问
AL
2天前提问
- 0关注
- 0收藏,47浏览
在被动模式下,公网端口与私网端口不需要强制一一对应,但必须保证服务器通告的端口与防火墙上的映射配置精确匹配。
你的组网是:客户端 -- 防火墙 -- FTP服务器,且服务器未配置pasv_address。这种情况下,公网端口与私网端口的关系取决于你采用的方案,具体如下:
| 配置方案 | 公网端口 vs 私网端口 | 服务器配置 | 防火墙配置 |
|---|---|---|---|
| 方案一:开启FTP ALG (应用层网关) | 不需关心,ALG自动处理 | 无需配置(可使用默认动态端口) | 仅需映射控制端口(如21),并开启nat alg ftp |
| 方案二:手动映射端口范围 | 必须严格保持端口号一致 | 限制固定的被动端口范围(如60000-60010) | 为该端口范围配置1:1的端口映射 |
方案一:开启FTP ALG (应用层网关) - 推荐
ALG能动态解析FTP协议报文,并智能地修改其中的地址和端口信息,是实现无缝穿越NAT的通用解决方案。使用此方案,你不需要关心端口是否一一对应。
配置步骤:
在防火墙上仅映射FTP控制端口(如21)。
开启FTP的ALG功能。
配置安全策略:放行从
Untrust到Trust区域的相关流量。
H3C防火墙配置示例(CLI):
<H3C> system-view# 1. 进入外网接口,配置FTP控制端口的NAT Server映射(假设公网IP为1.1.1.1)
[H3C] interface gigabitethernet 1/0/1
[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 1.1.1.1 21 inside 192.168.1.10 21
# 2. 在此接口下开启FTP ALG功能
[H3C-GigabitEthernet1/0/1] nat alg ftp
[H3C-GigabitEthernet1/0/1] quit
# 3. (可选)如果需要修改非标准端口,才需配置port-mapping #
[H3C] port-mapping ftp port 2121
此方案生效后,当防火墙收到服务器回复的192.168.1.10:60001时,ALG会智能地将其替换为1.1.1.1:60001(或一个临时公网端口),客户端收到正确的公网地址后即可正常建立数据连接。
方案二:手动映射端口范围
如果无法使用ALG,例如流量被TLS加密(FTPS),则只能采用静态映射方案。这时,公网端口必须和私网端口一一对应,因为防火墙无法再通过解析报文来动态替换端口信息。
配置步骤:
在FTP服务器上:限制一个固定的被动端口范围,例如
60000-60010。在防火墙上:为该端口范围内的每一个端口,都创建一条
nat server映射规则,并且公网端口必须与内网端口保持一致。
H3C防火墙配置示例(CLI):
[H3C] interface gigabitethernet 1/0/1# 为端口范围60000-60010创建批量映射规则
[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 1.1.1.1 60000 60010 inside 192.168.1.10 60000 60010
这条命令会将公网IP1.1.1.1的60000端口精确映射到内网服务器192.168.1.10的60000端口,60001对60001,以此类推。安全策略:同样,你需要配置安全策略,允许外网客户端访问这些端口范围。
结论先说
FTP 被动模式下,防火墙做数据通道 NAT Server 时,公网端口和私网端口不需要严格一一对应,可以做端口映射。
但必须满足一个前提:防火墙必须开启 FTP ALG,并且 ALG 能正确监听并修改 PASV 响应里的 IP 和端口。
简单原理
- 服务器没配
pasv_address,回复给客户端的是私网 IP + 随机高位端口 - 防火墙开启 FTP ALG 后,会自动抓包修改:
- 私网 IP → 替换成 NAT 公网 IP
- 私网端口 → 替换成你映射的公网端口
- 所以:
- 私网端口可以是随机高位端口(49152~65535)
- 公网端口可以自己指定一段连续端口做映射
- 不需要 1:1 一一对应
两种合法配置方式(H3C 防火墙通用)
方式 1:一段端口整体映射(推荐)
服务器被动端口:
50000~51000防火墙公网映射:60000~61000plaintext
nat server protocol tcp global 公网IP 60000 61000 inside 私网IP 50000 51000
这种就是非一一对应,完全可以用。
方式 2:单个端口一一对应
plaintext
nat server protocol tcp global 公网IP 50000 inside 私网IP 50000
也可以,但不灵活。
关键要求(必须满足)
- 防火墙必须开启 FTP ALGplaintext
alg ftp enable - 安全策略放通控制口 21 + 数据端口段
- 服务器配置好被动端口范围(不要动态太大)
- 不要同时做两次 NAT / 重复映射
只要 ALG 正常工作,端口不需要一一对应。
你这种场景(服务器无 pasv_address)
最适合用:
- 服务器:固定被动端口范围 50000-51000
- 防火墙:公网端口 60000-61000 映射到内网 50000-51000
- 开启 FTP ALG
完全不用 1:1 对应,照样正常传输。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论