Cannot transfer FTP Server to Server via Astaro Security Gateway

I have created a Packet filter rule that allows any packet to/from any network and place it to the top of rule.

The IPS is turned off too.

I cannot see any problem relevent information in the logs.

Please note that if I install FTPClient (Flash FXP) on one of the servers (A or B), the file transfering is OK but when I install FTPClient sofware on the third computer (C), the file transfering failures.

And FTP File transfering here is Server - To - Server, not Local -To-Server.

Thank you for your replies. 

To the Scott's idea, I have enabled FTP service in Packet filtering but still cannot transfer files between A, B. I cannot see any usefull information in packet filter log.

To the BALfson's idea, I have tried with FTP proxy enabled and disable. With FTP proxy enabled, I used Transparent mode. Transfering file still failured.
Please note that I issue command for hos A transfer file to host B from host C. The transfering here is Site To Site FTP file transfer, not much FTP client software support this capacity (Flash Fxp software can support: Download FlashFXP - FTP, FTPS, SFTP Client software by OpenSight Software)

In my test, If I run Flash FXP on the Host A or Host B then issue copy command for host A transfer file to host B, the transfering OK but when I run Flash FXP on host C then issue copy command, the transfer failures.

I am a programmer and beginner to network security, I can summerize the site to site transfer mechanism as the following:

1. Host C --> raises command to connect and login to host A via port 21

2. Host C --> raises command to connect and login to host B via port 21

3. Host C --> raises command PASV (this is raw FTP command (http://www.jtpfxp.net/rawcmd.htm): Tells the server to enter "passive mode". In passive mode, the server will wait for the client to establish a connection with it rather than attempting to connect to a client-specified port) to host A to require host A works in passive mode.
Host A response a message via port 21 to host C that carries information for new connection: for example (ip:192.168.11.30, port: 45123)
to notify that host A is listening on port 45123 at ip=192.168.11.30 (ip address of host A)

4. Host C --> raise command PORT (this is raw FTP command: Specifies the host and port to which the server should connect for the next file transfer ) to host B with data like that (PORT 192.168.11.30,45123) that requires host B will connect with host at 192.168.11.30 on port 45123.

5. Host C --> raise command STOR (raw FTP command: Begins transmission of a file to the remote site. Must be preceded by either a PORT command or a PASV command so the server knows where to accept data from) to host B with data like that (STOR test.mpg) to require host B prepare a transmission to get new file name "test.mpg" from remote site (192.168.11.30, port 45123 as the PORT command above).

6. Host C --> raise command RETR (raw FTP command: Begins transmission of a file from the remote host) to host A with data like that (RETR test.mpg) to require host A begin transmission on port 45123 for sending file "test.mpg".

7. host A and B establish connection on port 45123: B--> open a socket to A (192.168.11.30) on port 45123 to transfer data.


I have install packet capture sofware (I used WireShark) on host B and C then I can see some transmission lost and require host B retransmit.

Capture on Host C


Capture on Host B


And here is packet filter log on ASG:


Do you have any idea ?

At the moment, to transfer file from host A to host B I have to separate this into two phases (buffer in host C) :
1. Download file from host A to host C via FTP,
2. Upload file from host C to host B via fTP, then delete the file on host C.
It works OK but It takes double time to transfer file from A -> B.

In the future, host A and host B are linux operating systems  and all my applications only work on windows so I must control file transfering from application on host C (windows OS), neither host A nor B.

I have turned off  IPS and allow:
       Any network --> FTP(1:65535 -> 21)--> Any network
       Any network --> any protocol--> Any network
It still cannot transfer.

If I login host A or B, the transfer is OK. I think ASG monitor the source and destination ip of a session and block session used in site to site transfer mechanism.

We often transfer large video files from archiving servers to video servers for broadcasting so Site To Site is very important to us, I think ASG is not suitable for our such system [:(] .

LVNam