论坛徽章:: 7

1楼 [报告]

发表于 2010-01-11 22:27 |显示全部楼层

原帖由 xiao_root 于 2010-1-11 17:38 发表
两台墙，从内到外都是全放开的，不存在防火墙上做了限制，从外访问内，都是通过端口转发的；
ftp的也只是开了一个端口转发：
外网墙：访问外网墙的8221端口转发给内网墙的8221端口上；
内外墙：访问内网墙的 ...

STFW
http://www.wangchao.net.cn/bbsdetail_1450737.html
供参考
================================================
使用NAT时解决FTP用非标准端口的办法
　　当对方 FTP Server 用非标准端口时会出现问题：
　　可以 Ping 通，也可以登录，但会出现如下错误：invalid port command 。
　　这是由于发送 ftp port 命令的 IP 包的负载（payload）里面是包含了源ip 地址的，对于标准端口（21)的 ftp应用，Cisco 地址转换（NAT)能自动将嵌入在ip包负载里面的源地址也作转换，ftp 应用可以正常进行。
　　但是，如果是非标准端口的 ftp 应用，如果没有其他特别的设置，Cisco路由器不能辨别这是 Ftp 的应用，因而不对负载里面的IP 地址作转换，因此出现上述的错误。
　　Cisco 路由器针对这种情况有个解决的方法。就是显式告诉路由器，那些端口是 ftp 的端口：
　　router(config)#ip nat service list 1 ftp tcp port 20010(非标准端口）
　　router(config)#ip nat service list 1 ftp tcp port 21 (标准端口）
　　router(config)#access-list 1 permit host 201.1.1.10 (对方Ftp Server 地址）

r2007

广告杀手

论坛徽章:: 7

2楼 [报告]

发表于 2010-01-12 11:48 |显示全部楼层

这有一文章，供参考。墙貌似不支持这个命令。

ftp.pdf

21.97 KB, 下载次数: 28

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

r2007

广告杀手

论坛徽章:: 7

3楼 [报告]

发表于 2010-01-16 22:57 |显示全部楼层

原帖由 xiao_root 于 2010-1-15 15:31 发表
在防火墙上直接利用ip_nat_ftp的包模块实现对ftp非标准端口的应用：
在思科的防火墙上，可以利用命令：
Configure FTP protocol inspection on non standard TCP port
You can configure the FTP Protocol ...

Linux的也可修改配置文件

/etc/modules.conf:

options ip_conntrack_ftp ports=21,xxx
options ip_nat_ftp ports=21,xxx

BTW: PIX/ASA的那个不错，收藏了。

[ 本帖最后由 r2007 于 2010-1-16 22:59 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › 请教关于访问两层防火墙后面的ftp服务器问题

请教关于访问两层防火墙后面的ftp服务器问题 [复制链接]