ftp模式active、passive防火墙设置
本帖最后由 haohaohao 于 2018-10-12 17:37 编辑ftp的模式分为active、passive,这是针对数据传输过程而言的,控制过程肯定必须是客户端主动向服务器控制端口发起的,这一点要记清楚。
服务器运行在active模式时,客户端必须用active模式去连接
服务器运行在passive模式时,客户端必须用passive模式去连接
(有的ftp服务器可以智能的去适应客户端模式,当客户端发起active模式时,服务器以active模式传数据,当客户端发起passive模式时,服务器以passive模式传数据)
防火墙相关设置:
ftp涉及2个端口:一个控制端口,一个数据端口。
一、不管是active还是passive模式,前提:必须放通 客户端any ---> 服务器 的控制端口
二、active模式的如何放行数据端口:
ftp服务器工作在active模式时,服务器的默认端口:21控制端口、20数据端口
1)控制端口使用默认21时,如果防火墙上默认配置了ftp检测功能(Cisco 在police-map中,配置inspect ftp,华为在zone中detect ftp,H3C 在aspf policy中detect ftp),防火墙只须放通 客户端any ---> 服务器21端口 即可(此时防火墙会自动放行 服务器20端口 ---> 客户端any的通信);如果防火墙没有配置ftp检测功能,需要手工放行 服务器20端口 ---> 客户端any。
2)服务器将控制端口修改为端口A时,防火墙需要放行 客户端any ---> 服务端口A。无论防火墙是否开启了ftp检测功能,都必须放行 服务器20端口 ---> 客户端any(此时防火墙ftp检测功能是不能生效的,因为防火墙没有检测到端口21的流量)。
3)特殊情况:部分ftp服务器虽然控制端口使用默认21,但是数据端口不是20,而是随机的,此时必须根据抓包实际分析服务器的数据端口范围,防火墙放通: 客户端any ---> 服务器21和 服务器(数据端口范围) ---> 客户端any。
(总结一句话,客户端any连服务器控制端口,服务器数据端口连客户端any)
三、passive模式如何放行数据端口:
1)前提:防火墙放通 客户端any ---> 服务器控制端口
2)防火墙放通 客户端any ---> 服务器(数据端口范围)
any端口:部分客户端软件支持设置一个端口范围,如果不支持,建议配置成 1024 - 65535;数据端口范围:这个在服务器上配置的,如果不知道,可以也配置为1024 - 65535。
(总结一句话:客户端any连服务器控制端口,客户端any连服务器数据端口)
谢谢分享
页:
[1]