熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

(ISA技術)PORT和PASV模式下的FTP服務器,設置實驗報告

2013-11-11 22:13:37  來源: Windows服務器 

  實驗環境
  WINDOWS SERVERSP
  ISA SERVER SP
  IIS
  SERU
  IE
  CUTFTP PRO
  
  一理解FTP工作模式
  當你在發布一個FTP服務端在ISA SERVER服務器上的時候你需要考慮一下FTP服務器工作模式的問題FTP客戶端可以控制FTP服務端使用
  
  PORT或者PASV模式在客戶端使用PORT和PASV命令就可以轉換FTP服務端工作模式
  FTP服務器使用一個固定端口 TCP 來進行控制連接同時需要第二個連接來進行數據傳送
  
  在PORT模式下客戶端通過PORT命令告訴服務端使用PORT模式同時給出一個客戶端用來連接的指定端口由服務端的選擇一個動態端口發起連接連接客戶端指定端口進行數據傳輸在這種工作模式下需要打開ISA SERVER服務器上所有的動態出站
  
  在PASV模式下客戶端通過PASV命令告訴服務端使用PASV模式服務端返回一個動態端口由客戶端發起連接連接服務端哪個已知的動態端口在這種情況下需要打開ISA SERVER服務器上所有入站
  
  雙方一旦建立了數據連接後在連接中的數據流是雙向的此時不再受防火牆的規則限制
  
  FTP客戶端如果使用IE需要在INTERNET屬性高級中選擇為FTP站點起用文件夾視圖不選為PORT模式選上為PASV模式
  FTP客戶端如果使用CUTFTP需要在站點屬性數據連接類型中選擇相應的工作模式就好了
  
  二在ISA SERVER的服務器上使用SERU 發布FTP服務
  
  此環境下是ISA SERVER和SERU安裝在同一台機器上並正確安裝ISA SERVER和SERU 設置好了SERU域帳號目錄等
  
  SERU工作在PORT模式時
  
  默認狀況下SERU使用的PORT模式工作是使用TCP 端口進行數據連接同時還有需要有幾個動態端口進行數據連接來對付多用戶此時需要在ISA SERVER的IP PACKET FILTERS裡面添加三條FILTERS
  
  ()TCP INBOUDN ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONIN
  LOCAL PORTFIXED PROT
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  ()TCP OUTBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONOUTBOUND
  LOCAL PORT
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  ()TCP DYMANIC OUTBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONOUTBOUND
  LOCAL PORTDYMANIC
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  存在問題
  在PORT模式下ISA SERVER服務器需要打開所有的動態出站如果你一個人控制ISA SERVER服務器還不重要如果有多人同時使用那麼ISA SERVER本身是沒有什麼限制的還存在一個問題因為是由服務端發起數據連接容易被客戶端那裡的放火牆給擋掉不過還好XP和ISA SERVRE都還比較聰明對於此種連接還是通行了但是對於什麼天網什麼的就不是很能夠保證了
  
  
  SERU工作在PASV模式時
  
  為了解決FTP服務端工作在PORT模式下種種不足的情況我們需要使用第二種方法
  
  ()設置SERU工作在PASV模式
  本地服務器》設置》高級》PASV端口范圍
  域》設置》高級》允許被動模式傳送使用IP輸入您的IP地址如果是動態域名就用動態域名
  
  ()在ISA SERVER中添加條關於PASV端口的BOTH FILTERS
  
  TCP INBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONINBOUND
  LOCAL PORT
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  剩下的條需要把LOCAL PORT分別改為
  
  ()在ISA SERVER中添加一條關於控制連接端口的IN FILTERS
  
  TCP INBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONIN
  LOCAL PORT
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  存在問題
  這樣設置的FTP服務器就充分考慮了安全的需要完全限制了入站的端口范圍但是有個非常致命的問題我這裡開了個入站的端口我就寫了條FILTERS如果是個入站端口呢?寫條FILTERS那不是要死人如果你要我打開所有的動態入站端口那麼你裝ISA SERVER有什麼意義呢?
  
  實驗的感覺兩種方式都有問題啊!再想別的解決方法非常感謝TONY在這兩種情況下均實驗通過了
  三在ISA SERVER的服務器上使用IIS 發布FTP服務
  
  此環境下是ISA SERVER和IIS 安裝在同一台機器上並正確安裝ISA SERVER和IIS 設置好了IP地址為WAN地址端口主目錄等
  
  IIS 默認工作模式是在混合模式下的就是同時提供PORT和PASV模式連接由客戶端連選擇使用何種模式
  
  我們需要在ISA SERVER上添加數條FILTERS使得IIS 的FTP服務可以正常訪問
  
  ()TCP INBOUDN ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONIN
  LOCAL PORTFIXED PROT
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  ()TCP OUTBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONOUTBOUND
  LOCAL PORT
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  ()TCP DYMANIC OUTBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONOUTBOUND
  LOCAL PORTDYMANIC
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  ()TCP DYMANIC INBOUND ALL
  
  FILTER MODELALLOW PACKET TRANSMISSION
  FILTER TYPECUSTOM
  FILTER SETTINGSIP PROTOCOLTCP
  DIRECIONINBOUDN
  LOCAL PORTDYMANIC
  REMOTE PORTALL PORTS
  LOCAL COMPUTERDEFAULT IP ADDRESS FOR EACH EXTERNAL INTERFACE ON TEH ISA SERVER COMPUTER
  REMOTE COMPUTERSALL REMOTE COMPUTERS
  
  這樣設置的情況下IIS 的FTP服務是處於混合模式的從第三條FILTERS(TCP DYMANIC OUTBOUND ALL)可以看出ISA SERVER服務器本身對
  
  外訪問基本上是沒有什麼限制的從第四條FILTERS(TCP DYMANIC INBOUND ALL)可以看出ISA SERVER服務器上的動態端口都在敵人的火力之下
  
  DISABLE 掉第四條FILTERSIIS 上的FTP模式將使用PORT模式
  DISABLE 掉第三條FILTERSIIS 上的FTP模式將使用PASV模式這些還沒有實驗過按道理行的對於ISA SERVER來說兩種模式下的FTP服務都各有其優缺點我們需要尋找一個比較完美的解決方法還在思索中希望大家給我點意見生怕自己理解的問題寫錯了
  FW:回復PORT和PASV模式下的FTP服務器設置實驗報告[原創]
  有兩個錯誤
  
  quote:
  在PORT模式下客戶端通過PORT命令告訴服務端使用PORT模式同時給出一個客戶端用來連接的指定端口由服務端的選擇一個動態端口發起連接連接客戶端指定端口進行數據傳輸在這種工作模式下需要打開ISA SERVER服務器上所有的動態出站
  服務器端不是選擇動態端口連接而總是管理端口減一
  
  quote:
  FTP客戶端如果使用IE需要在INTERNET屬性高級中
From:http://tw.wingwit.com/Article/os/fwq/201311/10198.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.