内网FTP服务器架设不完好解析[服务器安全]

首先要提到的是这里的内网是指普通我们网吧内部环境的内网,对局域网内网我没什么好说的,愿费钱的去DNS0755好了.一个基本条件:一个公网IP,对网关有操作权限.

　　FTP服务器端192.168.0.100,我选用Win2K+Serv-U 4.1.0.0,很普通常用的一个组合网关是最简单的双网卡PC,一接外网一接内网,这里假定外网IP为218.4.218.4,内网IP为192.168.0.1.

　　提一些概念性的东东:

　　一次完好的FTP会话,包含有两个衔接,一个称之为号令通道,一个称之为数据通道.号令通道用来传送一些"号令"和反馈,包含用户名密码登陆,并且众所周知是明文数据通道用来传送实际数据----列目录、文件传输,一旦需求列目录或文件传输,数据通道就会被成立起来,这里分两种方法,一是PORT二是PASV.

　　你会在因特网上找到很多FTP服务器,有的要末只支持PORT,有的要末只支持PASV,有的是因为考虑安全因素,有的是因为条件限制等等.我想把我的FTP做成PORT和PASV方法都能支持的,这样不会使客户端在衔接上遭到困扰,分外是一些新手,关于PORT和PASV的定义,对比简单理解的注释是针对FTP服务端而言的:

　　PORT是主动情势,在成立数据通道时,服务端去衔接别人;

　　PASV是被动情势,在成立数据通道时,服务端被别人衔接;

　　成立数据通道时,用PORT情势还是PASV情势,挑选权在于FTP客户端.

　　目前要做的,就是端口映射了,最基本的是号令通道的映射,这里选用默许的21,我想把在网关外网接口收到的对218.4.218.4端口21的衔接恳求,转发到192.168.0.100的21端口去.

　　Win2K网关

　　系统自带简单的端口转发程序,就是能给我们供应衔接同享的ICS/RRAS,这两种方法原理是一样的,并且都能供应这类业务的端口转发设置历程对比简单,我也不抓图了,从前有过很多.

　　就是在"服务与端口"中,注册一条近似"公用网络与端口218.4.218.4:21 To 专用网络与端口192.168.0.100:21"这样格局的法则设置好后,别人就可以拜候你的内网FTP服务器了,但你很快会发现你的FTP服务器只支持PORT方法,假如客户端也在内网环境则PORT方法也用不了了这是为什么呢?我们来解析一下,因为在PASV方法,服务器接到客户端的PASV号令后,会指定一个本地的随机端口来作为PASV端口,并告诉客户端,然后等候客户端的衔接,在告诉消息里包含有FTP服务器的IP地址和翻开的PASV端口,我FTP服务器的IP地址是什么?

　　目前是192.168.0.100,那么对方收到的PASV告诉将是这样格局的227 Entering Passive Mode (192,168,0,100,m,n)mn是定义了PASV端口的值,计算方法是m*256+m,假如这里m是10而n是20,那么PASV端口就是2580客户端收到这条告诉后,当它想发动数据通道的衔接,它会向192.168.0.100:2580这个目标地址发送SYN恳求,毫无疑问将不会收到应答,因为这个IP在大众网络事实上是不存在的办理的办法是让FTP服务器发送带公网IP的PASV告诉,我们的Serv-U支持这个功效.

然后在网关上把需求翻开的PASV端口跟21端口一样做映射到192.168.0.100

　　你大概会迷惑了,PASV是服务器动态翻开的随机端口,我怎么会知道它会用哪个?怎么映射啊?没有问题,Serv-U一样可以定义每次利用固定的PASV端口,当然为了同时承接多个衔接会话,你需求多设置几个成一段,然后在网关上一一对应映射到FTP服务器上去