万花筒写轮眼之防火墙ALG技术之FTP协议穿墙术

FTP穿越SNAT与DNAT:主动与被动模式的防火墙策略
最新推荐文章于 2024-10-11 17:35:58 发布
原创 最新推荐文章于 2024-10-11 17:35:58 发布 · 901 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #数据库 #网络安全 #渗透测试 #信息安全

本文详细解释了FTP主动模式和被动模式如何分别在SNAT和DNAT环境下工作,强调了ALG在不同场景中的必要性。重点讨论了SNAT中主动模式需要ALG,而被动模式无需,以及DNAT中主动模式同样无需ALG的情况。

FTP协议主动模式穿越SNAT

主动模式穿越SNAT主要用于FTP服务器部署在公网,客户端需要通过SNAT转换访问服务器。如图1-1所示,描述了FTP主动模式穿越SNAT时的工作流程,此时需要借助ALG技术才可以完成穿越防火墙。

防火墙ALG技术之FTP协议穿墙术

图1-1 FTP主动模式穿越SNAT流程图

防火墙设备上配置了私网地址192.168.12.2到公网地址106.120.22.2/FTP服务的映射,实现IP地址的转换,以支持私网客户端对公网服务器的访问。组网中,若没有ALG对报文载荷的处理(图1-1中红色字体部分内容的变化),私网客户端发送的PORT报文到达公网服务器端后,服务器无法根据私网地址进行路由,也就无法正常地建立数据连接,从而导致私网客户端访问公网FTP服务器失败。如图1-2-(a)和图1-2-(b)所示,整个通信过程包括以下几个阶段:

 

  • 私网客户端与公网服务器之间TCP的三次握手建立控制连接;

  • 私网客户端发送PORT命令,携带私网客户端指定的用于数据连接的IP和PORT信息;

  • PORT命令到达防火墙时,报文载荷中的私网IP(192.168.12.2)和PORT(Y=31272=122*256+40)会被转换成为公网IP(106.120.22.2)和PORT(Y'=31272=122*256+40);

  • 公网服务器收到PORT命令后解析其内容,并主动向私网客户端发送数据连接(源IP-106.120.12.2、目的IP-106.120.22.2、源端口-20、目的端口-Y'=31272),经防火墙NAT转换后(源IP-106.120.12.2、目的IP-192.168.12.2、源端口-20、目的端口Y=31272)发送至公网服务器,从而实现私网客户端访问公网服务器。

