防火牆做對映後ftp服務異常問題記錄

2021-08-28 09:29:02 字數 1423 閱讀 1855

組網介紹

防火牆作為出口(gigabitethernet0/0/1),下掛ftp伺服器192.168.0.10

在防火牆做對映

nat server 0 protocol tcp global inte***ce gigabitethernet0/0/1 10021 inside 192.168.0.10 ftp no-reverse
介面下detect ftp

用pc通過網際網路測試ftp服務,連線正常,無法傳資料

分析原因

檢視會話表,發現ftp伺服器通過20埠主動向客戶端傳送資料,但20埠在防火牆上並沒有對映出去

current total sessions : 4

ftp-data  vpn:public --> public 192.168.0.10:20[124.202.***.***:20]-->222.169.***.***:16070

ftp  vpn:public --> public 222.169.***.***:1266+->124.202.***.***:10021[192.168.0.10:21]

ftp有兩種模式,一種方式叫做standard (也就是 active,主動方式),一種是 passive (也就是pasv,被動方式)。 standard模式 ftp的客戶端傳送 port 命令到ftp server。passive模式ftp的客戶端傳送 pasv命令到 ftp server。 

standard模式ftp 客戶端首先和ftp server的tcp 21埠建立連線,通過這個通道傳送命令,客戶端需要接收資料的時候在這個通道上傳送port命令。 port命令包含了客戶端用什麼埠接收資料。在傳送資料的時候,伺服器端通過自己的tcp 20埠傳送資料。 ftp server必須和客戶端建立乙個新的連線用來傳送資料。  

passive模式在建立控制通道的時候和standard模式類似,當客戶端通過這個通道傳送pasv 命令的時候,ftp server開啟乙個位於1024和5000之間的隨機埠並且通知客戶端在這個埠上傳送資料的請求,然後ftp server 將通過這個埠進行資料的傳送,這個時候ftp server不再需要建立乙個新的和客戶端之間的連線。  

解決辦法:

1、在防火牆上將20、21埠都對映出去

2、pc側通過passive模式建立連線(windows cmd貌似不支援passive模式,可以使用ftp客戶端軟體)。

如下為更換另乙個支援passvie模式的裝置測試結果正常

ftp-data  vpn:public --> public 61.148.***.***:51302-->124.202.***.***:15366[192.168.0.10:2121]

ftp  vpn:public --> public 61.148.***.***:52598+->124.202.***.***:10021[192.168.0.10:21]

Windows XP防火牆服務無法啟動的問題解決

症狀 windows firewall internet connection sharing ics 服務無法啟用,啟動時出錯,提示 在本地計算機無法啟動windows firewall internet connection sharing ics 服務。錯誤0x800004015 此類別是作為...

FTP 伺服器Windows 防火牆下的設定

ftp 伺服器windows 防火牆下的設定 環境 為windows2003 serv u 6.4 非常汗顏,在解除安裝了第三方防火牆後,確定使用用windows系統自帶防火牆。架設完畢,發現能鏈結,但是不能list,更不要說登入。考慮到安全,tcp ip設定使用了篩選,只開放了20,21埠。在防火...

開啟防火牆後仍不能訪問伺服器

檢視防火牆開啟了哪些服務firewall cmd list services 檢視可以開啟的服務firewall cmd get services 新增服務 新增 permanent是永久生效firewall cmd permanent add service https 將https換成你想要開放...