请教关于访问两层防火墙后面的ftp服务器问题

xiao_root

最近公司有比较特殊的需求，要向外网开放ftp服务，ftp服务器位于两层防火墙后面；这样操作是否可行？
    目前在外网防火墙上配置好端口转发到内网防火墙上，再从内网防火墙配置端口转发到ftp服务器上：ftp客户端<=>外网防火墙:21端口<=>内网防火墙的:21端口<=>ftp服务器的21端口；
    防火墙的配置应该没有问题，ftp服务器配置应该也正常，单独使用外网防火墙或者内网防火墙，主动模式、被动模式都正常；
    但从外网ftp进来，用户身份验证正常，但执行ls、put、get等命令时不行；

ssffzz1

改被动或主动模式试试？？

2 墙都是啥型号。

xiao_root

通过外网ftp时，被动模式下：ls命令返回：
        227 Entering Passive Mode (内网防火墙IP,164,15.
            ftp: connect: No route to host
根据网上某位大大的说法，在ftp服务器端，配置pasv_address为外网防火墙IP时，返回：
        227 Entering Passive Mode (外网防火墙IP,144,236)
            阻塞在这里，没有下文了；


通过外网ftp时，主动模式下：ls命令返回：
       200 PORT command successful. Consider using PASV.
          阻塞在这里，没有下文了；

ssffzz1

没看明白你3楼如何搞的。

xiao_root

外网的墙型号，具体不是太清楚，只知道是思科的；
内网的墙，其实就是redhat9，做的简易小墙，ftp的nat补丁都打上了，确认没有问题；
内网的墙采用的iptables做端口转发，对外是全放开，对内做21端口的映射
单独使用外网墙或者内网墙，对同一台ftp服务器测试，都正常；

ssffzz1

哦。这样啊。给你个测试的方法。

你把内网的LINUX映射去掉。然后在LINUX上开FTP服务器，在外网做主动和被动模式分别测试是否正常。

ssffzz1

原帖由 ssffzz1 于 2010-1-8 17:22 发表
哦。这样啊。给你个测试的方法。

你把内网的LINUX映射去掉。然后在LINUX上开FTP服务器，在外网做主动和被动模式分别测试是否正常。

然后TCPDUMP抓一次正常的FTP包发上来。

xiao_root

我要做的目的是对外开放我的ftp服务器；
3楼所做的实验是，从外网进行访问内网的ftp服务器；
实际上访问的是外网防火墙的IP和端口；由外网防火墙通过端口转发给内网防火墙，内网防火墙在通过端口转发给真正的ftp服务器

ssffzz1

你的目的我知道。但是你如何配置的以及如何测试的我不知道。

你先按我的说法测试一下吧。

xiao_root

你把内网的LINUX映射去掉。然后在LINUX上开FTP服务器，在外网做主动和被动模式分别测试是否正常。

这种实验都没有问题，单台墙都正常；