问
防火墙FTP ALG 问题
18小时前提问
- 0关注
- 0收藏,50浏览
zhiliao_Gixe
四段
排查步骤:
1. 检查NAT Server配置:`display nat server`
2. 确认FTP ALG已开启:`display firewall packet-filter` 查看默认域间策略或`display zone-pair security`查看相关域间ALG状态。通常命令为 `zone-pair security source [zone1] destination [zone2]` 下 `detect ftp`。
3. 检查会话表:`display session table verbose` 查看FTP数据通道(如20端口)会话是否正常建立。
4. 检查安全策略:确保域间安全策略允许FTP数据通道端口(默认为20,被动模式为随机高端口)通过。
关键点:
- FTP被动模式问题:LS失败通常是被动模式(PASV)下,服务器返回内网IP和端口给外网客户端,导致无法连接。这是NAT环境下FTP的常见问题。
- 解决方法:在防火墙接口(通常是外网口)配置FTP ALG的NAT映射命令,将服务器返回的私网IP和端口替换为公网IP和端口。
interface GigabitEthernet1/0/1 //外网接口
nat alg ftp
nat outbound //如果接口已有此命令,确保alg ftp生效
- 如果NAT Server已配置,且接口已开启`nat alg ftp`,问题可能在于安全策略或路由。请补充:
1. 防火墙的NAT Server具体配置。
2. 内外网接口所属的安全区域。
3. 是否配置了域间安全策略允许FTP数据通道。
1. 检查NAT Server配置:`display nat server`
2. 确认FTP ALG已开启:`display firewall packet-filter` 查看默认域间策略或`display zone-pair security`查看相关域间ALG状态。通常命令为 `zone-pair security source [zone1] destination [zone2]` 下 `detect ftp`。
3. 检查会话表:`display session table verbose` 查看FTP数据通道(如20端口)会话是否正常建立。
4. 检查安全策略:确保域间安全策略允许FTP数据通道端口(默认为20,被动模式为随机高端口)通过。
关键点:
- FTP被动模式问题:LS失败通常是被动模式(PASV)下,服务器返回内网IP和端口给外网客户端,导致无法连接。这是NAT环境下FTP的常见问题。
- 解决方法:在防火墙接口(通常是外网口)配置FTP ALG的NAT映射命令,将服务器返回的私网IP和端口替换为公网IP和端口。
interface GigabitEthernet1/0/1 //外网接口
nat alg ftp
nat outbound //如果接口已有此命令,确保alg ftp生效
- 如果NAT Server已配置,且接口已开启`nat alg ftp`,问题可能在于安全策略或路由。请补充:
1. 防火墙的NAT Server具体配置。
2. 内外网接口所属的安全区域。
3. 是否配置了域间安全策略允许FTP数据通道。
你遇到的“能登录但列不了目录”问题,根源在于FTP是一种多通道协议。防火墙虽然转发了控制通道(21端口)的数据,却无法处理动态协商的数据通道连接,导致数据传输失败。
核心原则是:无论哪种情况,都要确保防火墙能正确识别FTP协议。
| 场景描述 | 核心配置 | 原理说明 |
|---|---|---|
| 场景一:FTP使用被动模式 (现代FTP客户端默认模式) | 1. 开启FTP的ALG功能[H3C] nat alg ftp2. 配置全通安全策略 放行 untrust → trust区域所有端口的流量 | ALG会解析PASV响应,动态创建数据通道的“洞”,让数据连接得以建立。 |
| 场景二:FTP使用主动模式 (服务器通过 PORT命令告知客户端其数据端口) | 1. 确保已配置FTP的ALG[H3C] nat alg ftp2. 使用 port-mapping关联非标准端口[H3C] port-mapping ftp port <your-port> | port-mapping命令告诉防火墙,某个非标准端口上的流量也属于FTP协议,从而触发相应的ALG处理。 |
| 场景三:FTP使用被动模式 & 非标准端口 | 同时执行上述两项配置 1. 开启FTP的ALG 2. 配置 port-mapping ftp port <your-port> | 确保防火墙在控制通道的非标准端口上也能正确识别FTP协议,并触发ALG处理动态协商的数据通道。 |
