|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
访问FTP服务器的问题
一、环境介绍:
内网FTP服务器映射到外网,对外开放。
FTP服务器端软件:SERV-U6.1。
二、问题现象
有的网络网络环境下无法用任何方式登录FTP。
三、问题**
FTP协议有两种工作方式:PORT方式(主动)和PASV方式(被动)。
1、PORT(主动)方式的连接过程是:
1)客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。
2) 当需要传送数据时服务器默认从20端口向客户端的空闲端口发送连接请求,建立一条数据链路来传送数据。
2、PASV(被动)方式的连接过程是:
1) 客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。
2) 当需要传送数据时,客户端向服务器的空闲端口发送连接请求,建立一条数据链路来传送数据。
四、发现问题所在
因为PORT(主动)方式在传送数据时,由FTP服务器主动连接客户端,所以,如果客户端在防火墙或NAT网关后面,用PORT(主动)方式将无法与Internet上的FTP服务器传送文件。这种情况需要使用PASV(被动)方式。几乎所有的ftp客户端软件都支持这两种方式。特殊的典型例子是IE,IE默认是用PORT(主动)方式的。如果要在ie里启用PASV(被动)方式,请打开IE,在菜单里选择:工具-Internet选项-高级,在“使用被动ftp”前面打上钩(需要IE6.0以上才支持),确定即可。
当使用主动方式登录FTP时,建立了命令链路后,接下来是服务器向客户发起数据传送请求,数据包到达网关后,网关并不知道要把这个数据转到内网的哪台机器上,所以就无法建立数据传送链接。
从以上的**看来,在这样的环境下是不可能用主动方式进行登录FTP了。解决的方法是用被动方式,但是服务器堵了端口,而用被动方式链接时,要求服务器开放一段动态的端口,所以此方法也不可能实现。
五、解决问题
利用SERV-U现有的功能,把原先被动模式访问时服务器端需要动态开启端口变成服务器端打开固定的端口。
1、把客户端设置成被动方式,链接FTP服务器,因为不可能链上所以要过比较久的时间才会出现出错提示信息,从出错信息中找到类似这样的一行数据[*.*.*.*,m,n](例如:10.0.0.3,14,183),(格式:IP,m,n)找到它我们利用公式计算出如果客户端用被动方式登录服务器时,服务器要动态开放的第一个端口值。公式为m*256+n
2、SERV-U里的设置
选中你的服务器(非域),点高级,里面有一项“pasv port range”,把这里面的端口改成你计算出来的,可以在你计算出来的数值上再加上一段值,多开几个动态端口。比如你算出来的端口是:3256的话,这里就填“3256-3280”
3、在防火墙、TCP/IP筛选、本地安全策略等处对外开放以上设置的端口.
以上是在网上找到一篇文章,自己做了些改动,希望对大家有用.用我自己的话理解就是,如果你的客户端在内网,用主动方式访问的话,要FTP服务器去连接客户端的空闲端口,会被客户端网关防火墙、IP策略等拦截,或原本就不可到达。只能通过被动,用被动是客户端主动访问FTP服务器的开放的空闲端口,而自己在做映射时可能这个端口没有对外映射出去,容易造成客户端访问时出错。 |
|
|Archiver|手机版|小黑屋|软路由
( 渝ICP备15001194号-1|
渝公网安备 50011602500124号 )
IP卡
狗仔卡
发表于 2006-10-20 01:46:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
