[求助]内网建非21端口ftp该如何映射端口？

foxzenith

waiting for ur help...,goingchan

freebomb110

下面引用由foxzenith在 2004/05/29 05:36pm 发表的内容：
是这样做的吗？
端口1882映射到本机的1882端口！
在本机上用SERV-U的端口也是设置成1882。
我试过这样，好像能直接给出文件地址对方下载，不能浏览（不是设置问题）
...

恩！我的是这样设置的。
说来惭愧!还不懂得分辨上面说的两种模式！
是不是用IE直接登陆和用FTP软件登陆就是不同的两种模式呢?
刚刚叫朋友用IE试了半天！提示出错。没有访问权限。
但是从SERV-U中可以看到用户登陆名在里面了！
[5] Sat 22Nov03 15:50:08 - (000012) Connected to 222.84.21.98 (Local address 192.168.10.18)
[5] Sat 22Nov03 15:50:08 - (000012) ANONYMOUS logged in, password: IEUSER@
[5] Sat 22Nov03 15:50:18 - (000013) Connected to 222.84.21.98 (Local address 192.168.10.18)
[5] Sat 22Nov03 15:50:19 - (000013) User 2 logged in
[5] Sat 22Nov03 15:50:25 - (000012) Closing connection for user ANONYMOUS (00:00:17 connected)
[5] Sat 22Nov03 15:50:30 - (000014) Connected to 222.84.21.98 (Local address 192.168.10.18)
[5] Sat 22Nov03 15:50:30 - (000014) User 2 logged in
[5] Sat 22Nov03 15:52:56 - (000006) Closing connection for user ANONYMOUS (00:10:05 connected)
[5] Sat 22Nov03 15:55:41 - (000011) Closing connection for user ANONYMOUS (00:05:55 connected)
[5] Sat 22Nov03 15:55:42 - (000015) Connected to 222.84.21.98 (Local address 192.168.10.18)
[5] Sat 22Nov03 15:55:43 - (000015) User 2 logged in
希望对你有帮助！

foxzenith

那freebomb110有映射20端口没？？？

goingchan

华硕那服务器终于开了。。。先帖个基础知识，分析具体问题过会再写
-----------------------------------
FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。
    PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，客户端在命令链路上用PORT命令告诉服务器：“我打开了XXXX端口，你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求，建立一条数据链路来传送数据。
    PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用PASV命令告诉客户端：“我打开了XXXX端口，你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求，建立一条数据链路来传送数据。
   
    强调一点，以哪种模式登录到FTP服务器是由客户端所指定的。
上边是基础理论，接着下边的部分是关键
    NAT网关的工作方式是在TCP/IP数据包的包头里找局域网的源地址和源端口，替换成网关的地址和端口。对数据包里的内容，是不会改变的。而使用PORT方式登录FTP的时候，IP地址与端口信息是在数据包里面的，而不是在包头。因此，没有公网IP，使用PORT方式是无法从internet上的ftp服务器下载数据的。
    但是，有的NAT网关也支持PORT方式(其实很多ADSL的NAT网关都支持)。这些NAT网关连数据包里面的内容都扫描，扫描到PORT指令后会替换PORT方式的IP和端口。在这种NAT网关下面，用PORT方式就没问题了。不过，这些网关也只扫描21端口的数据包，如果FTP服务器不是用默认的21端口，也无法使用PORT方式。(实际上这里说的这种NAT网关是通过ALG实现的，6000EV全系列都支持。关于ALG，有兴趣的话，可以在网上找相关资料)
   有了以上理论，就能分析问题了，你的问题要分两种情况分析。
1、防火墙阻碍。(注意，这部分分析对客户端及服务器端同样有效，不过主要针对客户端)有部分防火墙软件也会像上边所说的那种NAT网关那样只扫描21端口的数据包，根据扫描到的PORT指令(多数不会扫描PASV指令的)打开防火墙端口。而对于21端口以外的包并不作PORT指令的扫描，故不使用默认的21端口时，PORT模式不能使用，由于命令传送跟数据传送是分开的，所以会出现能登录而无法显示的问题。另外，对于PASV模式，服务器端的防火墙不开放的数据链路的端口的话，也是只能登录，没法进行数据传送的。
2、NAT网关问题。(此部分分析还是对双方有效) 你的问题，一般是出现在客户端和服务器端都在NAT网关后。
   先分析PORT模式，若客户端使用PORT模式，由上边的原理可知，PORT模式是服务器主动连接到客户端数据端口，由于NAT网关默认只是扫描对21端口的访问的PORT指令，对于非标准端口是不扫描的，所以客户端NAT网关是不会开放相应的数据传关端口的。故PORT模式没法用。
   然后，到分析PASV了。若客户端使用PASV模式，是服务器端开放数据端口让客户端连接。由于NAT网关不扫描PASV，所以，服务器端的NAT网关不会自动打开相应的数据端口，PASV也不能使用了。(无论是否使用21端口，此点都有效)