| 场景四:FTP流量被TLS/SSL加密 (FTPS) | 1. 使用静态端口映射方案 2. 在FTP服务器上设置固定的被动模式端口范围(如60000-60010) 3. 在防火墙上为这个端口范围创建端口映射规则 | 加密流量会使防火墙的ALG无法解析载荷,因此需要通过静态映射方式,为FTP数据通道“打开一个固定的窗口”。 |
关键操作步骤详解
开启FTP的ALG功能
[H3C] nat alg ftp[H3C] system-view为非标准FTP端口配置port-mapping
[H3C] port-mapping ftp port 2121
这条命令将FTP协议与自定义端口(例如2121)进行绑定,是解决非标准端口FTP问题的关键。检查FTP流量是否加密 (FTPS)
如果上述方法都无效,请检查FTP客户端或服务器配置,确认是否启用了TLS/SSL加密(即FTPS)。启用加密后,防火墙无法解析FTP控制信令,ALG会失效。
被动模式 不需要配置 port-mapping ftp port 吧
zhiliao_MqUBeI
发表时间:18小时前
更多>>
被动模式 不需要配置 port-mapping ftp port 吧
zhiliao_MqUBeI
发表时间:18小时前
外网能登录 FTP、但 LIST / LS 看目录失败 → 典型 FTP 被动模式数据通道不通你现在已经开了 ALG,多半不需要再配
port-mapping,反而常见是这 3 个问题:- FTP 服务端没固定被动端口、防火墙没放通这段端口
- 服务器上防火墙 / 安全软件拦了数据连接
- ALG 冲突(多设备都开 ALG 或 NAT 类型不对)
一、先判断你用的是哪种 FTP
外网访问 FTP 出现:
- 能登录、能
pwd - 一
ls/dir就卡死、超时失败
99% 是被动模式 PASV 数据通道不通。
二、你问的:要不要配 port-mapping?
正常场景:
- 控制端口就是标准 21
- 已经开启
ftp alg enable不需要额外配置 port-mapping application ftp port 21
只有一种情况要配:
- 你把 FTP 控制端口改成了非 21(比如 2121)才需要:
plaintext
port-mapping application ftp port 2121
标准 21 端口 → 不用加这条。
三、最有效、最常用的完整修复方案
1. 防火墙侧(必做)
(1)确认 ALG 已开
system-view
ftp alg enable
(2)放通被动端口段(关键)
FTP PASV 会随机开高位端口,必须在防火墙上放行一段。
先在 FTP 服务器上设置固定 PASV 端口范围,例如:50000‑51000
然后在防火墙上放通:
plaintext
# 新建服务
service ip-pasv protocol tcp destination-port 50000 51000
# 安全策略放通外网到内网服务器这段端口
security-policy
rule name to_ftp_pasv
source-zone untrust
destination-zone trust
destination-address 192.168.x.x # 内网FTP服务器IP
service ip-pasv
action permit
(3)NAT server 只映射 21 即可
不要去映射被动端口,ALG 会自动处理。
四、什么时候反而要 “关闭 ALG”?
只有下面这种情况才关 ALG:
- 防火墙做 双向 NAT / NAT hairpin
- 或者内网用户也通过公网 IP 访问 FTP
- 或者前面还有一台防火墙 / 路由器也开了 FTP ALG
出现:
- 登录后直接掉线
- 列表时而通时而不通
- 多设备 ALG 冲突
尝试关闭:
plaintext
undo ftp alg enable
然后只靠安全策略放行 21 + 被动端口段,反而能通。
五、快速排错步骤(你照着做就行)
- 看 FTP 客户端日志出现
227 Entering Passive Mode但连不上 → 就是被动端口不通 - 在 FTP 服务器上固定 PASV 端口范围
- 防火墙放通该端口段的安全策略
- 保持 ALG 开启,不要加 port-mapping
- 仍不行 → 关闭 ALG 再测
六、你只要补充两点,我可以直接给你完整命令
- 你的防火墙型号(SecPath F1000 / F100 / ACG 之类)
- FTP 服务器用的软件(Serv-U / FileZilla Server / IIS)
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明