021-防火墙放行FTP等多通道协议

原创已于 2024-11-14 22:50:20 修改 · 633 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#github #git

于 2023-07-01 18:43:41 首次发布

数通设备实用命令专栏收录该内容

4 篇文章

订阅专栏

在业务场景中，分支A需访问分支B的FTP服务器，通过防火墙FW1的服务器映射和端口转换。然而，在主被动模式下FTP访问均失败，数据传输端口建立出现问题。解决方案涉及配置ACL规则和端口映射，允许特定源IP的FTP访问。

防火墙放行FTP等多通道协议

业务场景
- 业务说明
- 解决方法

业务场景

在这里插入图片描述

分支	IP地址段	业务	业务地址
分支A	10.175.245.0/24	FTP客户端	10.175.245.59/24
分支B	10.0.30.0/24	FTP服务端	10.0.30.171/24

业务说明

1、现分支A用户需要访问分支B内部ftp服务器，分支B FTP服务器地址为：10.0.30.171，监听端口为2121
2、两分支之间通过防火墙实现访问控制，防火墙FW1上通过服务器映射将分支B FTP服务器地址映射为10.175.245.252，映射后端口为22121

#完成服务器映射
#访问控制策略放行
#访问查看
主被动模式下,均无法正常访问

在这里插入图片描述

抓包查看，数据传输端口建立存在问题

解决方法

防火墙配置

acl 2001
rule permit source 10.0.30.171 0
quit
port-mapping ftp port 2121 acl 2001

在这里插入图片描述

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

深度学习007

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

多通道协议-FTP详解

weixin_57370131的博客

08-23

4568

本文介绍了多通道协议、FTP协议的理论基础，用eNSP模拟器设计了FTP协议的相关实验，并抓包分析整个过程。最后，总结了FTP协议-主动模式、FTP协议-被动模式的相同点和不同点。

防火墙——多通道协议与Server-map表项

m0_49864110的博客

06-01

4928

ASPF全称为针对应用层的包过滤（基于状态的报文过滤），FW通过检测协商报文应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建的一条精细的“安全策略”，解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关，用于在NAT场景下检测协商报文应用层携带的地址和端口信息，自动生成Server-map表，并自动转换应用层报文载荷中的IP地址和端口信息。

参与评论您还未登录，请先登录后发表或查看评论

windows防火墙支持FTP服务的设置方法

01-11

这种问题站长们经常遇到，偶把真正的解决方案贴出来给大家看下！问题：2003 server用于提供web和ftp服务，通过互联网用flashfxp实现远程上传网页。如果关闭防火墙，ftp上传下载正常，但启用windows防火墙后就不行，即使把web、ftp等服务列为例外也不行。究其原因，flashfxp工作时实际还要用1024以上的tcp端口，而且对端口的指定是要变的。请有类似经验的朋友指点一下，这种情况下如何在开启windows防火墙时保证flashfxp能正常上传下载？只知道ftp使用20、21端口的就请免开尊口了。解决办法：1.开启windows防火墙；2.在防火墙设置的“例外”中把II

ftp通过防火墙放行

linuxvfast的博客

05-20

3754

2019独角兽企业重金招聘Python工程师标准>>> ...

防火墙中配置FTP

ljf0305520025的专栏

05-12

584

[color=Green][size=12]要求：外网充许访问内网中的FTP服务。考虑：将内网地址NAT为外网可以访问的地址； FTP服务一般使用TCP21端口进行主机链接； FTP分为PASV与PORT两种方式，即被动模式与主动模式。在PASV下，当客户端与FTP服务器发生数据传输过程中，采用高于1024的动态端口与服务器链接，而PORT方式中，只与服务器以TCP20端口进行通信。这两种方式由客

安全防御（一）--- 防火墙基础

weixin_58299245的博客

09-11

1447

防火墙基础

安全防御------防火墙

m0_63292411的博客

07-23

1820

华为防火墙技术-为管理协议（Telnet、FTP/TFTP、SSH、Ping）开放安全策略

qq_45959697的博客

05-21

4509

为Telnet开放安全策略网络中可能会有三种Telnet业务访问关系入方向流量：从管理终端Telnet防火墙的接口地址，是访问防火墙的流量。出方向流量：从防火墙Telnet服务器的地址，属于从防火墙发出的流量。穿墙流量：从管理终端Telnet服务器的地址，是经过防火墙的穿墙流量。配置 security-policy Telnet_in rule name //设置安全策略名称 source-zone trust destination-zo...

