FTP使用非知名端口结合DPI及NAT后，第一次连接无法建立。

不涉及

现场FTP使用非知名端口，同时启用了源地址转换NAT outbound和DPI检测，导致每次建立连接第一次无法建立成功，需要第二次建立才能通过。

查看配置无特殊问题，但是抓包发现第一次建立连接后防火墙会丢弃第一个客户端主动发起的ACK报文，并且后续NAT源地址转换端口改变，导致服务器无法识别，回复RST报文。第二次建立连接后报文正常交互。

原因为DPI对FTP非知名端口的检测会丢弃第一个客户端发起的ACK报文，目的是为了验证客户端是否正常，是否会进行重传，处理方式为丢包并且删除会话。只有DPI的情况下，重传即可，稍有延时不影响业务，但是再次使用NAT后，由于删除会话，源地址端口无法按照会话再次转换，只能更换源端口，导致现场第一次无法建立成功。

目前实现机制如此。

1.建议FTP使用知名端口。

2.取消DPI检测和NAT。