关于主机默认路由设置错误导致FTP文件传输失败问题的分析

发布时间:  2011-06-29 浏览次数:  95 下载次数:  2
问题描述
某WAP网关局点需要将话单文件通过FTP PORT模式(BP上设置分发任务)上传到未备案中心,但调试的时候总是无法成功。
BP日志中报如下错误:
[2011-02-22 17:39:19][1453304736][  WARN]:BP-0027 ,Distribute file to post dir failed. 
[2011-02-22 17:39:19][1450154912][  WARN]:BP-0027 ,Distribute file to post dir failed.
[2011-02-22 17:39:19][1447005088][  WARN]:BP-0027 ,Distribute file to post dir failed.
通过手工FTP PORT方式上传,同样无法成功。
说明:
1、未备案中心使用的FTP控制端口为2121,采取FTP PORT模式;
2、WAP网关侧Eudemon防火墙配置如下,
acl number 2222
rule 5 permit source 221.176.13.7 0 logging
#
port-mapping ftp port 2121 acl 2222
#
firewall interzone trust untrust
 packet-filter 3100 inbound
 packet-filter 3200 outbound
 nat outbound 3000 address-group 4
 nat outbound 3010 address-group 5
  detect ftp
   其他局点防火墙的配置和本局点相同,但没遇到与本局点同样的现象。

见问题现象描述部分
处理过程
具体的原因分析请参考附近文档。
根因

造成FTP数据通道无法建立连接的原因是请求经过了F5所导致,将主机的默认路由改成三层交换机之后(原来的默认路由是指向F5内口),FTP数据传输可以正常进行了。

解决方案
由以上分析过程我们知道,造成FTP数据通道无法建立连接的原因是请求经过了F5所导致,将主机的默认路由改成三层交换机之后(原来的默认路由是指向F5内口),FTP数据传输
可以正常进行了。
修改后的业务流: FTP客户端主机(BP)-> 三层交换机->WAP网关防火墙(NAT转换)->公网->未备案中心防火墙(NAT转换)->FTP服务器主机
修改前的业务流:FTP客户端主机(BP)-> F5(SNAT转换)->WAP网关防火墙(NAT转换)->公网->未备案中心防火墙(NAT转换)->FTP服务器主机
建议与总结
通过本案例,可以掌握FTP PORT模式和PASSIVE模式的处理原理和区别,还可以了解防火墙NAT ALG和ASPF原理。

END