关于内网FTP服务器架设的不完全解析
来源:asp之家 发布时间:2009-12-23 19:24:00
首先要提到的是这里的内网是指一般我们网吧内部环境的内网,对局域网内网我没什么好说的,愿花钱的去DNS0755好了。一个基本条件:一个公网IP,对网关有操作权限。
FTP服务器端192.168.0.100,我选用Win2K+Serv-U 4.1.0.0,很普通常用的一个组合网关是最简单的双网卡PC,一接外网一接内网,这里假设外网IP为218.4.218.4,内网IP为192.168.0.1。
提一些概念性的东东:
一次完整的FTP会话,包含有两个连接,一个称之为命令通道,一个称之为数据通道。命令通道用来传递一些"命令"和反馈,包括用户名密码登陆,而且众所周知是明文数据通道用来传递实际数据----列目录、文件传输,一旦需要列目录或文件传输,数据通道就会被建立起来,这里分两种方式,一是PORT二是PASV。
你会在因特网上找到许多FTP服务器,有的要么只支持PORT,有的要么只支持PASV,有的是因为考虑安全因素,有的是因为条件限制等等。我想把我的FTP做成PORT和PASV方式都能支持的,这样不会使客户端在连接上受到困扰,特别是一些新手,对于PORT和PASV的定义,比较容易理解的解释是针对FTP服务端而言的:
PORT是主动模式,在建立数据通道时,服务端去连接别人;
PASV是被动模式,在建立数据通道时,服务端被别人连接;
建立数据通道时,用PORT模式还是PASV模式,选择权在于FTP客户端。
现在要做的,就是端口映射了,最基本的是命令通道的映射,这里选用默认的21,我想把在网关外网接口收到的对218.4.218.4端口21的连接请求,转发到192.168.0.100的21端口去。
Win2K网关
系统自带简单的端口转发程序,就是能给我们提供连接共享的ICS/RRAS,这两种方式原理是一样的,而且都能提供这类业务的端口转发设置过程比较简单,我也不抓图了,以前有过很多。
就是在"服务与端口"中,注册一条类似"公用网络与端口218.4.218.4:21 To 专用网络与端口192.168.0.100:21"这样格式的规则设置好后,别人就能访问你的内网FTP服务器了,但你很快会发现你的FTP服务器只支持PORT方式,如果客户端也在内网环境则PORT方式也用不了了这是为什么呢?我们来分析一下,因为在PASV方式,服务器接到客户端的PASV命令后,会指定一个本地的随机端口来作为PASV端口,并通知客户端,然后等待客户端的连接,在通知消息里包含有FTP服务器的IP地址和打开的PASV端口,我FTP服务器的IP地址是什么?
现在是192.168.0.100,那么对方收到的PASV通知将是这样格式的227 Entering Passive Mode (192,168,0,100,m,n)mn是定义了PASV端口的值,计算方式是m*256+m,如果这里m是10而n是20,那么PASV端口就是2580客户端收到这条通知后,当它想发起数据通道的连接,它会向192.168.0.100:2580这个目标地址发送SYN请求,毫无疑问将不会收到应答,因为这个IP在公共网络事实上是不存在的解决的办法是让FTP服务器发送带公网IP的PASV通知,我们的Serv-U支持这个功能。
然后在网关上把需要打开的PASV端口跟21端口一样做映射到192.168.0.100
你也许会疑惑了,PASV是服务器动态打开的随机端口,我怎么会知道它会用哪个?怎么映射啊?没有问题,Serv-U同样可以定义每次使用固定的PASV端口,当然为了同时承接多个连接会话,你需要多设置几个成一段,然后在网关上一一对应映射到FTP服务器上去,图中设置了20个。
猜你喜欢
- 北京时间10月29日消息,据国外媒体报道,美国Brower Piven律师事务所日前宣布,已经代表在2006年11月15日到2009年7月1
- 我忙了累了,也不想再到这个论坛来发很多帖子了,也许是我近期在这里的最后一篇帖子了,看过我帖子的人可能都觉得我这个人说话比较尖刻,呵呵其实 也
- 企业管理工具开发商BeyondTrust近日表示,微软在Windows 7中对颇受争议的UAC(用户账户控制)所做的改进只是表面功夫,根本没
- Tools工具箱是为了方便广大站长日常维护论坛等程序而出的工具。工具箱只有单一的一个文件,便于上传和使用。比如找回管理员、修复数据库、导入数
- Exchange Server 2007 日志规则新日志向导日志报告中包括的内容您是否曾经不得不记录您与某位特定用户之间往来的电子邮件,而结
- 北京时间10月27日消息,据国外媒体报道,Google日前推出一项新功能,让用户无需切换到一个特殊的电话号码就可以使用谷歌语音(Google
- 对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。在有些地方,最简单的往往是最有效的!8、为IIS5中的文
- Godaddy主机的VDS,对于一些不熟悉Linux的朋友来说,是比较头疼的事,不过一些简单的SSH远程管理操作其实也不难,如果想使用VDS
- 首先打开IIS,找到我们的数据库。我们试一下是不是能够下载,正常的情况能够下载的。现在我们就开始配置IIS不让数据库被别人下载,我们在数据库
- 【故障原因】局域网内有人使用ARP欺骗的木马程序(比如:传奇 * 的软件,某些传奇 * 中也被恶意加载了此程序)。【故障原理】要了解故障原理,我
- Cookie会话跟踪除了上面提到的安全缺陷外,还存在如下缺点:(1)并不是每个浏览器都支持cookie,有些用户为了防止泄露隐私以及从安全性
- 10月21日早间消息(常山)美国芯片公司Marvell推出ARMADA系列应用处理器。该系列产品专为新一代ARM指令集智能手机、智能本、消费
- 关于新发布的IE8 Beta1,网友们都纷纷下载来使用,尝到了功能强大的甜头;有的却因网络流传:安装后会覆盖原来的IE7,并且不能
- 经常听到读计算机专业学生,毕业之后发出感叹:“我在大学什么也没学到,现在计算机的东西都不会!”。就其原因来看,不外乎是其一,学生自身原因。有
- 第三方数据分析公司Cnzz.com新公布的报告预计,2012年中国网络游戏市场规模将达到410亿元人民币,占据全球网游市场的半壁江山。报告显
- 随着3G网络的完善以及手持终端的快速增长,亚洲最大的网络零售商圈淘宝网也加速了其无线战略部署。5月12日,淘宝网正式对外发布了手机版旺旺,目
- 从刚开始做站开始自己就有一个目标,那就是绝对不能做垃圾站,但是回首一个月以来做站的历程,发现自己的网站确实已经变得垃圾起来,没有任何的新意,
- 6、能够使用一个磁盘的第一个分区作为裸设备吗?可以,但是不推荐。在Unix的比较旧的版本是银行,磁盘的第一个分区常常包含这个磁盘的一些信息,
- 同时被百度和google被封掉了,如果你的修改结果让google认可了,则百度也会收录的。注意看日志。很多人把百度、谷歌区别看待,怎么怎么样
- DEDE评论效果: 修改后的效果: 修改步骤一、5.5版本(5.6版本请往下看)1、修改/plus/feedback_a