22
2022
04
11:24:50

ftp的被动模式无法通过nat server连接内部服务器

目录

问题描述

Server——USG——ISP——pc1

IP部署为:

server:192.168.1.2

USG(trust):192.168.1.1

USG(untrust):10.1.1.1

pc1为拨号用户

USG上的nat配置为:

    nat server protocol tcp global 10.1.1.1 ftp inside 192.168.1.1 ftp

    acl 2000

        rule permit

    firewall interzone trust untrust

        nat outbound 2000 interface e0/0/0

这个时候使用主动模式可以访问服务器,但是使用被动模式不可以访问!

告警信息

处理过程

使用一个全映射即可解决:

nat server global 10.1.1.2 inside 192.168.1.2

根因

主动模式发送数据的时候是server的20端口与客户方连接

被动模式发送数据的时候是server用一个大于1024的端口让客户主动来连接

配置中只配了ftp的转换,并没有配置大于1024的nat server转换,因此造成使用被动模式无法连接server的原因

建议与总结

这个案例只要了解FTP的两种工作模式即可

主动模式:命令通道建立之后,服务器主动发起使用源端口20去连接客户端的一个随机的端口

被动模式:命令通道建立之后,客户端主动发起连接到服务器的一个随机端口




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2197.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: