort 6666 toch echt ook ftp verkeer is? Of om dit werkende te krijgen?

******************************************************************
Connecting to IP=123.123.123.123 PORT=21
220 Microsoft FTP Service
USER testuser
331 Password required for testuser.
PASS (hidden)
230-Welkom op de Test-FTP site
230 User testuser logged in.
SYST
215 Windows_NT
FEAT
211-FEAT
SIZE
MDTM
211 END
PWD
257 "/" is current directory.
TYPE I
200 Type set to I.
PASV
227 Entering Passive Mode (123,123,123,123,16,134).
Opening data connection IP: 123.123.123.123 PORT: 4230
RETR file.test
125 Data connection already open; Transfer starting.
226 Transfer complete.
Transferred: file.test 6 KB in 0,05 seconds (128,6 KB/s)
Transfer queue completed
******************************************************************
Connecting to IP=123.123.123.123 PORT=6791
220 Microsoft FTP Service
USER testuser
331 Password required for testuser.
PASS (hidden)
230-Welkom op de test-FTP site
230 User testuser logged in.
SYST
215 Windows_NT
FEAT
211-FEAT
SIZE
MDTM
211 END
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (10,10,10,10,16,137).
Opening data connection IP: 123.123.123.123 PORT: 4233
Data Socket Error: Connection timed out
List Error
PASV
227 Entering Passive Mode (10,10,10,10,16,140).
Opening data connection IP: 123.123.123.123 PORT: 4236
Data Socket Error: Connection timed out
List Error
PASV mode failed, trying PORT mode. passive faalt dus port/active dewelke ook niet kan door client firewall
Listening on PORT: 2249, Waiting for connection.
PORT 172,16,1,2,8,201
500 Invalid PORT Command.
List Error
******************************************************************

Dank voor de moeite vicarius, maar we kunnen niet eventjes IIS7 installen en de ftp server heeft ook niet rechtstreeks een extern ip adres..

Li0nHeart schreef op woensdag 06 mei 2009 @ 14:27:
Wij hebben een SSG550 staan, dus geen idee of dat verhoudt, maar in m'n policyregel kan ik bij Application FTP opgeven.

Dat betekent als ik me goed herinner dat de FW weet dat over (bv) poort 6666 ftp verkeer gaat.
Wellicht lost dat je probleem op.

Zo simpel kan het dus zijn.. kan niet geloven dat'k hier overheen heb gekeken.
Anyway, het werkt nu naar behoren. Allen bedankt