ftp的被动模式无法通过nat server连接内部服务器

发布时间:  2012-07-18 浏览次数:  169 下载次数:  0
问题描述

Server——USG——ISP——pc1

IP部署为:

server:192.168.1.2

USG(trust):192.168.1.1

USG(untrust):100.1.1.1

pc1为拨号用户

USG上的nat配置为:

    nat server protocol tcp global 100.1.1.1 ftp inside 192.168.1.1 ftp

    acl 2000

        rule permit

    firewall interzone trust untrust

        nat outbound 2000 interface e0/0/0

这个时候使用主动模式可以访问服务器,但是使用被动模式不可以访问!

告警信息
处理过程

使用一个全映射即可解决:

nat server global 100.1.1.2 inside 192.168.1.2

根因

主动模式发送数据的时候是server的20端口与客户方连接

被动模式发送数据的时候是server用一个大于1024的端口让客户主动来连接

配置中只配了ftp的转换,并没有配置大于1024的nat server转换,因此造成使用被动模式无法连接server的原因

建议与总结

这个案例只要了解FTP的两种工作模式即可

主动模式:命令通道建立之后,服务器主动发起使用源端口20去连接客户端的一个随机的端口

被动模式:命令通道建立之后,客户端主动发起连接到服务器的一个随机端口

END