HCIA-Security -- 防火墙安全策略

qq_50929489的博客

11-13

2783

介绍了防火墙的基本概念与发展历史，同时介绍了防火墙安全区域、安全策略以及相应的控制原理。搭配基于实际环境的练习，独立完成华为防火墙安全策略的配置方法.并掌握防火墙在网络安全方案的部署场景。

Win7上防火墙开放FTP服务以及ping解决方案（zz）

weixin_33849942的博客

01-29

360

1、windows 防火墙开放ftp服务The following 4 steps will allow both non-secure and SSL FTP traffic through firewall.运行cmd，之后：1.如果你的FTP是RC0之后的版本的话，直接跳到第3步骤；如果你的是RC0版本的话，需要在cmd里输入以下命令行然后按回车执行命令：sc sidtype ftpsvc ...

论FTP的主动被动和相关的防火墙设置

03-17

NULL 博文链接：https://jony-hwong.iteye.com/blog/464420

天融信防火墙资料内容非常全

05-26

详细介绍防火墙的概念、分类等。非常好的防火墙入门材料

天融信防火墙配置实例.pdf

11-06

天融信防火墙配置实例.pdf

天融信防火墙配置实例

06-19

教你如何配置通过防火墙访问内网中的web服务器及ftp服务器

CENTOS7 防火墙放行ftp

Arthashit的博客

08-13

1676

默认防火墙状态： [root@localhost ~]# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ...

防火墙 与 ftp 模式

craftsman2020的博客

08-08

1884

基础 FTP是仅基于TCP的服务，不支持UDP。与众不同的是FTP使用2个端口，一个数据端口和一个命令端口（也可叫做控制端口）。通常来说这两个端口是21－命令端口和20－数据端口。但当我们发现根据（FTP工作）方式的不同数据端口并不总是20时，混乱产生了。主动FTP 主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N>;1024）连接到FTP服务器的命令端口，也就是21端口。然后客户端开始监听端口N+1，并发送FTP命令“port&n

Win7上防火墙开放FTP服务以及ping解决方案

asdfgh0077的博客

07-26

369

Win7上防火墙开放FTP服务以及ping解决方案

FTP,FTPS,FTPS与防火墙

weixin_34270865的博客

08-01

158

2019独角兽企业重金招聘Python工程师标准>>> ...

防火墙多通道协议技术

YT的博客

01-09

3310

ASPF概述 ASPF( Application Specific Packet Filter) 是一种高级通信过滤，它检查应用层协议信息并且监控应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。ASPF是针对应用层的包过滤。 ASPF对多通道协议的支持在多通道协议中，如FTP，控制通道和数据通道是分开的。数据通道...

