请教关于访问两层防火墙后面的ftp服务器问题

xiao_root

　Cisco 路由器针对这种情况有个解决的方法。就是显式告诉路由器，那些端口是 ftp 的端口：
　　router(config)#ip nat service list 1 ftp tcp port 20010(非标准端口）
　　router(config)#ip nat service list 1 ftp tcp port 21 (标准端口）
　　router(config)#access-list 1 permit host 201.1.1.10 (对方Ftp Server 地址）

我们的思科防火墙是5540型号的，刚刚把你的帖子转发给我们的网管，他竟然説不支持ip nat命令，超郁闷；
没有玩过cisco的墙，俺也不懂。r2007大哥，能不能针对5540的型号，给个命令，谢谢了。

ssffzz1

Cisco 路由器针对这种情况有个解决的方法。

看好了，R没说是防火墙。

r2007

这有一文章，供参考。墙貌似不支持这个命令。

fangtong2008

为什么不放在第一层防火墙的后面，当成一个DMZ来处理

rainbow

ftp由于涉及命令通道和数据通道，同时又涉及被动模式和主动模式，所以有些复杂。 针对楼主的情况， 我个人建议服务器采用被动模式， 同时在防火墙上把被动模式的端口打开就可以了。

至于PASS_ADDRESS，一般是用在集群环境中的，单机环境应该不需要的。

sleepcats

1、服务器采用被动模式，
2、指定数据通信端口，
3、在防火墙上给端口加访问权限。

dayuan555

我试过这个，我也碰到了类似的问题，我的ftp服务器是部署在公司内网的suse10，我在家里通过公网ftp过来的时候是没有问题的，通过pasv on的话是没有问题的，但是执行quote pasv 后就 不能访问了，服务器直接断掉了和客户端的链接，但是客户端却没什么反应。本来也应该没什么关系，但是有个客户是SIO的服务器，要执行pasv模式好像一定要用命令quote pasv.气死我了

xiao_root

非常感谢大家对小弟问题的热心，经过这么多天的折腾，终于搞明白了。
是我把问题复杂化了，我这个问题实际上就是典型的非标准端口的ftp的应用，一开始被两层防火墙误导了。

dayuan555

详细点啊，我这边还没解决呢，指望着你呢

xiao_root

基本思路：
由于小弟的ftp服务器是对方开放的，无法知道客户端的环境，因此只能采用被动模式
为了支持被动模式下非标准端口的ftp应用，ftp服务器做如下设置：
增加对pasv_ip和pasv_port的参数设置（在linux下的vsftp即增加pasv_min_port、pasv_max_port、pasv_address）；pasv_ip必需设置为公网的IP，pasv_port端口范围我这里设置的为：60000～60009；
两台防火墙上其他所有设置不变，只要新增pasv_port端口范围的地址转发（或映射）功能即可；
映射：
  外网防火墙的8221端口=>内网防火墙的8221端口=>ftp服务器的21端口
  外网防火墙的60000端口=>内网防火墙的60000端口=>ftp服务器的60000端口
  外网防火墙的60001端口=>内网防火墙的60001端口=>ftp服务器的60001端口
  外网防火墙的60002端口=>内网防火墙的60002端口=>ftp服务器的60002端口
  外网防火墙的60003端口=>内网防火墙的60003端口=>ftp服务器的60003端口
  外网防火墙的60004端口=>内网防火墙的60004端口=>ftp服务器的60004端口
  外网防火墙的60005端口=>内网防火墙的60005端口=>ftp服务器的60005端口
  外网防火墙的60006端口=>内网防火墙的60006端口=>ftp服务器的60006端口
  外网防火墙的60007端口=>内网防火墙的60007端口=>ftp服务器的60007端口
  外网防火墙的60008端口=>内网防火墙的60008端口=>ftp服务器的60008端口
  外网防火墙的60009端口=>内网防火墙的60009端口=>ftp服务器的60009端口