    </
最低0.47元/天 解锁文章
锐捷防火墙(WEB)——高级功能——应用层网关ALG
君逍遥o
09-27 3934
ALG技术配合NAT特性可支持对报文载荷的地址转换功能;配合ASPF特性可支持动态通道的检测功能,以及对应用层的状态检测功能
openwrt下增加FTP alg功能
huyb100的博客
09-12 4400
alg的编译选项 CONFIG_NF_CONNTRACK_FTP=m CONFIG_NF_CONNTRACK_H323=m CONFIG_NF_CONNTRACK_SIP=m CONFIG_NF_CONNTRACK_TFTP=m CONFIG_NF_NAT_FTP=m CONFIG_NF_NAT_SIP=m CONFIG_NF_NAT_TFTP=m openwrt各模块的位置...
浅谈FTP ALG
chengfangang的专栏
03-26 1万+
浅谈FTP ALG 分类: 网络技术2009-03-09 17:50 最近遇到了FTP的问题,牵扯到了ALG,在这里一下,为了以后的学习参考. 先来认识一下ALG的概念, It allows customized NAT traversal filters to be plugged into the gateway to support addr
FTP ALG 功能实现的概要说明
为了忘却的记忆
04-07 1万+
近阶段了解了一下ALG,有些体会做一个记录,以供以后查阅。 ALG,Application Layer Gateway的缩,这是一般网络设备或者主机都必备的一个小模块,那ALG是为了完成一个什么功能呢? 这首先要从IPV4的地址过少说起,因为IPV4地址过少,所以规定了部分地址给内部分配使用,这种地址段在互联网上是不分配的,其中有10.X.X.X 和192.168.X.X,一般公司较大的就用前一种,公司较小的就用后一种。(比如我在公司的机器就是192.168.5.188) 这样使用
通过NAT ALG实现FTP服务器的访问【实例】
muxia_jhy的博客
01-19 6430
[注:本实验和相关理解限于本人知识水平,难免有错误,如有前辈发现,谢谢批评指正] 本实例拓步的实现是在华为eNSP模拟器上进行的,使用了一台客户端、一台FTP服务器和两台华为AR2240路由器。相关的实验拓扑如下图所示: ALG概述 普通的NAT协议实现了TCP和UDP报文头中IP地址的转换功能,然而它对应用层协议数据中的相关字段无法进行转换,FTP就是其中之一,而ALG的出现解决了普通NAT的...
网络安全领域】Linux ALG网关的应用层协议解析与网络安全防护:解决多通道协议传输难题及提升网络兼容性
最新发布
05-04
接着,文章重点阐述了Linux ALG网关作为应用层网关,如何通过解析和处理应用层协议(如FTP、SIP等)中的地址和端口信息,动态创建“pinhole”来解决这些问题,确保数据传输顺畅。Linux ALG网关不仅能增强网络安全性...
防火墙ALG、NAT、双机热备知识点详解
qq_68163788的博客
07-25 3442
为了保证所有的VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP组协议管理协议)来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP备份组的状态,来保证管理组内的所有VRRp备份状态都是一致的;防火墙VGMP组通过发送VGMP报文通告自身的运行状态,从而根据hello优先级决定主备设备,主设备VGMP组的状态为Active,备设备的状态为standby;启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。
添加Nginx ALG模块支持FTP协议ALG
weixin_42906485的博客
03-20 1626
概述 本文系原创,同时发布于F5社区。 Nginx从1.9.0开始加入了stream模块支持四层的代理,转发和负载均衡。但是,stream模块的功能相对简单。对需要ALG处理的协议比如FTP的支持也远远不够。 我试着去修改了Nginx 的源代码,使之支持了FTP Passive模式的ALG功能。 Github的源码地址为:源码。 可能大家会说,Passive模式不需要ALG。准确的说,P...
如何高效测试防火墙的NAT64与ALG应用协议转换能力
XINERTEL的博客
05-28 1601
在本文开始介绍如何去验证防火墙(DUT)支持NAT64 ALG应用协议转换能力之前,我们先要简单了解2个比较重要的知识点,即,NAT64和ALG这两个家伙到底是什么?
ftp ALG 功能实现的概要说明
jiahehao的专栏
08-24 1万+
<br />     近阶段了解了一下ALG(应用层网关Application Layer Gateway),有些体会做一个记录,以供以后查阅。<br />     ALG,Application Layer Gateway的缩,这是一般网络设备或者主机都必备的一个小模块,那ALG是为了完成一个什么功能呢?这首先要从IPV4的地址过少说起,因为IPV4地址过少,所以规定了部分地址给内部分配使用,这种地址段在互联网上是不分配的,其中有10.X.X.X和192.168.X.X,一般公司较大的就用前一种,公司较
Netfilter ALG笔记
03-12
本文以 NAT 中的应用层网关为线索,以ftp ALG 为例子,分析了netfilter 中NAT 部分的实现。
【转】ftp ALG 功能实现的概要说明
chengfangang的专栏
03-26 1646
【转】ftp ALG 功能实现的概要说明   2009-09-16 10:21:56|  分类: LINUX|字号 订阅 近阶段了解了一下ALG,有些体会做一个记录,以供以后查阅。 ALG,Application Layer Gateway的缩,这是一般网络设备或者主机都必备的一个小模块,那ALG是为了完成一个什么功能呢? 这首先要从IPV4的地址
华为防火墙ALG
不定期分享一些自己的学习笔记
10-16 1714
华为防火墙ALG
当两次NAT碰到FTP ALG
weixin_33712987的博客
12-31 472
当两次NAT碰到FTP ALG (一) 相信大家都在出口相关项目中,碰到过FTP服务器访问的问题吧,其实FTP协议是一个很经典和有代表性的问题,因为它和传统的单连接应用(传统的web类应用)不一样,有2个独立的连接:控制连接和数据连接,正是因为这点不同,导致在和出口NAT设备配合使用的时...
如何打开openwrt alg ftp功能
weixin_42585532的博客
10-11 428
还需要将NF_NATHELPER宏-package宏打开。方法是通过make menuconfig 打开kmod-nf-nathelper.。在这个文件中有下面两行代码,表示ftp alg 受下面这两个宏控制CONFIG_NF_CONNTRACK_FTP和CONFIG_NF_NAT_FTP。b. target/linux/generic/config-4.4 (主要看你产品使用的是哪个配置文件)如下两个宏打开。c .依赖的宏NF_NATHELPER也需要打开。ftp alg涉及到的宏控制。
FTP、TFTP 实现 NAT ALG 访问
XFH1207的博客
12-11 1594
1. 环境 操作系统: CentOS 6.10 安装 ftp 服务: rpm -ivh vsftpd-2.2.2-24.el6.x86_64.rpm 安装 tftp 服务: rpm -ivh xinetd-2.3.14-40.el6.x86_64.rpm rpm -ivh tftp-server-0.49-8.el6.x86_64.rpm 2. FTP NAT ALG 应用 ftp 服务配置 1. 配置为被动模式,指定监听端口范围 2. 默认ftp目录加权限:chown -R ftp:ftp /var/
NAT(地址转换技术)详解
热门推荐
粥同学的学习笔记
03-17 27万+
目录 NAT产生背景 ip地址基础知识 NAT技术的工作原理和特点 静态NAT 动态NAT NAT重载(经常应用到实际中) NAT技术的优缺点 优点 缺点 NAT穿越技术 应用层网关(ALGALG的实际应用 NAT技术的未来 参考文献 NAT产生背景 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分...
TFTPFTP的区别
xiaominthere的专栏
01-02 6136
作者:xchuaii 原作网址:http://blog.163.com/xchuaii@126/blog/static/133060217201256115524125/ TFTP:Trivial File Transfer Protocol,简单文件传输协议,它基于UDP协议而实现,但是我们也不能确定有些TFTP协议是基于其它传输协议完成的。 FTP:File Transfer Proto
NAT ALG技术解析:FTP、H323与SIP的应用
"NAT ALG(应用层网关)是一种技术,用于解决普通NAT在处理应用层协议FTP、H.323、SIP等时遇到的问题。它能够解析并转换这些协议中包含的IP地址和端口信息,确保多通道协议的通信正确性。NAT ALG的主要特点是提供...
评论 7
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值