[color=green][size=12]要求:外網充許訪問內網中的ftp服務。
考慮:將內網位址nat為外網可以訪問的位址;
ftp服務一般使用tcp21埠進行主機鏈結;
ftp分為pasv與port兩種方式,即被動模式與主動模式。在pasv下,當客戶端與ftp伺服器發生資料傳輸過程中,採用高於1024的動態埠與伺服器鏈結,而port方式中,只與伺服器以tcp20埠進行通訊。這兩種方式由客戶端發起時自由選擇。
問題:無法限制客戶端僅使用port方式與ftp伺服器進行資料交換,那麼,開放整個高於1024的埠,對於安全上,畢竟會造成一定的安全隱瘓。如開放:1025、1433、3389、5000、9995、9996等等,都可能會引起內部網路的一些問題。如果一一進行設定,對於防火牆效率等方面,又不得不考慮。
解決:ftp伺服器採用serv-u5.0.11,而這款ftp伺服器提供了pasv的埠範圍設定,這樣一來就可以做乙個相對簡單又相對穩定的設定。
方案:靜態埠位址對映,可以讓使用者通過外網位址+埠21來訪問內網中特定的ftp服務;
在防火牆中設定acl,充許使用者可以通過tcp訪問ftp伺服器的6800-6900埠;
設定serv-u的pasv:管理--本地伺服器---設定--高階設定中,在server欄中,設定pasv prots range為6800-6900
啟用設定。
測試成功!
後記:ftp服務不象其它伺服器,如dns只使用udp53埠,email只使用tcp的110和25埠,web使用tcp80埠,tftp使用udp的69埠,因為它的被動模式,伺服器必須要提供一定的高於1024的埠供客戶端使用。同時,我們也沒有辦法只要求使用者只使用主動模式,因為使用者可能並不了解這一情況,很多ftp客戶端預設的是使用被動方式。因為,如果防火牆只開放20、21埠,會造成客戶端可以進行使用者驗證,但無法列目錄,也無法進行資料傳送,並提示「你沒有許可權」這樣的550返回錯誤。
FTP防火牆設定
需要開很多埠的。有很多人對ftp的問題多多,大家參考 討論一下。我的環境 server isa sp1,iis client windows 2000 and xp,cuteftp 主要討論isa和ftp在同一臺機器上的處理辦法。ftp的特殊性 大多數的tcp服務是使用單個的連線,一般是客戶向伺服器...
配置防火牆
今天學了下如何配置網路防火牆,用於過濾乙個段的ip位址不能訪問路由器。第二步開啟防火牆 firewall enable 第三步設定預設,允許或者禁止 firewall default permit 第四步設定規則 acl number 2001 rule 1 deny source 192.168....
防火牆配置
一次在某個防火牆配置策略裡看到如下的 iptables a input p icmp icmp type 8 j accept iptables a forward p icmp icmp type 8 j accept iptables a input p icmp icmp type 11 j ...