(ISA技術)PORT和PASV模式下的FTP服務器，設置實驗報告

　　實驗環境
　　WINDOWS SERVERSP
　　ISA SERVER SP
　　IIS
　　SERU
　　IE
　　CUTFTP PRO
　　
　　一理解FTP工作模式
　　當你在發布一個FTP服務端在ISA SERVER服務器上的時候你需要考慮一下FTP服務器工作模式的問題FTP客戶端可以控制FTP服務端使用
　　
　　PORT或者PASV模式在客戶端使用PORT和PASV命令就可以轉換FTP服務端工作模式
　　FTP服務器使用一個固定端口 TCP 來進行控制連接同時需要第二個連接來進行數據傳送
　　
　　在PORT模式下客戶端通過PORT命令告訴服務端使用PORT模式同時給出一個客戶端用來連接的指定端口由服務端的選擇一個動態端口發起連接連接客戶端指定端口進行數據傳輸在這種工作模式下需要打開ISA SERVER服務器上所有的動態出站
　　
　　在PASV模式下客戶端通過PASV命令告訴服務端使用PASV模式服務端返回一個動態端口由客戶端發起連接連接服務端哪個已知的動態端口在這種情況下需要打開ISA SERVER服務器上所有入站
　　
　　雙方一旦建立了數據連接後在連接中的數據流是雙向的此時不再受防火牆的規則限制
　　
　　FTP客戶端如果使用IE需要在INTERNET屬性高級中選擇為FTP站點起用文件夾視圖不選為PORT模式選上為PASV模式
　　FTP客戶端如果使用CUTFTP需要在站點屬性數據連接類型中選擇相應的工作模式就好了
　　
　　二在ISA SERVER的服務器上使用SERU 發布FTP服務
　　
　　此環境下是ISA SERVER和SERU安裝在同一台機器上並正確安裝ISA SERVER和SERU 設置好了SERU域帳號目錄等
　　
　　SERU工作在PORT模式時
　　
　　默認狀況下SERU使用的PORT模式工作是使用TCP 端口進行數據連接同時還有需要有幾個動態端口進行數據連接來對付多用戶此時需要在ISA SERVER的IP PACKET FILTERS裡面添加三條FILTERS
　　
　　（）TCP INBOUDN ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONIN
　　LOCAL PORTFIXED PROT
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　（）TCP OUTBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONOUTBOUND
　　LOCAL PORT
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　（）TCP DYMANIC OUTBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONOUTBOUND
　　LOCAL PORTDYMANIC
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　存在問題
　　在PORT模式下ISA SERVER服務器需要打開所有的動態出站如果你一個人控制ISA SERVER服務器還不重要如果有多人同時使用那麼ISA SERVER本身是沒有什麼限制的還存在一個問題因為是由服務端發起數據連接容易被客戶端那裡的放火牆給擋掉不過還好XP和ISA SERVRE都還比較聰明對於此種連接還是通行了但是對於什麼天網什麼的就不是很能夠保證了
　　
　　
　　SERU工作在PASV模式時
　　
　　為了解決FTP服務端工作在PORT模式下種種不足的情況我們需要使用第二種方法
　　
　　（）設置SERU工作在PASV模式
　　本地服務器》設置》高級》PASV端口范圍
　　域》設置》高級》允許被動模式傳送使用IP輸入您的IP地址如果是動態域名就用動態域名
　　
　　（）在ISA SERVER中添加條關於PASV端口的BOTH FILTERS
　　
　　TCP INBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONINBOUND
　　LOCAL PORT
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　剩下的條需要把LOCAL PORT分別改為
　　
　　（）在ISA SERVER中添加一條關於控制連接端口的IN FILTERS
　　
　　TCP INBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONIN
　　LOCAL PORT
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　存在問題
　　這樣設置的FTP服務器就充分考慮了安全的需要完全限制了入站的端口范圍但是有個非常致命的問題我這裡開了個入站的端口我就寫了條FILTERS如果是個入站端口呢？寫條FILTERS那不是要死人如果你要我打開所有的動態入站端口那麼你裝ISA SERVER有什麼意義呢？
　　
　　實驗的感覺兩種方式都有問題啊！再想別的解決方法非常感謝TONY在這兩種情況下均實驗通過了
　　三在ISA SERVER的服務器上使用IIS 發布FTP服務
　　
　　此環境下是ISA SERVER和IIS 安裝在同一台機器上並正確安裝ISA SERVER和IIS 設置好了IP地址為WAN地址端口主目錄等
　　
　　IIS 默認工作模式是在混合模式下的就是同時提供PORT和PASV模式連接由客戶端連選擇使用何種模式
　　
　　我們需要在ISA SERVER上添加數條FILTERS使得IIS 的FTP服務可以正常訪問
　　
　　（）TCP INBOUDN ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONIN
　　LOCAL PORTFIXED PROT
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　（）TCP OUTBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONOUTBOUND
　　LOCAL PORT
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　（）TCP DYMANIC OUTBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONOUTBOUND
　　LOCAL PORTDYMANIC
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　（）TCP DYMANIC INBOUND ALL
　　
　　FILTER MODELALLOW PACKET TRANSMISSION
　　FILTER TYPECUSTOM
　　FILTER SETTINGSIP PROTOCOLTCP
　　DIRECIONINBOUDN
　　LOCAL PORTDYMANIC
　　REMOTE PORTALL PORTS
　　LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
　　REMOTE COMPUTERSALL REMOTE COMPUTERS
　　
　　這樣設置的情況下IIS 的FTP服務是處於混合模式的從第三條FILTERS（TCP DYMANIC OUTBOUND ALL）可以看出ISA SERVER服務器本身對
　　
　　外訪問基本上是沒有什麼限制的從第四條FILTERS（TCP DYMANIC INBOUND ALL）可以看出ISA SERVER服務器上的動態端口都在敵人的火力之下
　　
　　DISABLE 掉第四條FILTERSIIS 上的FTP模式將使用PORT模式
　　DISABLE 掉第三條FILTERSIIS 上的FTP模式將使用PASV模式這些還沒有實驗過按道理行的對於ISA SERVER來說兩種模式下的FTP服務都各有其優缺點我們需要尋找一個比較完美的解決方法還在思索中希望大家給我點意見生怕自己理解的問題寫錯了
　　FW:回復PORT和PASV模式下的FTP服務器設置實驗報告[原創]
　　有兩個錯誤
　　
　　quote:
　　在PORT模式下客戶端通過PORT命令告訴服務端使用PORT模式同時給出一個客戶端用來連接的指定端口由服務端的選擇一個動態端口發起連接連接客戶端指定端口進行數據傳輸在這種工作模式下需要打開ISA SERVER服務器上所有的動態出站
　　服務器端不是選擇動態端口連接而總是管理端口減一
　　
　　quote:
　　FTP客戶端如果使用IE需要在INTERNET屬性高級中
From:http://tw.wingwit.com/Article/os/fwq/201311/10198.html