文档介绍:FTP服务穿越防火墙
1
FTP协议的简单描述
FTP使用两个通道进行工作,
一个是称为控制通道,用于传输相关的FTP工作指令资料,端口是21 的连接;
另外一个是数据通道,用于传输数据内容。端口默认是20.
2
FTP两种工作模式
在数据通道的建立上,为了适应不同的情况,支持两种模式:
主动模式(port)
被动模式(pasv)
3
主动模式(port)
客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条控制链路。当需要传送数据时,客户端在控制链路上用PORT命令告诉服务器:“我打开了N+1端口,你过来连接我”。于是服务器从20端口向客户端N+1的端口发送连接请求,建立一条数据链路来传送数据。
4
被动模式(pasv)
客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条控制链路。当需要传送数据时,服务器在控制链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据。
5
FTP穿越防火墙
access-list test extended permit tcp source ip destination ip eq 21
内
外
数据连接通过防火墙
防火墙没有对应策略请求被防火墙阻断
主动模式
被动模式
客户端 N与服务器 21端口建立连接
N+1 ---------- 20
N+1-----服务器随机端口
6
连接失败客户端提示
客户端提示
7
防火墙解决方法
华为防火墙操作
firewall interzone trust untrust
detect ftp
思科防火墙操作
policy-map global_policy
class inspection_default
inspect ftp
JUNIPRE防火墙操作
在策略中application选项选 "FTP"
8
FTP穿越防火墙
access-list test extended permit tcp source ip destination ip eq 21
内
外
防火墙一般不会阻止内部发启的连接
数据连接通过防火墙
主动模式
被动模式
客户端 N与服务器 21端口建立连接
N+1-----服务器随机端口
N+1 <---- 20
防火墙没有对应策略请求被防火墙阻断
9
连接失败客户端提示
客户端提示
10