組網介紹
防火牆作為出口(gigabitethernet0/0/1),下掛ftp伺服器192.168.0.10
在防火牆做對映
nat server 0 protocol tcp global inte***ce gigabitethernet0/0/1 10021 inside 192.168.0.10 ftp no-reverse介面下detect ftp
用pc通過網際網路測試ftp服務,連線正常,無法傳資料
分析原因
檢視會話表,發現ftp伺服器通過20埠主動向客戶端傳送資料,但20埠在防火牆上並沒有對映出去
current total sessions : 4
ftp-data vpn:public --> public 192.168.0.10:20[124.202.***.***:20]-->222.169.***.***:16070
ftp vpn:public --> public 222.169.***.***:1266+->124.202.***.***:10021[192.168.0.10:21]
ftp有兩種模式,一種方式叫做standard (也就是 active,主動方式),一種是 passive (也就是pasv,被動方式)。 standard模式 ftp的客戶端傳送 port 命令到ftp server。passive模式ftp的客戶端傳送 pasv命令到 ftp server。
standard模式ftp 客戶端首先和ftp server的tcp 21埠建立連線,通過這個通道傳送命令,客戶端需要接收資料的時候在這個通道上傳送port命令。 port命令包含了客戶端用什麼埠接收資料。在傳送資料的時候,伺服器端通過自己的tcp 20埠傳送資料。 ftp server必須和客戶端建立乙個新的連線用來傳送資料。
passive模式在建立控制通道的時候和standard模式類似,當客戶端通過這個通道傳送pasv 命令的時候,ftp server開啟乙個位於1024和5000之間的隨機埠並且通知客戶端在這個埠上傳送資料的請求,然後ftp server 將通過這個埠進行資料的傳送,這個時候ftp server不再需要建立乙個新的和客戶端之間的連線。
解決辦法:
1、在防火牆上將20、21埠都對映出去
2、pc側通過passive模式建立連線(windows cmd貌似不支援passive模式,可以使用ftp客戶端軟體)。
如下為更換另乙個支援passvie模式的裝置測試結果正常
ftp-data vpn:public --> public 61.148.***.***:51302-->124.202.***.***:15366[192.168.0.10:2121]ftp vpn:public --> public 61.148.***.***:52598+->124.202.***.***:10021[192.168.0.10:21]
Windows XP防火牆服務無法啟動的問題解決
症狀 windows firewall internet connection sharing ics 服務無法啟用,啟動時出錯,提示 在本地計算機無法啟動windows firewall internet connection sharing ics 服務。錯誤0x800004015 此類別是作為...
FTP 伺服器Windows 防火牆下的設定
ftp 伺服器windows 防火牆下的設定 環境 為windows2003 serv u 6.4 非常汗顏,在解除安裝了第三方防火牆後,確定使用用windows系統自帶防火牆。架設完畢,發現能鏈結,但是不能list,更不要說登入。考慮到安全,tcp ip設定使用了篩選,只開放了20,21埠。在防火...
開啟防火牆後仍不能訪問伺服器
檢視防火牆開啟了哪些服務firewall cmd list services 檢視可以開啟的服務firewall cmd get services 新增服務 新增 permanent是永久生效firewall cmd permanent add service https 將https換成你想要開放...