安全SVN5530 V200RO01C10SPC800做端口映射、FTP业务不有访问

发布时间:  2015-04-16 浏览次数:  203 下载次数:  0
问题描述

某公司内部网络通过SVN进行连接,其中DMZ区域部署了一台FTP服务器供外部网络用户访问。FTP Server的内部IP地址为10.1.1.2,对外公布的地址为1.1.1.1,端口号均为缺省值21。由于外网环境复杂,不方便在服务器上设置回程路由,所以通过配置NAT Inbound,使服务器缺省将回应报文发给SVN,以完成回应报文的正常转发。

配置Inbound方向的NAT组网图:

 

配置如下:

system-view
interface GigabitEthernet 0/0/1
ip address 10.1.1.1 24
interface GigabitEthernet 0/0/2
ip address 1.1.1.1 24
#
policy interzone dmz wan inbound
policy 0
policy destination 10.1.1.2 0
policy service service-set ftp 
action permit
#

nat server protocol tcp global 1.1.1.1 ftp inside 10.1.1.2 ftp
#
nat address-group 1 10.1.1.5 10.1.1.10
#
nat-policy interzone dmz wan inbound
policy 0
policy destination 1.1.1.1 0
action source-nat
address-group 1 




告警信息

外网用记可以通过FTP+地址+端口登录到内网的FTP服务器上,但是无法从FTP服务器上下载相关数据资源

处理过程

开启域间的FTP多通道协议,业务就通了,命令如下:

[SVN] firewall interzone dmz wan
[SVN-interzone-dmz-wan] detect ftp
[SVN-interzone-dmz-wan] quit




根因

因为FTP是一个多通道协议,SVN设备上没有开启域间的多通道协议,

解决方案

因为FTP是一个多通道协议,SVN设备上没有开启域间的多通道协议,业务就正常了

开启域间的多通道协议命令如下:

[SVN] firewall interzone dmz wan
[SVN-interzone-dmz-wan] detect ftp
[SVN-interzone-dmz-wan] quit
建议与总结

因为FTP是一个多通道协议,SVN设备上没有开启域间的多通道协议,如果以后在做关于多通道协议的端口映射时,请先把域间的相关多通道服务协议开启

开启域间的多通道协议命令如下:

[SVN] firewall interzone dmz wan
[SVN-interzone-dmz-wan] detect ftp
[SVN-interzone-dmz-wan] quit

END