问题描述
现网我司设备替换友商防火墙,替换后某目的端口为5001的ftp业务异常,登录的时候就会报错。
过程分析
1. 抓取windows访问ftp文件夹的相关报文,报文如下:
2. 为了方便分析报文,需要先针对源端口5001的报文右键decode as ,解析为ftp
3. 解析后发现每次到匿名登录报文这里,我们设备收到后都没有成功转发出去
4. debug查看,发现debug ip info acl可以抓到匿名登录报文,正常建立会话后是抓不到的。继续debug会话,发现tcp握手完成后马上会话老化了。
5. 检查配置,发现没有配置port-mapping,会话没有识别为ftp
解决方法
需要针对该端口配置port-mapping。
port-mapping application FTP port 5001
根因:非知名端口的ftp,dpi识别成ftp后,会丢包删会话