问题描述
Server——USG——ISP——pc1
IP部署为:
server:192.168.1.2
USG(trust):192.168.1.1
USG(untrust):10.1.1.1
pc1为拨号用户
USG上的nat配置为:
nat server protocol tcp global 10.1.1.1 ftp inside 192.168.1.1 ftp
acl 2000
rule permit
firewall interzone trust untrust
nat outbound 2000 interface e0/0/0
这个时候使用主动模式可以访问服务器,但是使用被动模式不可以访问!
告警信息
处理过程
使用一个全映射即可解决:
nat server global 10.1.1.2 inside 192.168.1.2
根因
主动模式发送数据的时候是server的20端口与客户方连接
被动模式发送数据的时候是server用一个大于1024的端口让客户主动来连接
配置中只配了ftp的转换,并没有配置大于1024的nat server转换,因此造成使用被动模式无法连接server的原因
建议与总结
这个案例只要了解FTP的两种工作模式即可
主动模式:命令通道建立之后,服务器主动发起使用源端口20去连接客户端的一个随机的端口
被动模式:命令通道建立之后,客户端主动发起连接到服务器的一个随机端口
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2197.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~