ftp 是怎么进行通道连接和数据传输的

最新发布

05-01

<think>好的，我现在需要帮助用户理解FTP协议的通道连接和数据传输机制。用户之前已经询问过FTP的详解，现在想更深入了解其通道建立和数据传输的原理。根据用户提供的引用内容，FTP使用两个TCP连接：命令通道和数据通道。我需要结合这些引用和之前的回答来组织信息。首先，我应该明确区分命令通道和数据通道。引用中多次提到命令通道在端口21，数据通道使用动态端口。同时，FTP有两种模式：主动和被动。需要解释这两种模式的区别，尤其是连接建立的顺序和端口使用情况。用户提供的引用1提到FTP使用两个连接，都需要三次握手。引用3详细描述了命令和数据通道的分工，命令通道发送指令，数据通道传输文件。需要将这些信息整合，说明建立连接的具体步骤，比如三次握手如何在这两个通道中进行。另外，用户之前的回答中提到了主动模式和被动模式的区别，特别是服务器和客户端在建立数据通道时的角色。需要进一步详细说明这两种模式的工作流程，可能包括端口号的变化和防火墙的影响。还要注意安全方面，用户之前的回答提到了FTPS和SFTP，但当前问题主要集中在工作原理，可能不需要深入安全部分，但可以简要提及。需要确保使用正确的LaTeX格式，比如行内公式用$...$，独立公式用$$...$$。同时，生成相关问题时要参考用户之前的例子，确保问题相关且有深度。最后，检查引用标注是否正确，确保每个引用标记对应到用户提供的引用内容。可能需要在回答中引用[^1][^2][^3]来支持各个部分，比如命令通道、数据通道、工作模式等。总结步骤： 1. 介绍FTP的双通道结构：命令和数据通道。 2. 详细说明每个通道的建立过程，包括三次握手。 3. 解释主动和被动模式的区别，以及数据传输流程。 4. 使用示例或示意图帮助理解。 5. 添加相关问题，确保覆盖用户可能感兴趣的扩展内容。</think>### FTP协议通道连接与数据传输机制详解 #### 一、双通道核心结构 FTP协议通过**命令通道**（控制通道）和**数据通道**实现文件传输，两者均基于TCP协议： 1. **命令通道**（端口21）负责传输控制指令（如`ls`、`get`等）和服务器的响应结果，通过TCP三次握手建立持久连接[^1]。 $$ \text{命令流程} = \text{客户端请求} \xrightarrow{\text{21端口}} \text{服务器响应} $$ 2. **数据通道**（动态端口）实际传输文件内容，端口号根据工作模式动态分配，同样需要三次握手建立临时连接[^1][^3]。 #### 二、通道建立过程以**文件下载**为例，流程如下： 1. 客户端通过TCP三次握手连接服务器的21端口（命令通道） 2. 客户端发送`PORT`或`PASV`命令，协商数据通道参数 3. 根据模式选择，建立数据通道： - **主动模式**（Active Mode）服务器从20端口主动连接客户端指定的高端口（需客户端防火墙放行） $$ \text{数据通道} = \text{服务器:20} \rightarrow \text{客户端:随机高端口} $$ - **被动模式**（Passive Mode）服务器开放随机高端口，客户端主动连接（推荐用于NAT环境） $$ \text{数据通道} = \text{客户端:随机端口} \rightarrow \text{服务器:随机高端口} $$ #### 三、数据传输流程 1. **文本文件传输示例**（ASCII模式）： ```bash ftp> ascii # 设置文本模式 ftp> get document.txt ``` - 命令通道发送`RETR document.txt` - 数据通道传输文件内容 2. **二进制文件传输示例**： ```bash ftp> binary # 设置二进制模式 ftp> put image.jpg ``` - 命令通道发送`STOR image.jpg` - 数据通道传输原始字节流 #### 四、关键技术特性 1. **并发传输**：支持多文件同时传输（需多个数据通道） 2. **断点续传**：通过`REST`命令指定偏移量恢复传输 $$ \text{恢复位置} = \text{REST } n \quad (n \text{为字节偏移量}) $$ 3. **模式选择策略**： | 场景 | 推荐模式 | 原因 | |--------------------|------------|--------------------------| | 客户端位于防火墙后 | 被动模式 | 避免服务器连接被防火墙拦截 | | 服务器限制端口访问 | 主动模式 | 固定使用20端口便于管理 | #### 五、典型问题解析 **案例：无法建立数据通道（错误425）** 原因：防火墙阻止了数据通道端口通信解决方案： 1. 切换为被动模式 2. 配置防火墙放行指定端口范围 3. 使用`PORT`命令指定客户端可用的端口