天使之城

goingchan ，请问我这种情况是怎样呢？谢谢
http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=2954&show=0

foxzenith

非常感谢版主，深深受教。。。
结合防火墙和NAT网关问题我的理解是：（指定服务端在内网）
a.对方在内网：    port模式，由于对方NAT网关默认只是扫描对21端口的访问的PORT指令，所以客户端NAT网关是不会开放相应的数据传关端口的。故PORT模式一定连不上。      pasv模式，ftp服务端要指定自己的公网ip，pasv模式使用的端口(很多ftp软件都支持手动指定这些了)，且在网关里做好映射到ftp服务端的内网ip，若ftp服务端口有开防火墙的话应该打开ftp和指定的pasv所使用的端口。
b.对方是公网：   port模式，据ftp原理，一定能连上(除非你用的是非21端口，且对方有装防火墙。)   ～   pasv模式，ftp服务端要指定自己的公网ip，pasv模式使用的端口(很多ftp软件都支持手动指定这些了)，且在网关里做好映射到ftp服务端的内网ip，若ftp服务端口有开防火墙的话应该打开ftp和指定的pasv所使用的端口。
所以我觉得内网开ftp最保险的方法是让对方使用pasv模式，自己做好相关设置。
我的问题是：用port模式时，服务器从20端口向客户端的XXXX端口发送连接请求，建立一条数据链路来传送数据。我们需要在服务器端的网关里映射20端口吗？
还有请版主看看我的总结有没问题？
谢谢你了

goingchan

下面引用由foxzenith在 2004/05/31 03:08pm 发表的内容：
非常感谢版主，深深受教。。。
结合防火墙和NAT网关问题我的理解是：（指定服务端在内网）
a.对方在内网：    port模式，由于对方NAT网关默认只是扫描对21端口的访问的PORT指令，所以客户端NAT网关是不会开放相　...

你的归纳是正确的，我要补充的是，由于那贴是上一年写的，随着FW的升级，NAT的特性会有少许的变化，NAT网关是否识别PASV的问题，现在反而不能说得那么肯定了。。。要实际测试才知道，我最近是比较忙，你有时间的话，可以测试一下。
关于你的提问，在port模式下，服务器从20向外连接，当然不用在服务器端网关映射20
还有一样要补充的，NAT对FTP指令的识别、操作是通过ALG完成的，对于viking系列的芯片，用户很容易自定义需要识别的端口，并不是只能识别21。(实际上就是modem里的alg命令，有兴趣的话，自己登录到猫看看，很简单的)

freebomb110

下面引用由foxzenith在 2004/05/31 11:10am 发表的内容：
那freebomb110有映射20端口没？？？

这个没有试过！

freebomb110

[这个贴子最后由freebomb110在 2004/06/01 12:36pm 第 1 次编辑]

用家里的合勤642架设FTP出现问题了！
建的网站可以访问，但是FTP连接不上！数据通道无法建立！
连接用guteFTP V6.0
用PORT方式出现：
令:>  REST 0
350 Restarting at 0. Send STORE or RETRIEVE.
命令:>  PORT 192,168,10,18,4,25
200 PORT Command successful.
命令:>  LIST
150 Opening ASCII mode data connection for /bin/ls.
错误:>   接受来自服务器的数据连接时发生超时(30000 毫秒)。
426 Data connection closed, transfer aborted.
错误:>   接收到无效应答。
用PASV方式则出现：
命令:>  PASV
227 Entering Passive Mode (220,173,25,238,12,255)
命令:>  LIST
状态:>  正在连接 FTP 数据 socket 220.173.25.238:3327...
错误:>   远程主机积极地拒绝与其尝试连接。
1) 请核实目的服务器名或 IP 地址是否正确
2) 请核实连接端口号是否正确(在“站点设置 | 类型”栏)。
3) 远程服务器可能临时或永久地无法访问(稍后再试)。
4) 请核实您已选择了正确的协议(SSH2、SSL、FTP、等等)，且已为此协议设置了所有需要的选项。
5) 请核实目的 IP 地址和端口号是否正确。
6) 远程服务器可能拒绝来自同一客户端的多个连接。在连接到这种特殊的服务器时，请试着只使用一个连接线程(站点设置 | 选项)。
7) 尝试 ping 地址。
8) 如果您正使用路由器，请核实路由器是否运行正确(ping 路由器，然后 ping 路由器的外部地址)。
9) 执行到目的地的跟踪程序，以核实所有路由器都延着连接路径运行。
10) 请核实您的子网掩码设置是否正确。
11) 请核实您的本地软件或硬件防火墙不拦截来自 CuteFTP 的外出连接源。
12) 请核实您的杀毒软件没有错误(试着将其禁用)。

foxzenith ～～这个情况是不是和你的一样呢？

freebomb110

由于是内网建战，所以在SERV-U5.0里面有做了PASV方式的设置
设置画面一：