请教关于访问两层防火墙后面的ftp服务器问题

renwd

我遇到 该情况，可以参考一下我的解决方法：http://blog.chinaunix.net/u/24215/showart.php?id=2065953

tanxin8651

方法一：
可以不用防火墙转发。

可使用ssh tunnels功能
1 .可以设定ftp server上使用被动模式，指端口范围例：2022-2026,ftp 监听：2021
2 在第一道防火墙做转发  1024后任意 转到第二道防火墙
3 在第二道防火墙端口转发到 ftp server上，即可。

方法二：
直接使用ssh tunnels
用sftp 上传下载文件~~  （linux 下很好用）

[ 本帖最后由 tanxin8651 于 2010-1-9 13:57 编辑 ]

ssffzz1

已经看完。

这种配置不出问题我都会感觉很奇怪的。

xiao_root

原帖由 ssffzz1 于 2010-1-9 17:37 发表
已经看完。

这种配置不出问题我都会感觉很奇怪的。

可以给出在那里出问题的建议嘛，单独这台linux的墙是能够正常做ftp端口转发

ssffzz1

1、你要从外网环境测试，别试图在内网下用外网的IP地址访问，这种测试方法一般不成功。
2、仔细看看你的IPTABLES加载的模块和配置。

xiao_root

原帖由 renwd 于 2010-1-9 12:42 发表
我遇到 该情况，可以参考一下我的解决方法：http://blog.chinaunix.net/u/24215/showart.php?id=2065953

这位大哥，你好。我尝试了使用你的方法，增加pasv_address的参数，通过外网ftp时，被动模式下不在出现连接内网墙的IP问题，但，ls还是依然没有数据出来，
直接阻塞在：227 Entering Passive Mode （ip:port）

xiao_root

原帖由 ssffzz1 于 2010-1-11 09:25 发表
1、你要从外网环境测试，别试图在内网下用外网的IP地址访问，这种测试方法一般不成功。
2、仔细看看你的IPTABLES加载的模块和配置。

没有理解问题1：我的整个测试环境是通过公网的一台linux服务器，直接访问外网防火墙的公网IP和端口，在被动模式下使用ls命令，会尝试连接内网防火墙的IP；这个问题在增加pasv_address参数后，解决了；但依然没有内容出来；
问题2：iptable加载的模块应该没有什么问题吧，可能有些模块已经编译到内核里了吧，iptables的配置，里面东西太多，我是经过剪切后的结果；

xiao_root

另外从内网墙上抓下的包来看，其他命令包都正常，被动模式下ls命令正常情况下，应该有7个包，而实际上在内网墙上只有三个包，测试现象上看应该是被外网墙过滤掉了。即使增加了pasv_address参数情况下，也只有3个包，是否还有端口？
可为什么会这样，不是很理解

ssffzz1

没有理解问题1：我的整个测试环境是通过公网的一台linux服务器，直接访问外网防火墙的公网IP和端口，在被动模式下使用ls命令，会尝试连接内网防火墙的IP；这个问题在增加pasv_address参数后，解决了；但依然没有内容出来；
###仔细看看你前面告诉我的信息，是这样吗？

问题2：iptable加载的模块应该没有什么问题吧，可能有些模块已经编译到内核里了吧，iptables的配置，里面东西太多，我是经过剪切后的结果；
###你都把你自认为不重要的都删掉了，然后再给我看有意义吗？

另外从内网墙上抓下的包来看，其他命令包都正常，被动模式下ls命令正常情况下，应该有7个包，而实际上在内网墙上只有三个包，测试现象上看应该是被外网墙过滤掉了。即使增加了pasv_address参数情况下，也只有3个包，是否还有端口？
可为什么会这样，不是很理解
###你再自己翻翻前面的帖子，你直说多少包多少包，我那里知道你这些包是干吗的啊，里面的内容是什么啊，是否是正确的，已经几次让你把抓包的.cap发上来了，你都发了吗？


1、你改帖的不贴，该说的不说。即使说了也前后矛盾，乱糟糟。
2、把你自己认为不重要的删掉，但是你认为不重要的，就对我们没意义了吗？ 如果是这样的话，问题你自己早就解决了。
3、即使帖出来也改掉很多信息，有必要吗？？？ 你的那些内网IP有必要改掉吗？？？ 搞的我看起来乱糟糟的，都绕晕了。外网IP的话你改掉1位也就足够了啊。
4、没见过你这么墨迹的，就和求神一样的问你要点信息，我有必要这么贱吗？ 既然来问，又不相信这里，那你来干吗啊？
5、你说的情况我以前做过，就在前天还专门给你的情况搭了个环境测试了一下，完全没有问题。无论被动还是主动模式都通过测试的。
6、先自己回去好好看看前面的帖子再说吧。

[ 本帖最后由 ssffzz1 于 2010-1-11 10:43 编辑 ]

scorer1120

原帖由 xiao_root 于 2010-1-8 17:48 发表
我比较困惑的在于，经过两层防火墙之后，对外提供的http、ssh服务都正常；只有ftp不正常；
在被动模式下，外网ftp客户端建立数据连接时，尝试的是我内网防火墙IP；
主动模式下，没有任何数据应答；

还弱弱 ...

我看你2墙的INPUT链规则没问题的
难道你2墙中有作OUTPUT链的限制了（估计是你的LINUX防火墙）？尝试下主动模式下，允许20端口出去。